A Lei Brasileira de Proteção de Dados Pessoais L.G.P.D Lei 13.709/2018 Alan Campos Elias Thomaz
Agenda Introdução Aspectos de Negócio Privacidade, Proteção de Dados e Cybsersegurança: Lei Geral de Proteção de Dados Conformidade com a legislação aplicável 2
Dados Pessoais são ao mesmo tempo um ativo valioso e um risco
Análise de dados combinada aos negócio Big Data, Analytics e Machine Learning Antecipação de tendências e análise comportamental são exemplos do impacto dessas novas tecnologias. Desenvolvimento de novos negócios e produtos Maior assertividade e personalização na oferta de novos produtos e serviços. Ampliação de grupos de consumidores alvos Marketing direcionado para cada grupo de consumidor em potencial. 4
Proteção de dados e sua importância para os negócios Favorecer a inovação e os negócios Fomentar a prática da inovação em diversos setores da economia. Confiança aos clientes e demais stakeholders Incidentes envolvendo os dados pessoais, gerando repercussão negativa na mídia e desconfiança perante a empresa, podendo gerar tanto redução da sua receita como valor de mercado. 5
Incidentes de dados no Brasil Chantagem e susto antes de I.P.O Vazamento do código-fonte do software proprietário da Pagar.me e de sua plataforma. Efeitos: Esclarecimentos à SEC (Securities Exchange Commission) e chantagem pelos atacantes que pediram dinheiro. Vazamento de dados silenciado Vazamento de dados de 57 milhões de usuários, entre elas, 196 mil usuários brasileiros. O vazamento ocorreu em 2016, mas a empresa apenas divulgou em 2017. Efeitos: Multa de US$ 148 milhões. Demissão de diretores, com repercussão em várias jurisdições. Tentativas de encobrir o incidente e investigações Vazamento de dados bancários de cerca de 20 mil pessoas. Inicialmente, a empresa alegou que não havia ocorrido ataque externo, mas sim um vazamento internamente. Efeitos: Investigação do MP-DFT e exposição a pagamento de multa de R$ 10 milhões. Acusações de encobrimento do vazamento pela empresa. 6
Lei Geral de Proteção de Dados (+ comparativo com legislação europeia)
Panorama da Proteção de Dados no Brasil Constituição Federal Lei das Interceptações Telefônicas Lei do Sigilo Bancário Lei do Cadastro Positivo Lei do Acesso a Informação LGPD GDPR BACEN Código de Defesa do Consumidor Lei do Habeas Data Código Civil Lei Carolina Dieckmann Marco Civil da Internet CFM Decreto MCI 1988 1990 1992 1994 1996 1998 2000 2002 2004 2006 2008 2010 2012 2014 2016 2018 1997 2001 20AA 2007 2011 8
Proteção de dados na América Latina Argentina México Chile Uruguai Lei Geral de Proteção de Dados desde 2000 Legislação Federal de Proteção de Dados Pessoais desde 2010 Lei de Proteção de Dados Pessoais desde 1999. Lei de Proteção de Dados Pessoais desde 2008. De acordo com a Comissão Europeia, a Argentina e o Uruguai eram os dois únicos países na América Latina com níveis adequados sobre proteção de dados. 9
Escopo da Lei de Proteção de Dados Pessoais Lei Geral de Proteção de Dados - LGPD Se aplica Não se aplica Coleta de dados pessoais de indivíduo localizado no Brasil Tratamento realizado no Brasil Oferta de Bens e Serviços para indivíduos no Brasil Uso pessoal, não comercial, fins jornalísticos, artísticos ou acadêmicos, segurança pública Dados provenientes e destinados a outros países, que apenas transitem pelo território nacional 10
Dados Pessoais, Sensíveis, Psedonomizados e Anonimizados Dados Pessoais Dados e informações relativas a uma pessoa viva, identificável ou identificada. Dados Pessoais Sensíveis Dados originalmente reservados somente para aquele individuo, restringindo a coleta e o tratamento pelo Controlador. Dados Pseudonomizados Dados que podem ser atribuídos a uma pessoa mediante a adição de outras informações complementares Dados Anonimizados Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. 11
Dados Pessoais Sensíveis Saúde e vida sexual Origem racial ou étnica Filiação a sindicato ou a organização religiosa, filosófica ou política Dados Pessoais Sensíveis Opinião política Convicção religiosa Dado genético ou biométrico 12
Data Controller e Data Processor / Controlador e Operador Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador Agentes de Tratamento Responsabilida de objetiva por eventos de cyber A LGPD e a GDPR estabelecem que controladores e operadores serão diretamente sujeitos às disposições da lei, ainda que o controlador tenha mais obrigações regulatórias. 13
Princípios da Proteção de Dados GDPR LGPD Licitude, Lealdade e Transparência Livre Acesso e Transparência Limitação de Finalidade Minimização de Dados e Limitação da Retenção Precisão Princípios Finalidade e Adequação Necessidade Qualidade dos Dados Segurança e Prevenção Integridade e Confidencialidade Responsabilidade Responsabilização e Prestação de Contas Não Discriminação 14
Base Legal para Tratamento de Dados Pessoais Consentimento Execução de contrato Cumprimento de obrigação legal Legítimo Interesse Processo judicial, administrativo ou arbitral LGPD GDPR Pesquisa e estudo Interesse Público Pela Autoridade Pública ou em seu benefício Para a proteção de crédito Saúde 18
Base Legal para Tratamento de Dados Sensíveis Consentimento Execução de contrato Cumprimento de obrigação legal Legítimo interesse Processo judicial, administrative e arbitrativo Prevenção à fraude Dados manifestamente colocados em público LGPD GDPR Pesquisa e estudos Interesse público Pela Autoridade Pública ou em seu benefício Para a proteção de crédito Saúde Associações de cunho político, filosófico, religioso ou sindicatos 19
Requisitos de Consentimento Prévio Prévio Indicação inequívoca por declaração ou ação afirmativa Livre Por escrito ou outro meio que demonstre a vontade do titular Livre Para uma finalidade determinada LGPD Informado Específico Informado Inequívoco 17
Atributos do Consentimento GDPR LGPD Pode ser revogado a qualquer tempo Pode ser revogado a qualquer tempo Manifestado de maneira apartada de outros termos. Manifestado de maneira apartada de outros termos. Se para dados sensíveis, também deve ser: Explícito Se para dados sensíveis, também deve ser: Específico Em destaque 18
GDPR Crianças Consentimento em serviços online pode ser válido para maiores de 16 anos. Para menores de 16 anos o consentimento deve ser assistido Países membros podem reduzir a idade do consentimento não assistido para até 13 anos Responsável deve utilizar esforços razoáveis para verificar se o consentimento foi dado pelo representante legal, quando necessário Dados de crianças não podem ser mantidos com base no legítimo interesse, se exercitado o direito de exclusão pelos representantes legais. Tratamento de dados de crianças e adolescentes deve ser realizado no seu melhor interesse Informações devem ser fornecidas de maneira simples, clara e acessível para a criança e pais/responsáveis Deve ser realizado com consentimento específico e em destaque, por pelo menos um dos pais ou responsáveis Obrigação de melhores esforços para verificação do consentimento Poderá ser feita a coleta sem consentimento dos pais ou responsáveis, para fins de contatar os pais ou responsáveis, uma única vez e sem armazenamento ou compartilhamento, ou para sua proteção O agente responsável pelo tratamento deve manter pública informação sobre os tipos de dados coletados LGPD 19
Direitos do Titular Acesso Retificação Eliminação Portabilidade Objeção ao processamento Direito de peticionar contra o responsável Informação Revisão de decisão automatizada Direitos do Titular dos dados Informação sobre não fornecimento do consentimento e consequências Restrição de processamento Revogação do consentimento Informação sobre quais entidades o dado foi compartilhado Inversão do ônus da prova 20
Transferência Internacional Normas Corporativas Globais Cláusulas contratuais padrão Consentimento Países reconhecidos por prover adequação Tratados e acordos internacionais Selos e Certificados Contratospadrão Códigos de Conduta 21
GDPR Registro do Processamento para Controladores / Record of Processing Nome e contados do controlador Finalidade do processamento, descrição das categorias de data subjects e categorias de dados pessoais Categorias de entidades receptoras dos dados, incluindo estrangeiras Controlador e operador devem registrar as operações de tratamento de dados pessoais, especialmente quando baseado no legítimo interesse Trata-se do track record dos dados pessoais LGPD Tempo limite para remoção dos dados e informações sobre medidas de segurança (anonimização, criptografia, etc). Regras semelhantes para processadores. Não aplicável se a empresa possuir menos do que 250 funcionários, com algumas exceções 22
Responsabilidade Demonstrável e Boas Práticas Adoção de medidas técnicas e organizacionais para proteger os dados pessoais contra acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, desde a concepção do produto ou serviço. Privacy by Design Privacy Impact Assessment DPO Data Protection Officer (encarregado) 23
Regulação de Cybersegurança Setorial Conselho Federal de Medicina estabeleceu regras específicas de cybersegurança para utilização de prontuário médico eletrônico (2007) Resoluções de Cybersegurança do Banco Central (Resolução nº 4,658/2018) Estabeleceu diretrizes sobre a contratação de serviços em nuvem 24
Em até 72 horas Requisitos de Notificação de Incidentes GDPR LGPD Eventos que causem risco ou dano relevante Natureza dos dados pessoais afetados Titulares dos dados Riscos relacionados ao incidente Medidas técnicas mitigadoras Eventos que causem risco ou dano relevante Natureza dos dados pessoais afetados Titulares dos dados Riscos relacionados ao incidente Medidas técnicas mitigadoras Em prazo razoável Dados do Data Privacy Officer Ampla divulgação 25
Plano de Resposta a Incidentes Procedimento predeterminado para mitigação de riscos e problemas após incidentes Eficiência no processo de investigação, com preservação de informações Reduz custo de remediação e eventuais contingências Respostas mais rápidas e precisas Diretrizes de como proceder já estão estabelecidas e foram planejadas Melhor defesa e cooperação com autoridades Time responsável por analisar e conduzir a resposta a incidentes e investigar 26
Sanções GDPR Advertência ou repreensão; Advertência LGPD Multas de até 20 milhões de euros ou até 4% do volume anual de negócios mundiais da empresa no ano precedente, o que for maior; Exigir o cumprimento de direitos do titular de dados e demais dispositivos da Regulamentação; Ordenar a comunicação do incidente aos titulares de dados; Multa (até 2% do faturamento do grupo no Brasil, limitada a 50 MM); Divulgação da infração; Eliminação de dados pessoais; As sanções podem ser aplicadas cumulativamente, por dia e infração, mas sempre com base na gravidade e extensão da violação Limitação ou bloqueio (parcial ou total) do processamento de dados; Retificação ou eliminação de dados, e notificação a aqueles terceiros que os dados foram compartilhados; e Revogação de certificação para fins de transferência internacional. 27
Autoridade de Proteção de Dados e Conselho Nacional O Presidente vetou, dentre outros, os artigos 55 a 59 do Capítulo IX relativos à criação da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que seriam os órgãos responsáveis por supervisionar e impor o cumprimento da LGPD devido a uma falha no processo legislativo de criação da LGPD. Espera-se que o Presidente envie outro projeto de lei ao Congresso para corrigir referida situação e permita que a ANPD seja devidamente estabelecida dentro do período de 18 meses de vacatio legis. 28
Adequação a Lei
Como começar? o Compreender em qual medida o GDPR e a LGPD se aplica; o Realizar um gap analysis (parte legal e técnica); o Analisar bases legais de tratamento; o Readequar processos internos de tratamento de dados (mudança de cultura interna); o Revisar políticas de privacidade (internas e externas) e políticas corporativas; o Revisar os contratos que impliquem processamento de dados (data processors); o Preparar as cláusulas corporativas vinculantes (BCR) para transferências intra-grupo; o Implementar Registro de Processamento de Dados; o Revisar política de incidentes de dados para garantir o cumprimento de requisitos de notificação às autoridades. 30
Alan Campos Elias Thomaz alan.thomaz@mattosfilho.com.br +55 11 3147-7708 São Paulo! Clique na foto para visualizar o perfil completo. 31
www.mattosfilho.com.br SÃO PAULO PAULISTA Al. Joaquim Eugênio de Lima 447 01403 001 São Paulo SP Brasil T 55 11 3147 7600 SÃO PAULO FARIA LIMA Rua Campo Verde 61 3º andar 01456 000 São Paulo SP Brasil T 55 11 3035 4050 BRASÍLIA SHS Q6 Bloco C Cj. A sala 1901 70322 915 Brasília DF Brasil T 55 61 3218 6000 RIO DE JANEIRO Praia do Flamengo 200 11º andar 22210 901 Rio de Janeiro RJ Brasil T 55 21 3231 8200 NEW YORK 34 East 51 st Street, 12 th floor New York, NY 10022 U.S.A. LONDON 5 th floor, 32 Cornhill London UK EC3V 3SG T 44 (0)20 7280 0160