Como proteger o capital investido nos negócios de tecnologia e na economia digital. Todos os direitos reservados aos respectivos autores.

Transcrição

1

3 Os dados são o ativo mais valioso da Sociedade Digital Fonte: ERICLEMERDY disponível em JCARTIER AUTOR DESCONHECIDO sis/en/images/gps.png; JEAN_VICTOR_BALIN acessado em Finalidade educacional. 3

4 If something is free, you re paying for it with your data. The age of privacy is over. 4

5 5

6 Qual é a sua estratégia de dados? Mais de 70% dos funcionários têm acesso a dados aos quais não deveriam ter; 80% do tempo dos analistas é gasto simplesmente descobrindo e preparando dados; Solução: As empresas precisam de uma estratégia coerente para atingir o equilíbrio adequado entre dois tipos de gestão de dados: defensiva, como segurança e governança, e ofensiva, como análise preditiva. Fonte: Harvard Business Review Junho

7 Defesa Espectro da estratégia de dados em diversos setores Hospitais: Operam em ambientes altamente regulados, onde a qualidade e proteção dos dados são de suma importância. Enfatizam a defesa em vez do ataque. Bancos: São fortemente regulados e exigem sólida defesa de dados. Como operam em mercados dinâmicos, costumam dedicar igual atenção ao ataque de dados. Varejistas: São menos regulados. Trabalham com dados pessoais confidenciais e limitados e devem reagir prontamente à competição e às mudanças de mercado. Em geral preferem o ataque à defesa. Ataque Fonte: Harvard Business Review Junho

8 É lícito o comércio dos dados? Dados menores e abstratos que não têm nenhuma importância isoladamente adquirem grande valor quando são cruzados com as curtidas no Facebook, por exemplo. (Tanya O Carroll Anistia Internacional) Fonte: El País. Disponível em: < Acesso em:

9 É lícito o comércio dos dados? LEI ANTERIOR Necessidade de Consentimento Prévio NOVA LEI A regra é a possibilidade da venda. Caso o usuário não queira, deverá informar o provedor de acesso. Fonte: El País. Disponível em: < Acesso em:

10 10

11 Desafios: padronização de conceitos Até onde vão os direitos comerciais por contratos, termos de uso e políticas de privacidade (propriedade intelectual e outros) e inicia a proteção por conta de direitos humanos? O que é o legítimo interesse? O que é anonimização de dados? Como aplicar e demonstrar? No que consiste na prática o direito a portabilidade de dados? A exclusão da base de dados solicitada pelo cliente (usuário), envolve excluir o que (tudo, o que ele informou no cadastro, o que foi enriquecido com informações vindas de outros ambientes, coletadas a partir de terceiros) 11

12 Tendências para regulamentação de dados Autoria: Patricia Peck Pinheiro

13 Tendências para regulamentação de dados Autoria: Patricia Peck Pinheiro

14 Tendência mundial Caráter protecionista; Entrada em vigor da Lei Geral de Proteção de Dados em Maio de 2018 para todos os Estadosmembros da UE; Exige o consentimento prévio para utilização dos dados; Caráter liberal; Presidente Donald Trump anulou a Lei de Privacidade em 3 de abril de 2017; Matéria legislada de forma estadual; Os provedores podem utilizar os dados sem o consentimento. Matéria contratual; 14

15 Tendências para regulamentação de dados UE Legislação uniforme GDPR Exige gestão do ciclo de vida (demanda vários consentimentos específicos para compartilhar, para enriquecer, para uso de nuvem fora da UE Requisito de Criptografia Direito de Portabilidade Aplica Nacionalidade + Territorialidade Atrelou tudo a Human Rights EUA Legislação por Estado NYC vem discutindo ajustes na Legislação Safe Harbour (para atender UE) Privacy (está mais relacionado com human rights e freedom of speech), tem tratamento diferente de Data Protection (relacionado a negócio, questões comerciais, hoje menos restritivas) Prevalece o princípio da governança por contratos (tanto para PF como para PJ, mesmo relações consumidor) BRASIL Não possui ainda lei específica de proteção de dados (PL 5276/2016 mais avançado) Pelo MCI exige 1 consentimento prévio e expresso na Política de Privacidade com cláusula específica (bases coletadas via web) senão relação é regida pelo CDC (consumidor) ou NCC (relações entre empresas) + CF/88 e algumas leis específicas (Lei Interceptação, Lei 105 sigilo bancário, LAI) 15

16 What was Safe Harbor? The Safe Harbor Framework, which was negotiated between the EU and United States in 2009, was the primary and often sole mechanism under which more than 4,400 companies of all sizes, and across all industries, legally transferred data from Europe to the United States for the past 15 years. During that time, the transatlantic trade relationship thrived, creating new jobs and new prosperity in both Europe and the United States. On October 6, 2015, the Court of Justice of the European Union (CJEU) effectively invalidated the Safe Harbor Framework on the basis that the European Commission had not appropriately evaluated whether the United States maintains essentially equivalent protections of EU citizen data. Fonte: 16

17 EU-US Privacy Shield Strong Obligations for Companies Handling of EU Citizens Data Clear Safeguards and Transparency Obligations for U.S. Government Agency Access New Redress and Complaint Resolution Mechanisms for EU Citizens Fonte: 17

18 Safe Harbour & EU-US Privacy Shield Fonte: S_IDA(2017)

19 Binding Corporate Rules Binding Corporate Rules ("BCR") are internal rules (such as a Code of Conduct) adopted by multinational group of companies which define its global policy with regard to the international transfers of personal data within the same corporate group to entities located in countries which do not provide an adequate level of protection. Mecanismo necessário para permitir a transferência de dados entre empresas multinacionais americanas e europeias. Fonte: 19

20 GDPR General Data Protection Regulation Passará a produzir efeitos a partir de 25 de Maio de 2018; Previsão de penalidades de 4% dos lucros anuais do Grupo Econômico ou 20 milhões de Euros (será aplicado o maior valor). A regulação também se aplica a companhias fora da UE que processam dados de indivíduos europeus. Fonte: 20

21 Importância da aprovação brasileira da Lei de Proteção de Dados Pessoais Caso não seja aprovada a Lei de Proteção de Dados Pessoais, o Brasil será considerado um país sem o nível de proteção adequado. Isto implicará em: Fuga de capital estrangeiro do país Foreign Direct Investment (FDI); Inviabilidade para o processamento de dados de cidadãos europeus; Impossibilidade de trazer dados como matéria-prima para os negócios no Brasil. 21

22 Cenário brasileiro É equivocado dizer que no Brasil não há normas de proteção de dados. Falta, contudo, uma lei que regulamente de forma abrangente a proteção dos cidadãos, a fim de extrapolar uma proteção meramente setorial. Falta, contudo, uma lei que regulamente de forma abrangente a proteção dos cidadãos, a fim de extrapolar uma proteção meramente setorial. 22

23 Leis setoriais brasileiras Exemplos de leis setoriais de proteção de dados: 23

24 Framework legal de Proteção de Dados no Brasil FRAMEWORK DE PROTEÇÃO DE DADOS PESSOAIS NO BRASIL Constituição Federal/1988 Art. 5º, inciso X, incisos XI e XII Art. 5º, inciso LXXII Código Civil Lei nº /2002 Art. 20 e 21 Código de Defesa do Consumidor Lei nº 8.078/1990 Art. 43 Lei do SAC - Decreto nº 6.523/2008 Art. 11 Lei do Cadastro Positivo Lei nº /2011 Art. 3º, 5º, 9º Marco Civil da Internet Lei nº /2014 Decreto do Marco Civil da Internet Decreto nº 8.771/2016 Art. 3º, incisos II e III Art. 7º, incisos I, II, III, VII, VIII Art. 8º Art. 15 Art. 10 Art. 13º Art. 14º 24

25 Violação da Base de Dados sem consentimento Disponível em: 25

26 PROJETO DE LEI Nº 4060/2012 Nº 330/2013 Nº 5276/2016 Sistema de Adesão Autorização anterior por qualquer meio que permita a manifestação de vontade (art.12) Consentimento prévio e expresso com respeito a: coleta tratar dados sensíveis interconexão com banco de dados privados Consentimento livre, informado e inequívoco Tratamento Enriquecimento Toda operação ou conjunto de operações, [...] que permita o armazenamento, ordenamento [...] de dados pessoais (Art.7,II) Qualquer operação ou conjunto de operações, em um ou mais bancos de dados, independentemente do mecanismo utilizado (Art.3º III) Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, [...] difusão ou extração. (Art.5,II) 26

27 PROJETO DE LEI Nº 4060/2012 Nº 330/2013 Nº 5276/2016 Compartilhamento Internacional Permitido empresas do mesmo grupo, parceiros comerciais terceiros relacionados no tratamento. (art.14) Permitido Interesses legítimos dos proprietários (art.12) Internacional (acordo prévio) Exclusão Bloqueio (art.19) Exclusão ou dissociação gratuita de dados pessoais; A exclusão automática (art.7,viii) Portabilidade Permitido Condições (Art.33) Limitações ao Poder Público (art.26,27,28) Eliminação a qualquer momento dos dados cujo o tratamento tenha consentido (art.18,vi) Portabilidade, mediante requisição, de seus dados pessoais a outro fornecedor de serviço 27 ou produto (Art.18,V)

28 PROJETO DE LEI Nº 4060/2012 Nº 330/2013 Nº 5276/2016 Penalidades Sanções previstas no Código de Defesa do Consumidor, sem prejuízo das demais sanções de natureza civil e penal cabíveis. (Art.21) Multa Suspensão temporária de atividade Intervenção administrativa Interdição, total ou parcial da atividade Sanções civis e penais(art.15) Multa simples ou diária Publicização da infração Anonimização dos dados pessoais Bloqueio dos dados pessoais Suspensão de operação de tratamento de dados pessoais Cancelamento dos dados pessoais Suspensão de funcionamento de banco de dados Sanções civis e penais 28

29 Comparativo Projetos de Lei Artigo 19 Pesquisa disponível em: < Acesso em: 16 mai

30 PROTEÇÃO DE DADOS PELA AMÉRICA LATINA LATAM Argentina Proteção de dados pessoais Lei nº /2000 Lei de Proteção de Dados Pessoais Chile Projeto de Lei para atualizar a lei (em andamento desde 2011) Lei /1999 Lei de Proteção de Dados Pessoais Colômbia México Panamá Peru Lei nº 1581/ Lei Geral de Proteção de Dados Pessoais Decreto nº 1.377/2013 Regulamenta a Lei Geral de Proteção de Dados Pessoais Lei Federal de Transparência e Acesso à Informação Pública Governamental Lei Federal de Proteção de Dados Pessoais em Poder de Particulares (2010) Projeto de Lei sobre Proteção de Dados Pessoais (em andamento) Lei nº 06/2002 Lei de Transparência e Acesso à Informação Pública Lei nº /2011 Lei de Proteção de Dados Pessoais Uruguai Lei n /2008 Lei de Proteção de Dados Pessoais *útlimo acesso em

31 Chief Privacy Officer Responsável por toda a privacidade dos dados de uma organização, bem como por evitar (combater, prevenir, coibir) vazamentos de informação e qualquer utilização inadequada das bases de dados que venham a ferir as regras para os quais foram obtidos ou leis específicas sobre sua guarda (dependendo do segmento em que a empresa esteja atuando). Estudos mostram que 30% dos CPOs são advogados ou possuem alguma formação jurídica e 15% deles estão alocados no departamento de segurança da informação ou de algum modo possuem relação direta com o Security Officer. 31

32 Chief Privacy Officer Se a sua empresa ainda não tem um CPO, por certo é um cargo que deverá ser criado nos próximos anos. Objetivo: facilitar que a empresa faça negócios em países que já possuem leis de proteção de dados pessoais e que são mais rigorosos nas exigências sobre privacidade. 32

33 SEGURANÇA DIGITAL Ransomware Fonte: Acesso em: 16 mai

34 Pesquisa IBM, Arxan Technologies e Ponemon Institute publicada em janeiro/2017 Fonte: &S_PKG=ov56535&ce=ISM0484&ct=SWG&cmp=IBMSocial&cm=h&cr=Se curity&ccy=us Acesso em: 05 jul

35 Tendências para regulamentação de dados 1. Empresa precisa fazer realizar um parecer de análise quanto ao Compliance a Regulamentações de Privacy and Data Protection da sua operação, considerando os seguintes indicadores: Onde está a matriz da empresa? Onde está seu principal (ou principais) mercados? Qual a origem da base de dados principal e secundária (geolocalização dos dados)? Os dados são de origem PF, PJ, ou mista? Onde os dados estão sendo armazenados (principal e redundância)? Qual a nacionalidade dos dados (matriz de nacionalidades)? 2. Com base no diagnóstico, implementar as medidas técnica e legais para ficar em conformidade com as regras conforme a matriz regulatória a ser montada pela aplicação dos mínimos denominadores comuns entre as legislações (legal cross relations matrix) 3. Para fins de atender GDPR é necessário apresentar este parecer de conformidade preliminar (a legislação EUA e Brasileira atuais não exigem ainda) 4. Deve ser constituído um comitê para tratar do tema e indicado um CPO (Chief Privacy Officer) para realizar o acompanhamento das implementações e evoluções do tema na empresa 35

36 Bibliografia IAPP Fonte: 36

37 Bibliografia - IAPP Fonte: 37

38 PatriciaPeckPinheiro Pppadvogados PatriciaPeckPinheiro Advogados FamiliaMaisSeguraNaInternet Instituto