Lei Geral de Proteção de Dados: o que você precisa saber 1 Prof. Dr. Karin Klempp Franco
CONTEÚDO O que é LGPD Relevância prática Dados pessoais Tratamento Mapeamento Relatório de Impacto
Fundamentos da proteção de dados pessoais Privacidade Autodeterminação informativa Livre desenvolvimento da personalidade Livre iniciativa e concorrência Desenvolvimento econômico Desenvolvimento tecnológico e inovação
Multiplicidade de normas sobre dados Lei da Propriedade Industrial Lei de Acesso à Informação Ética profissional LGPD Marco Civil da Internet Código de Defesa do Consumidor Lei do Cadastro Positivo Normas setoriais Leis estaduais e municipais
O que são dados pessoais? Dado pessoal Informação relacionada a pessoa natural identificada ou identificável. Dado para formação de perfil comportamental de pessoa natural identificada. Dado pessoal sensível Dado pessoal que possa levar à discriminação de alguma pessoa. Lista de exemplos na LGPD: origem racial ou étnica, convicção religiosa, opinião política, filiação a organização de classe, religiosa, filosófica ou política, dado referente à saúde ou sexualidade, dado genético ou biométrico...
O que não são dados pessoais? Dados de empresas e instituições Informação relacionada a pessoa jurídica não é dado pessoal Segredos de negócio Dados pessoais podem ser segredo de negócio. Nem todo segredo de negócio é um dado pessoal. Dados anonimizados Informação relacionada a pessoa natural cuja identificação é inviável
As informações contábeis são dados pessoais? Os dados dizem algo sobre uma pessoa física ou jurídica? Os dados dizem algo sobre algum indivíduo em especial? Tal indivíduo pode ser identificado? Os dados podem ser cruzados para obter informações sobre um indivíduo ou identificar um indivíduo? Independentemente da LGPD, essas informações estão sob sigilo profissional do art. 2º, II do Código de Ética Profissional do Contabilista.
Quem está sujeito à lei? Qualquer pessoa, empresa ou órgão público que realiza que realiza tratamento de dados pessoais...... em território brasileiro; ou... para oferecer ou fornecer bens ou serviços a indivíduos situados no Brasil; ou... se os dados pessoais foram coletados em território brasileiro Mas há exceções: Tratamento por um indivíduo para fins pessoais e não econômicos Tratamento por órgãos públicos para segurança pública, defesa e investigação Tratamento para fins exclusivamente jornalísticos, artísticos ou acadêmicos
Tratamento de dados pessoais Definição legal: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração Toda e qualquer etapa do ciclo de vida do dado pessoal é sujeita à nova lei Cada categoria de colaboradores deve ter acesso a apenas alguns tipos de dados não todos eles conforme seja necessário e adequado.
Ciclo de vida do dado pessoal Coleta Recepção Produção Compartilhamento Transferência Transmissão Armazenamento Arquivamento Difusão Distribuição Processamento Reprodução Classificação Avaliação Controle Eliminação Acesso Extração Utilização
As 10 bases legais presentes na LGPD I. Mediante consentimento livre, informado e inequívoco; II. Cumprimento de dever legal ou regulatório; III. Execução de políticas públicas pela administração pública e concessionárias; IV. Estudos por instituições de pesquisa sem fins lucrativos; V. Cumprimento de contrato entre controlador e titular; VI. Exercício regular de direitos em processo judicial, administrativo ou arbitral; VI. Proteção da vida ou da incolumidade física de qualquer indivíduo; VII. Tutela da saúde por profissionais e entidades da área; VIII. Atendimento aos interesses legítimos do controlador ou de terceiro; e IX. Proteção do crédito. É necessária uma finalidade adequada, a garantia de transparência e dos direitos do titular, a minimização do tratamento, e a atenção às demais regras e princípios legais da proteção de dados
Atendimento a interesses legítimos Avaliação da legitimidade do interesse: Finalidade que não seja ilegal nem prejudicial ao titular do dado. Estrita necessidade. Impossibilidade de usar outras bases legais. Avaliação da legitimidade do tratamento de dados para atender ao interesse: O tratamento deve ser compatível com a finalidade na situação concreta. O tratamento deve ser compatível com as expectativas e direitos do titular. Transparência quanto ao tratamento. Minimização do tratamento e aplicação de salvaguardas ao titular.
Compartilhamento de dados entre entes privados Livre desde que haja consentimento específico do titular. Excepcionalmente os dados sensíveis só podem ser compartilhados a fim de obter vantagem econômica conforme regulamento da ANPD. Dados sensíveis sobre saúde com o fim de obter vantagem econômica foi desde logo proibido pela lei. Responsabilidade solidária entre os controladores em caso de infração. Compartilhamento de dados entre órgãos públicos Compartilhamento é autorizado apenas para execução de política pública ou cumprimento das atribuições legais do órgão. Consentimento específico do titular dos dados é dispensado. Deve ser dada a devida publicidade do compartilhamento aos cidadãos.
Compartilhamento de dados entre entidades públicas e privadas Compartilhamento é autorizado apenas para execução de política pública ou cumprimento das atribuições legais do órgão. Consentimento específico do titular dos dados é necessário. Consentimento específico do titular dos dados é dispensado apenas se a entidade privada realiza atividade pública descentralizada ou usa dados publicamente disponíveis. Deve ser dada a devida publicidade do compartilhamento aos cidadãos.
Agentes do tratamento de dados O Controlador toma decisões sobre o tratamento dos dados pessoais: Responsável pelo tratamento dos dados e por garantir a segurança dos dados. Deve efetivar e garantir os direitos dos titulares. Responde pela segurança e pelo tratamento perante o titular e a ANPD. O Operador apenas obedece às decisões do controlador: Responsável por garantir a segurança dos dados. Responde pelo cumprimento da lei e das ordens do controlador. Responde pela segurança perante o titular e a ANPD. Responde pelo tratamento se desobedece às ordens do operador.
Segurança Medidas técnicas e administrativas de proteção: Evitar acesso, destruição, perda, adulteração, comunicação ou difusão de dados. Registro obrigatório das operações de tratamento, programas de governança e regras de boas práticas corporativas. Nomeação de um DPO. Nível de segurança adequado considerando: Expectativas do titular; Tipo de dado e processos de tratamento; Resultados esperados e riscos envolvidos; e Tecnologia disponível na época.
Autoridade Nacional de Proteção de Dados - ANPD Agência vinculada diretamente à Presidência da república. Regulamenta e define padrões técnicos para viabilizar o cumprimento da lei. Aprova de regulamentos de governança e regras de boas práticas corporativas. Requisita e avalia Relatórios de Impacto à Proteção de Dados RIPD. Aprova cláusulas e contratos relativos a tratamento de dados. Decide sobre adequação de direito estrangeiro. Recebe e processa comunicações de incidentes de segurança. Atua preventivamente e repressivamente, com a aplicação de penalidades. O Conselho Diretor é o órgão decisório com membros indicados pelo Presidente da República para mandatos fixos de 4 anos. O Conselho Nacional da Proteção de Dados Pessoais e da Privacidade é um órgão consultivo multissetorial: governo + academia + indústria + sociedade civil.
Mapeamento Identificação de categorias de dados pessoais tratados, seu fluxo e todos os atos de tratamento durante seu ciclo de vida Requer uma força-tarefa composta por pessoal que entenda das atividades do dia-adia, dos negócios e dos sistemas do agente de tratamento. Primeiro passo para identificar inadequações à legislação gap analysis Abordagens: top-down identificação dos fluxos e definição de categorias bottom-up identificação dos dados e construção de fluxos
Relatório de impacto à proteção dos dados pessoais RIPD Mapear os dados, avaliar e descrever os processos de tratamento, bem como identificar e os minimizar riscos. Facultativo, a menos que seja requisitado pela ANPD. Importante ferramenta para avaliar conformidade. Conteúdo: tipos de dados coletados, metodologias de coleta de dados, medidas técnicas e administrativas de garantia de segurança dos dados, descrição de processos de tratamento de dados, indicação de finalidades do tratamento, análise e conclusões do controlador quanto à legalidade e garantia da segurança dos dados, além de medidas de salvaguarda e mitigação de riscos.
Penalidades administrativas Penalidades aplicáveis individualmente ou cumulativamente Advertência; Publicidade da infração; Bloqueio ou eliminação dos dados pessoais tratados de forma ilegal ou insegura; Multa simples por infração; e Multa diária até o limite máximo. As multas podem chegar a até 2% do faturamento do grupo econômico no Brasil no último exercício, limitadas a R$ 50.000.000,00. Além das penas, há responsabilidade civil: indenização por perdas e danos.
MUITO OBRIGADA! Karin Klempp Franco kklempp@btlaw.com.br (11) 3069-9080