A Nova Lei Geral de Proteção de Dados Brasileira
Impacto para empresas de publicidade on-line Meses antes da GDPR, o cenário era pessimista em relação ao seu impacto no campo da publicidade on-line. Embora tenha havido um corte nos dias que se seguiram à GDPR, nossa experiência demonstrou que houve uma recuperação nas compras médias on-line. No Brasil, o cenário deve ser bem parecido. Iniciativas já adotadas por empresas e associações na UE (como a Estrutura de Transparência e Consentimento do IAB), Plataformas de Gerenciamento de Consentimento, Painéis de Privacidade e Políticas Gerais) também são válidas sob a ótica da LGPD. Embora o consentimento permaneça como uma das principais bases legais para a indústria de publicidade, a definição de legítimo interesse da LGPD é menos restritiva do que a definição da GDPR, o que poderia levar a interpretações mais permissivas. Considerando nossos precedentes legais relativos à responsabilidade conjunta e solidária, a regulamentação das obrigações contratuais deve ser outro importante ponto de atenção.
Quais as vantagens de uma lei geral de dados? Unificar regras Regras únicas e harmônicas sobre o uso de dados pessoais, independente do setor da economia. Adequar as regras no Brasil Tornar o Brasil apto a processar dados oriundos de países que exigem um nível de proteção de dados adequados, o que pode fomentar, principalmente, os setores de tecnologia da informação. Regras claras para empresas Estabelecer regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais para empresas. Maior Flexibilidade Autorizar formas mais flexíveis para o tratamento de dados pessoais, tais como legítimos interesses, que levam em consideração uma sociedade movida à dados em tempos de Big Data.
Escopo de aplicação / Dado pessoal Dado Pessoal Dado Anonimizado Identificada e Identificável (cookies e identificadores eletrônicos) / Dados sensíveis Profiling Podem acarretar em práticas discriminatórias Saúde, orientação sexual Dados de crianças e adolescentes / Aplicação Online e offline Privado e Público Dados corporativos / Dados Anonimizados Não há definição em leis setoriais Critérios filtro da razoabilidade: custo+tempo+estado da arte da tecnologia Extraterritorial
Bases legais para o tratamento de dados Legítimo Interesse Tutela da Saúde Proteção do Crédito Consentimento Contratos Proteção à Vida Pesquisa realizada por órgão Política Pública Obrigação Legal Processos Judiciais ou Administrativos
Transparency and Consent Framework - TCF
Consent Management Platform - CMP
Consent Management Platform - CMP
Consent Management Platform - CMP
Consent Management Platform - CMP
Consent Management Platform - CMP
Consent Management Platform - CMP
Consent Management Platform - CMP https://www.jota.info/opiniao-eanalise/colunas/agenda-daprivacidade-e-da-protecao-dedados/cookie-notice-informar-obter-epor-fim-coletar-dados-pessoais- 23112018
Legítimo Interesse vs Consentimento / Legítimo interesse Legítimo Interesse Dispensa a obtenção do consentimento Balanceamento entre os interesses comerciais e as expectativas da pessoa física Necessário realizar um assessment de risco por meio de um teste de proporcionalidade em 03 partes Legitimidade, Necessidade e Balanceamento Salvaguardas
Legítimo Interesse vs Consentimento
Dados públicos
Direitos básicos dos titulares
Obrigações Data Protection Officer - DPO Padrões de Segurança da Informação Relatório de Impacto - DPIA Registro das Atividades Códigos de Conduta e Certificação Privacy by Design Woman by Freepik, File by Smashicon, Laptop by Freepik, Shield by pongsakornred, Innovation by Geotatah, Book by Icon Pound
Autoridade e responsabilidade Autoridade Nacional de Proteção de Dados ANPD veto presidencial mas, promessa de futura criação Transferência Internacional de Dados Notificação Obrigatória de Incidentes Responsabilidade dos Agentes Penalidades / Multas (2% do faturamento, até 50 milhões de reais) Adaptação durante o período de transição de 18 meses Worldwide by srip, Account by Freepik, Vision by Market Vector, Alarm by Freepik, Invoice by Prosymbols
Como a LGPD se relaciona com o Marco Civil da Internet Consentimento Expresso (MCI) Complemento e substituição do Marco Civil da Internet Inequívoco (LGDP) Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Eraser by Freepik;
Responsabilidade dos agentes Responsabilidade na LGPD / do Controlador / do Operador / Solidária / Excludentes de responsabilidade Responsabilidade civil / Dano + dever de reparação / Direito de regresso / Pode de auditoria / Data Protection Officer ( encarregado ) Responsabilidade no Direito Responsabilidade no Marco Civil da Internet / Uso indevido dos dados / Necessidade de ordem judicial (?) Empresarial / Diretores e colaboradores estatutários / Abuso da Pessoa Jurídica (Resp. Penal) / Desconsideração da Personalidade Jurídica Eraser by Freepik;
Como a LGPD se compara à GDPR Data Processing Agreement - DPA: ainda sob discussão na LGPD, não estabelecido; Multas: GDPR: até 4% do faturamento global; LGPD: 2% do faturamento no Brasil, até R$ 50 milhões; Registro das atividades de tratamento: GDPR: Não obrigatório para empresas com menos de 250 funcionários; LGPD: obrigatório para todas as empresas; Notificação obrigatória: GDPR: 72 horas; LGPD: tempo razoável (deve ser regulado no futuro); DPO: GDPR: não obrigatório ser pessoa natural; LGPD: DPO deve ser pessoa natural, e estar presente em todas as empresas, salvo determinação no DPA; Informações aos titulares dos dados: GDPR não determina gratuidade, enquanto a LGPD determina gratuidade do fornecimento de informações, correções, portabilidade, etc.
Como se preparar para a nova regulação? Conscientização: cursos, treinamentos, workshops Data Protection Officer (DPO); Executivos Colaboradores Relatório de Impacto (Data Protection Impact Assessment - DPIA); Privacy by Design e Privacy by Default Revisão de Contratos (Data Processing Agreements)
Data Protection Impact Assessment É necessário um time de profissionais altamente especializados em proteção de dados, qualificados para fornecer assessoria tanto na LGPD quanto na GDPR, customizados caso-a-caso, de acordo com as necessidades e o nível de conformidade com a legislação, incluindo DPIA, políticas internas, privacy by design e opiniões legais.
O que deve acontecer? 14 de Agosto, 2018 / Sanção pelo Presidente da República 18 meses de adaptação / Metodologias de compliance / ANPD (?) e o papel de outras entidades Impact Assessments / Identificação, medição e mitigação de riscos Entrando em vigor / Definir action plan / Mapeamento dos dados coletados / Paíneis de controle de privacidade / Revisão de contratos
Na ptática Diretorias / Aspectos Societários / Nomear um DPO Gerência / Implementação da política de segurança da informação no cotidiano / Política de Proteção de Dados Tecnologia da Informação / Security by design and by default / Resposta à incidentes da segurança da informação Recursos Humanos / Proteção dos dados dos funcionários / Expectativa de privacidade Jurídico/ Compliance / Fiscalização / Revisão dos contratos e termos / DPIA e Action Plan / DDR Marketing / Tratamento de dados para direcionamento de publicidade / Perfilamento / Aquisição de base de dados
Agradecimentos Palestrante 1 Cargo Contato
Rua Fidalga, 593, cj 11 Vila Madalena - São Paulo +55 (11) 3849-8468 www.iabbrasil.com.br educacao@iabbrasil.org.br