Privacidade e proteção de dados pessoais: Legislação e Projetos de Lei de relevância

Transcrição

1 Privacidade e proteção de dados pessoais: Legislação e Projetos de Lei de relevância Caio César Carvalho Lima São Paulo/SP, 04 de julho de 2016.

2 Um pouco sobre mim... Advogado sócio do Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados Mestre em Direito Processual Civil pela PUC-SP Especialista em Direito da Tecnologia da Informação pela UGF-RJ Bacharel em Direito pela Universidade Federal do Ceará Professor convidado de Universidades para ministrar cursos sobre Direito Digital Coautor dos livros sobre o Marco Civil da Internet das Editoras Revista dos Tribunais e Atlas Currículo Plataforma Lattes: br.linkedin.com/in/caiocclima

3 Vamos refletir...

4 Vamos refletir...

5 Vamos refletir...

6 Vamos refletir...

7 Vamos refletir...

8 Vamos refletir...

9 Vamos refletir...

10 Existe legislação? A INTERNET É AUSENTE DE LEIS SOBRE PRIVACIDADE DE DADOS?!

11 Existe legislação?

12 Constituição Federal/ Proteção à intimidade, vida privada, honra e imagem Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: (...) X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação; - Proteção à correspondência XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;

13 Cód. Defesa do Consumidor/ Acesso à informação em bancos de dados Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes. - Comunicação quanto à abertura de bancos de dados 2 A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele. - Correção imediata das informações 3 O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas.

14 Lei Geral de Telecomunicações/ Proteção de dados dos usuários de serviços de Telecom Art. 72. Apenas na execução de sua atividade, a prestadora poderá valer-se de informações relativas à utilização individual do serviço pelo usuário. 1 A divulgação das informações individuais dependerá da anuência expressa e específica do usuário. 2 A prestadora poderá divulgar a terceiros informações agregadas sobre o uso de seus serviços, desde que elas não permitam a identificação, direta ou indireta, do usuário, ou a violação de sua intimidade.

15 Lei do Cadastro Positivo (L /01) - Bancos de dados de crédito - Consentimento do titular para a formação do cadastro - Princípios: Finalidade Transparência e informação Livre acesso Qualidade dos dados Proporcionalidade - Conceitua dados sensíveis Art. 3º, 3º, II - informações sensíveis, assim consideradas aquelas pertinentes à origem social e étnica, à saúde, à informação genética, à orientação sexual e às convicções políticas, religiosas e filosóficas.

16 Código Civil/ Direitos da Personalidade Artigo 11: Com exceção dos casos previstos em lei, os direitos da personalidade são intransmissíveis e irrenunciáveis, não podendo o seu exercício sofrer limitação voluntária. - Uso da imagem de terceiros Artigo 20: Salvo se autorizadas, ou se necessárias à administração da justiça ou à manutenção da ordem pública, a publicação, a exposição ou a utilização da imagem de uma pessoa poderão ser proibidas, a seu requerimento e sem prejuízo da indenização que couber, se lhe atingirem a honra, a boa fama ou a respeitabilidade, ou se se destinarem a fins comerciais. - Vida privada da pessoa natural Artigo 21: A vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma.

17 Lei de Ac. Informação (L /2011) - Acesso restrito às informações pessoais, independentemente de classificação de sigilo; prazo máximo de 100 anos Artigo 31, 1º As informações pessoais, a que se refere este artigo, relativas à intimidade, vida privada, honra e imagem: I - terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo máximo de 100 (cem) anos a contar da sua data de produção, a agentes públicos legalmente autorizados e à pessoa a que elas se referirem; - Princípios (artigo 31) Transparência Intimidade Vida privada Honra Imagem

18 Marco Civil da Internet (Lei N o /2014) - Princípios: Art. 3o A disciplina do uso da internet no Brasil tem os seguintes princípios: (...) II - proteção da privacidade; III - proteção dos dados pessoais, na forma da lei;

19 Marco Civil da Internet (Lei N o /2014) - Demais previsões Direitos dos usuários VI - informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade; VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei; VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; e c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;

20 LIVRE, EXPRESSO e INFORMADO...??? O que significa? - Livre? - Expresso? - Informado?

21 Marco Civil da Internet (Lei N o /2014) - Demais previsões Direitos dos usuários IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais; X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei; XI - publicidade e clareza de eventuais políticas de uso dos provedores de conexão à internet e de aplicações de internet;

22 Há regras para COLETA/ENVIO de dados?

23 Com o de acordo está tudo liberado?

24 Decreto 8.771/2016 Art. 14. Para os fins do disposto neste Decreto, considera-se: I - dado pessoal - dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa; e II - tratamento de dados pessoais - toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

25 Decreto 8.771/2016 Art. 11. (...) 2o São considerados dados cadastrais: I - a filiação; II - o endereço; e III - a qualificação pessoal, entendida como nome, prenome, estado civil e profissão do usuário.

26 Há regras para ENTREGA dos dados? Marco Civil da Internet Art. 13. Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do regulamento. 5 o Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo deverá ser precedida de autorização judicial, conforme disposto na Seção IV deste Capítulo.

27 Há regras para ENTREGA dos dados? Marco Civil da Internet Art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento. 3 o Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo deverá ser precedida de autorização judicial, conforme disposto na Seção IV deste Capítulo.

28 Há regras para ENTREGA dos dados? Marco Civil da Internet Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas. 3 o O disposto no caput não impede o acesso aos dados cadastrais que informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades administrativas que detenham competência legal para a sua requisição.

29 Há regras para ENTREGA dos dados? Em síntese Protocolos de Internet X Dados Cadastrais

30 Há regras para o ACESSO aos dados? Decreto 8.771/2016 Art. 13. Os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes sobre padrões de segurança: I - o estabelecimento de controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários; II - a previsão de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros;

31 Há regras para o ACESSO aos dados? Decreto 8.771/2016 Art. 13. Os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes sobre padrões de segurança: III - a criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo acessado, inclusive para cumprimento do disposto no art. 11, 3º, da Lei nº , de 2014; e IV - o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes.

32 Há regras para o ACESSO aos dados? Em síntese I.a Controle estrito sobre acesso I.b Responsabilidade das pessoas I.c Seccionar o acesso II Autenticação dupla III Inventário detalhado (momento, duração, identidade e arquivo) IV - Criptografia

33 Há SANÇÕES? Marco Civil da Internet Art. 12. Sem prejuízo das demais sanções cíveis, criminais ou administrativas, as infrações às normas previstas nos arts. 10 e 11 ficam sujeitas, conforme o caso, às seguintes sanções, aplicadas de forma isolada ou cumulativa: I - advertência, com indicação de prazo para adoção de medidas corretivas; II - multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade (...); III - suspensão temporária das atividades (...); ou IV - proibição de exercício das atividades (...).

34 Quem FISCALIZA? Decreto 8.771/2016 Art. 18. A Secretaria Nacional do Consumidor atuará na fiscalização e na apuração de infrações, nos termos da Lei no 8.078, de 11 de setembro de 1990.

35 E os Projetos de Lei? Projetos de Lei no Senado: 330/2013, 181/2014 e 131/2014 Projetos de Lei na Câmara: 4060/2012 e 5.276/2016

36 PL 5.276/2016

37 PL 5.276/2016 Principais Pontos Dados sensíveis Consentimento Possibilidade de negar o tratamento de dados pessoais Órgão competente ( autoridade de garantia ) Privacy Officer Transferência internacional de dados Binding Corporate Rules BCRs Vazamentos de dados e notificações obrigatórias Responsabilidade Sanções Vacatio legis

38 PL 5.276/2016 Princípios Finalidade: legítimas, específicas, explícitas e informadas ao titular; Adequação: compatível com as finalidades e as legítimas expectativas; Necessidade: mínimo necessário para alcançar as finalidades; Livre acesso: deve ser garantido acesso gratuito ao titular aos seus dados, englobando as modalidades de tratamento; Qualidade de dados: exatidão, clareza, relevância e atualização dos dados; Transparência: informações claras, adequadas e facilmente acessíveis sobre o tratamento; Segurança: medidas de proteção proporcionais e atualizadas para proteção contra acessos não autorizados; Prevenção: prevenir a ocorrência de danos em virtude do tratamento; Discriminação: tratamento não pode ser realizado para fins discriminatórios.

39 PL 5.276/2016 Enforcement legal Autoridade de garantia: provável criação de entidade administrativa específica para supervisionar a aplicação da Lei de Proteção de Dados Pessoais - Data Protection Authority. O PL usa a expressão órgão competente, sem definição de qual órgão público receberá tais competências SENACON?; Privacy Officer: conceituado como encarregado, ou seja, a pessoa responsável dentro da empresa pelas operações e políticas de tratamento de dados pessoais e pela comunicação com o órgão competente, a versão anterior determinava que toda empresa com mais de 200 funcionários deveria criar tal cargo. A nova versão não delimita um tamanho específico.

40 PL 5.276/2016 Principais Pontos Traz o conceito de dados sensíveis; O consentimento passa a ser apenas uma das 9 formas para autorizar a coleta, uso e tratamento dos dados pessoais, incluindo a figura dos legítimos interesses; O consentimento livre, informado e inequívoco passa a ser a regra geral, e o expresso apenas para situações específicas; Dados anônimos não mais constam na lei, também não mais existindo referência a dados dissociados, sendo substituídos por Dados Anonimizados, em alusão direta à métodos de anonimização que podem tornar improvável a identificação do titular;

41 PL 5.276/2016 Principais Pontos Dados públicos deixam de ser exceção ao consentimento e o seu tratamento deve estar adstrito aos princípios e às regras propostos pelo PL, considerando a finalidade, boa-fé e o interesse público que justificou a disponibilização; Há capítulo específico sobre o tratamento de dados pessoais pelo poder público, incluindo o compartilhamento de dados entre entidades públicas, e entre entidades públicas e privadas; O tratamento de dados pessoais para fins de segurança pública, segurança nacional e investigação criminal deve seguir os princípios gerais previstos no PL.

42 PL 5.276/2016 Principais Pontos Previsão do direito ao titular à portabilidade dos seus dados; A adequação, por meio do reconhecimento do nível de proteção pela autoridade competente, é apenas umas das formas para a transferência de dados internacionais, que inclui, também, o consentimento especial, cláusulas padrão, normas corporativas globais e autorizações pontuais; Criação do Órgão Competente, com competência para fiscalizar a aplicação da lei e punir entidades privadas, e do Conselho Nacional de Proteção de Dados e da Privacidade; Obrigatoriedade na implementação dos conceitos de privacy by design e data protection by design.

43 PL 5.276/2016 Principais Pontos Vazamentos de dados e notificações obrigatórias: Comunicação imediata ao órgão competente sobre a ocorrência de qualquer incidente de segurança que possa acarretar prejuízo aos titulares dos dados pessoais; Titulares devem ser comunicados diretamente toda vez que houver um risco a sua segurança pessoal ou possa causar danos, a ser determinado pelo órgão competente; Responsabilidade subjetiva: responsabilidade desde que provada culpa; Sanções: podem variar desde multa até proibição de tratamento de dados pessoais; Vacatio legis: o vacatio de 180 dias, período que as empresas e órgãos públicos sujeitos a lei terão para se adaptar.

44 PL 5.276/2016 Enforcement legal Autoridade de garantia: provável criação de entidade administrativa específica para supervisionar a aplicação da Lei de Proteção de Dados Pessoais - Data Protection Authority. O PL usa a expressão órgão competente, sem definição de qual órgão público receberá tais competências SENACON?; Privacy Officer: conceituado como encarregado, ou seja, a pessoa responsável dentro da empresa pelas operações e políticas de tratamento de dados pessoais e pela comunicação com o órgão competente, a versão anterior determinava que toda empresa com mais de 200 funcionários deveria criar tal cargo. A nova versão não delimita um tamanho específico.

45 Sugestões Bibliográficas