Lei Geral de Proteção de Dados: o que você precisa saber 1 Prof. Dr. Karin Klempp Franco
CONTEÚDO O que é LGPD Relevância prática Dados pessoais Tratamento Consentimento Legítimo interesse Responsabilidade administrativa
Fundamentos da proteção de dados pessoais Privacidade Autodeterminação informativa Livre desenvolvimento da personalidade Livre iniciativa e concorrência Desenvolvimento econômico Desenvolvimento tecnológico e inovação
Multiplicidade de normas sobre dados Lei da Propriedade Industrial Lei de Acesso à Informação Ética profissional LGPD Marco Civil da Internet Código de Defesa do Consumidor Lei do Cadastro Positivo Normas setoriais Leis estaduais e municipais
Lei Geral da Proteção de Dados Pessoais - LGPD Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais. Inspirada na European General Data Protection Regulation - EU-GDPR. Entrada em vigor 18 meses após sua publicação. Veto à criação de uma autoridade nacional. Medida Provisória nº 869, de 27 de dezembro de 2018 Alterações pontuais à LGPD. Criação da Autoridade Nacional de Proteção de Dados ANPD. Prorrogação de 6 meses no prazo para entrar em vigor: 16 de agosto de 2020.
Casos reais atuais FIESP expõe dados sensíveis de 34 milhões de pessoas (por Felipe Payão para Tecmundo 21 nov. 2018 https://www.tecmundo.com.br/segurança/136386-fiesp-expõe-dados-sensíveis-500-mil-pessoashtm) A Federação das Indústrias do Estado de São Paulo (FIESP) expôs os dados de cerca de 34 milhões de pessoas, de acordo com o pesquisador de segurança Bob Diachenko. Os dados foram encontrados em uma base de dados Elasticsearch com 180.104.892 registros que deixavam acessíveis informações como nome completo, número de RG, número de identificação CPF, gênero, data de nascimento, endereço completo, e-mail e número telefônico. A FIESP reúne 52 unidades representativas no estado de São Paulo, que representam 133 sindicatos patronais e 130 mil indústrias. Após contato do pesquisados e do pessoal do Cibersecurity.net, a FIESP corrigiu a falha que deixa os dados abertos. Em números completos, a base expôs 34.817.273 pessoas.
Casos reais atuais FIESP expõe dados sensíveis de 34 milhões de pessoas (por Felipe Payão para Tecmundo 21 nov. 2018 https://www.tecmundo.com.br/segurança/136386-fiesp-expõe-dados-sensíveis-500-mil-pessoas-htm) Nós relatamos anteriormente que a falta de autenticação permitia a instalação de malware ou ransomware nos servidores Elasticsearch. A configuração pública permite a possibilidade de cibercriminosos gerenciarem todo o sistema com privilégios administrativos completos. Uma vez que o malware esteja no local, os criminosos podem acessar remotamente os recursos do servidor e até iniciar uma execução de código para roubar ou destruir completamente quaisquer dados salvos contidos no servidor, comentou Diachenko sobre a Elasticsearch.
Casos reais atuais Netshoes admite vazamento de dados de contas brasileiras (por Claudio Yugepara Tecmundo 27 fev. 2018 https://www.tecmundo.com.br/segurança/127662-netshoes-admite-governo-eua-vazamentodados-contas-brasileiras.htm) O TecMundo noticiou no dia 16 de janeiro mais um vazamento monstro da Netshoes, com dados sensíveis de mais de 1 milhão de clientes o anterior, no final de 2017, envolveu 500 mil consumidores. Na época, a empresa afirmou não ter identificado indícios de invasão e que, a exemplo dos dados divulgados pelo hacker no fim do ano passado, esta nova lista não inclui informações bancárias, de cartões de crédito ou senhas de acesso. Agora, em nota enviada à Comissão de Títulos e Câmbio (Securities and Exchange Comission SEC) dos Estados Unidos, a companhia confirma o ataque.
Casos reais atuais Netshoes admite vazamento de dados de contas brasileiras (por Claudio Yugepara Tecmundo 27 fev. 2018 https://www.tecmundo.com.br/segurança/127662-netshoes-admite-governo-eua-vazamentodados-contas-brasileiras.htm) O grupo ainda afirma que cibercriminosos tentaram extorqui-lo e as autoridades brasileiras foram acionadas. Atualmente, a polícia brasileira investiga o caso. A Netshoes realizou o comunicado junto à SEX porque possui ações em negociação nos Estados Unidos, onde o órgão é responsável por regular os mercados. No final de janeiro, o próprio Ministério Público do Distrito Federal e Territórios recomendou à Netshoes informar as pessoas afetadas e não pagar valores ao hacker que obteve os dados.
Casos reais atuais Loja da C&A usou dados de candidatos a emprego para bater meta de cartão (por Felipe Payão para Tecmundo 28 ago. 2018 https://www.tecmundo.com.br/segurança/133644-loja-c-usou-dados-candidatos-empregobater-meta-cartão.htm) Uma candidata a emprego na C&A, cadeia internacional de lojas de vestuário, teve seus dados pessoais usados para a criação de um cartão de crédito da empresa sem qualquer tipo de pedido ou aviso. De acordo com Fabiana S., em denúncia ao TecMundo, a C&A estaria usando dados de candidatos de forma antiética para bater uma meda de número de cartões criados.
Casos reais atuais Loja da C&A usou dados de candidatos a empreso para bater meta de cartão (por Felipe Payão para Tecmundo 28 ago. 2018 https://www.tecmundo.com.br/segurança/133644-loja-c-usou-dados-candidatos-emprego-bater-metacartão.htm) Participei de um processo seletivo semana passada na loja C&A do Minas Shopping, em Minas Gerais. Pouco tempo depois, chegou uma mensagem no meu celular me informando que meu cartão foi aprovado! Mas como? Nunca fiz cartão na C&A e eles não tinham meus dados para poder fazer isso, comentou Fabiana. Me lembrei que no processo seletivo pegaram nossos documentos enquanto a gente preenchia uma ficha e, logo em seguida, chamaram um a um para fazer um cadastro. Eles também pediram para u fazer leitura biométrica. Nunca vi isso em um processo seletivo e, mesmo assim, precisando de empreso, fiz isso tudo, esperando uma oportunidade de emprego. Ao que parece, os funcionários da C&A utilizaram os dados dos candidatos a suposta vaga para bater metas que envolvem novos clientes cadastrados no cartão. O TecMundo entrou em contato com a C&A, que confirmou investigar o caso.
O que são dados pessoais? Dado pessoal Informação relacionada a pessoa natural identificada ou identificável. Dado para formação de perfil comportamental de pessoa natural identificada. Dado pessoal sensível Dado pessoal que possa levar à discriminação de alguma pessoa. Lista de exemplos na LGPD: origem racial ou étnica, convicção religiosa, opinião política, filiação a organização de classe, religiosa, filosófica ou política, dado referente à saúde ou sexualidade, dado genético ou biométrico...
O que não são dados pessoais? Dados de empresas e instituições Informação relacionada a pessoa jurídica não é dado pessoal Segredos de negócio Dados pessoais podem ser segredo de negócio. Nem todo segredo de negócio é um dado pessoal. Dados anonimizados Informação relacionada a pessoa natural cuja identificação é inviável
As informações contábeis são dados pessoais? Os dados dizem algo sobre uma pessoa física ou jurídica? Os dados dizem algo sobre algum indivíduo em especial? Tal indivíduo pode ser identificado? Os dados podem ser cruzados para obter informações sobre um indivíduo ou identificar um indivíduo? Independentemente da LGPD, essas informações estão sob sigilo profissional do art. 2º, II do Código de Ética Profissional do Contabilista.
Quem está sujeito à lei? Qualquer pessoa, empresa ou órgão público que realiza que realiza tratamento de dados pessoais...... em território brasileiro; ou... para oferecer ou fornecer bens ou serviços a indivíduos situados no Brasil; ou... se os dados pessoais foram coletados em território brasileiro Mas há exceções: Tratamento por um indivíduo para fins pessoais e não econômicos Tratamento por órgãos públicos para segurança pública, defesa e investigação Tratamento para fins exclusivamente jornalísticos, artísticos ou acadêmicos
Tratamento de dados pessoais Definição legal: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração Toda e qualquer etapa do ciclo de vida do dado pessoal é sujeita à nova lei Cada categoria de colaboradores deve ter acesso a apenas alguns tipos de dados não todos eles conforme seja necessário e adequado.
Ciclo de vida do dado pessoal Coleta Recepção Produção Compartilhamento Transferência Transmissão Armazenamento Arquivamento Difusão Distribuição Processamento Reprodução Classificação Avaliação Controle Eliminação Acesso Extração Utilização
Bases legais para o tratamento dos dados Todo tratamento de dados precisa estar embasado no art. 7º da LGPD O consentimento não é a única possibilidade diferentemente do Marco Civil Qualificação do consentimento: Livre, informado e inequívoco - não precisa ser expresso por escrito Cláusula contratual destacada, se for por escrito Vinculado a finalidades certas, determinadas e previamente informadas Abrange apenas os usos necessários e adequados à finalidade declarada Revogável a qualquer momento Dispensado para dados tornados públicos pelo titular
As 10 bases legais presentes na LGPD I. Mediante consentimento livre, informado e inequívoco; II. Cumprimento de dever legal ou regulatório; III. Execução de políticas públicas pela administração pública e concessionárias; IV. Estudos por instituições de pesquisa sem fins lucrativos; V. Cumprimento de contrato entre controlador e titular;
VI. Exercício regular de direitos em processo judicial, administrativo ou arbitral; VII. Proteção da vida ou da incolumidade física de qualquer indivíduo; VIII. Tutela da saúde por profissionais e entidades da área; IX. Atendimento aos interesses legítimos do controlador ou de terceiro; e X. Proteção do crédito. É necessária uma finalidade adequada, a garantia de transparência e dos direitos do titular, a minimização do tratamento, e a atenção às demais regras e princípios legais da proteção de dados
Atendimento a interesses legítimos Avaliação da legitimidade do interesse: Finalidade que não seja ilegal nem prejudicial ao titular do dado. Estrita necessidade. Impossibilidade de usar outras bases legais. Avaliação da legitimidade do tratamento de dados para atender ao interesse: O tratamento deve ser compatível com a finalidade na situação concreta. O tratamento deve ser compatível com as expectativas e direitos do titular. Transparência quanto ao tratamento. Minimização do tratamento e aplicação de salvaguardas ao titular.
Compartilhamento de dados entre entes privados Livre desde que haja consentimento específico do titular. Excepcionalmente os dados sensíveis só podem ser compartilhados a fim de obter vantagem econômica conforme regulamento da ANPD. Dados sensíveis sobre saúde com o fim de obter vantagem econômica foi desde logo proibido pela lei. Responsabilidade solidária entre os controladores em caso de infração.
Compartilhamento de dados entre órgãos públicos Compartilhamento é autorizado apenas para execução de política pública ou cumprimento das atribuições legais do órgão. Consentimento específico do titular dos dados é dispensado. Deve ser dada a devida publicidade do compartilhamento aos cidadãos.
Compartilhamento de dados entre entidades públicas e privadas Compartilhamento é autorizado apenas para execução de política pública ou cumprimento das atribuições legais do órgão. Consentimento específico do titular dos dados é necessário. Consentimento específico do titular dos dados é dispensado apenas se a entidade privada realiza atividade pública descentralizada ou usa dados publicamente disponíveis. Deve ser dada a devida publicidade do compartilhamento aos cidadãos.
Agentes do tratamento de dados O Controlador toma decisões sobre o tratamento dos dados pessoais: Responsável pelo tratamento dos dados e por garantir a segurança dos dados. Deve efetivar e garantir os direitos dos titulares. Responde pela segurança e pelo tratamento perante o titular e a ANPD. O Operador apenas obedece às decisões do controlador: Responsável por garantir a segurança dos dados. Responde pelo cumprimento da lei e das ordens do controlador. Responde pela segurança perante o titular e a ANPD. Responde pelo tratamento se desobedece às ordens do operador.
Segurança Medidas técnicas e administrativas de proteção: Evitar acesso, destruição, perda, adulteração, comunicação ou difusão de dados. Registro obrigatório das operações de tratamento, programas de governança e regras de boas práticas corporativas. Nomeação de um DPO. Nível de segurança adequado considerando: Expectativas do titular; Tipo de dado e processos de tratamento; Resultados esperados e riscos envolvidos; e Tecnologia disponível na época.
Autoridade Nacional de Proteção de Dados - ANPD Agência vinculada diretamente à Presidência da república. Regulamenta e define padrões técnicos para viabilizar o cumprimento da lei. Aprova de regulamentos de governança e regras de boas práticas corporativas. Requisita e avalia Relatóris de Impacto à Proteção de Dados RIPD. Aprova cláusulas e contratos relativos a tratamento de dados. Decide sobre adequação de direito estrangeiro. Recebe e processa comunicações de incidentes de segurança. Atua preventivamente e repressivamente, com a aplicação de penalidades. O Conselho Diretor é o órgão decisório com membros indicados pelo Presidente da República para mandatos fixos de 4 anos. O Conselho Nacional da Proteção de Dados Pessoais e da Privacidade é um órgão consultivo multissetorial: governo + academia + indústria + sociedade civil.
Comunicação de incidentes Controlador deve informar a ANPD e os titulares potencialmente afetados. Obrigatória sempre que um evento de segurança traz riscos aos titulares. Prazo razoável definido pela ANPD. A ANPD poderá determinar a divulgação do incidente e medidas adicionais para evitar ou minimizar os potenciais danos. Requisitos: informação da natureza dos dados afetados e os potenciais riscos e danos envolvidos, titulares potencialmente afetados e medidas adotadas para evitar ou mitigar danos, justificando tempo de resposta.
Relatório de impacto à proteção dos dados pessoais RIPD Mapear os dados, avaliar e descrever os processos de tratamento, bem como identificar e os minimizar riscos. Normalmente facultativo, mas pode ser requisitado pela ANPD. Deve conter: tipos de dados coletados, metodologias de coleta de dados, medidas técnicas e administrativas de garantia de segurança dos dados, descrição de processos de tratamento de dados, indicação de finalidades do tratamento, análise e conclusões do controlador quanto à legalidade e garantia da segurança dos dados, além de medidas, salvaguardas e mecanismos de mitigação de riscos à privacidade.
Penalidades administrativas Penalidades aplicáveis individualmente ou cumulativamente Advertência; Publicidade da infração; Bloqueio ou eliminação dos dados pessoais tratados de forma ilegal ou insegura; Multa simples por infração; e Multa diária até o limite máximo. As multas podem chegar a até 2% do faturamento do grupo econômico no Brasil no último exercício, limitadas a R$ 50.000.000,00. Além das penas, há responsabilidade civil: indenização por perdas e danos.
Critérios para dosagem das penalidades Gravidade e natureza das infrações Direitos afetados e grau do dano Boa-fé, má-fé e tentativa de obter vantagem pelo infrator Condição econômica do infrator Reincidência Cooperação do infrator e rapidez na resposta Comprovação da existência de mecanismos e procedimentos para o tratamento seguro e adequado dos dados e minimização dos danos, de políticas de governança e regras de boas práticas Proporcionalidade da sanção Adoção de práticas de compliance pode diminuir as penalidades.
MUITO OBRIGADA! Karin Klempp Franco kklempp@btlaw.com.br (11) 3069-9080