Este documento apresenta uma introdução à Lei Geral de Proteção de Dados Pessoais do Brasil (LGPD). A apresentação contém 43 slides organizados em 6 partes, abordando tópicos como definição de dados pessoais, princípios da LGPD, direitos do titular e agentes envolvidos no tratamento de dados. O material serve como referência para pessoas e empresas afetadas pela legislação brasileira sobre privacidade e proteção de dados.
1. LGPD
Introdução à Lei Geral de Proteção de
Dados Pessoais do Brasil
Débora Modesto
Douglas Siviotti
Setembro
2019
2. Sobre esta Apresentação
1. Conteúdo: Introdução à LGPD
2. Área/Foco: LGPD
3. Público alvo: Pessoas e empresas afetadas pela LGPD
4. Conteúdo relacionado: Proteção de Dados Pessoais, GDPR, Segurança em TI
Organização: 43 slides organizados em 6 partes (+- 40 minutos)
1. Introdução, 2. Definição, 3. Tratamento, 4. Direitos do Titular, 5. Agentes e 6. Impacto
Material de apoio desta apresentação:
https://github.com/artesoftware/conteudo
3. Século 21: dado é o novo petróleoSéculo 21: dado é o novo petróleo
introduçãointrodução
parte 1
5. ““corrida do ouro” ondecorrida do ouro” onde
os dados pessoais são oos dados pessoais são o
material a sermaterial a ser
“minerado” sem regras“minerado” sem regras
motivaçãomotivação
6. GDPR – lei europeiaGDPR – lei europeia
sobre proteção desobre proteção de
dados pessoaisdados pessoais
inspiraçãoinspiração
7. GDPR e o Caso Cambridge Analytica inspiração
Coleta de dados pessoais de 87
milhões de usuários do Facebook
recolhidos pela Cambridge Analytica
Utilizado em campanhas políticas nos
EUA e no Brexit
Em 2018 o Facebook anuncia que vai
implementar a GDPR em todas as
operações ao redor do mundo
8. efeito “contagio” força todasefeito “contagio” força todas
as empresas de uma cadeiaas empresas de uma cadeia
produtiva a seguir as regrasprodutiva a seguir as regras
forçaforça
9. Lei Geral de Proteção de Dados PessoaisLei Geral de Proteção de Dados Pessoais
Lei 13.709 / 2018, em vigor em Agosto/2020Lei 13.709 / 2018, em vigor em Agosto/2020
fundamentosfundamentos
parte 2
10. LGPD fundamentos
LGPD é a sigla popularmente usada para designar a “Lei Geral de Proteção de Dados
Pessoais” que tem como finalidade normatizar e uniformizar as regras sobre coleta,
armazenamento e tratamento de dados pessoais no Brasil.
Tratamento de Dados é toda a operação realizada sobre os dados pessoais de um
uma pessoa: coleta, produção, recepção, acesso, reprodução etc (20)
Todo e qualquer tratamento deve ser registrado e classificado
11. Escopo (art. 3) fundamentos
Qualquer operação de tratamento realizada em território nacional
Atividade de fornecimento de bens ou serviços em território nacional
Dados das pessoas tenha sido coletados em território nacional
Indivíduos localizados em território nacional
12. Escopo (art. 4 – Não se Aplica) fundamentos
Não se aplica a tratamento realizado para fins
exclusivamente pessoais e
sem fins econômicos (art. 4)
Escopo/Alvo = Atividades Econômicas
Não se aplica a tratamento realizada para fins: jornalísticos ou artísticos,
acadêmicos, segurança pública, defesa nacional, segurança do estado ou
atividades contra infração penal (art. 4)
13. Conceitos e Definições (art. 5) - Dados fundamentos
Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável
Dado Pessoal Sensível: dado de origem racial ou étnica, convicção religiosa,
opinião política, filiação sindical ou religiosa, filosófica, política, referente a saúde, vida
sexual, genética, biométrica de uma pessoa
Dado Anonimizado: dado relativo ao titular que não pode ser identificado
(dado anonimizado não é dado pessoal – art. 12)
Banco de Dados: conjunto estruturado de dados em meio físico ou eletrônico
14. Conceitos e Definições (art. 5) - Atores fundamentos
Titular: pessoa natural a quem se referem os dados pessoais tratados (dono)
Controlador: pessoa natural ou jurídica a quem competem as decisões sobre os
tratamentos de dados pessoais (responsável)
Operador: pessoa natural ou jurídica que realiza o tratamento em nome do
controlador
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de
comunicação entre o controlador, titulares e a Agência Nacional de Proteção de Dados
Agente de Tratamento: controlador e operador
pessoa natural pessoa jurídica
15. Conceitos e Definições (art. 5) – Modelo Mínimo fundamentos
TitularTitular
ControladorControlador
Dados
Pessoais
Dados
Pessoais
Operador Banco
de Dados
Encarregado
TratamentoTratamento
16. Conceitos e Definições (art. 5) - Ações fundamentos
Anonimização: meios técnicos no momento do tratamento que impede a
possibilidade de identificação de um indivíduo a partir do dado
Pseudoanonimização: (art. 13) anonimização que pode ser revertida com
informação adicional mantida separadamente pelo controlador
Consentimento: manifestação livre, informada e inequívoca pela qual o titular
concorda com o tratamento de seus dados para uma finalidade específica
Bloqueio: suspensão temporária de qualquer operação de tratamento
Eliminação: exclusão definitiva de dado ou de conjunto de dados armazenados em
banco de dados, independente do procedimento empregado
17. Consentimento
Conceitos e Definições (art. 5) – Modelo Básico fundamentos
Dados
Pessoais
TratamentoTratamento
Finalidade
TitularTitular
ControladorControlador
Operador Banco
de Dados
Encarregado
pessoa
natural
pessoa
jurídica
18. Princípios (art. 6) fundamentos
Finalidade: realização de tratamento para propósitos legítimos, específicos, explícitos,
e informados ao titular
Adequação: compatibilidade do tratamento com as finalidades informadas
Necessidade: limitação do tratamento ao mínimo necessário para realizar suas
finalidades com abrangência dos dados pertinentes, proporcionais e não excessivos
Livre Acesso: consulta facilitada e gratuita sobre forma e duração de tratamentos
Qualidade dos Dados: garantia de exatidão, clareza, relevância e atualização
Transparência: garantia de informações claras, precisas e facilmente acessíveis
19. Princípios (art. 6) fundamentos
Segurança: utilização de medidas técnicas e administrativas aptas a proteger os
dados pessoais de acessos não autorizados acidentais ou ilícitas
Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do
tratamento de dados pessoais
Não Discriminação: impossibilidade de realização de tratamento para fins
discriminatórios ilícitos ou abusivos
Responsabilização e Prestação de Contas: demonstração, pelo agente, de
adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento
das normas de proteção de dados pessoais, incluindo a eficácia das medidas
21. O Tratamento é o Elemento Central na LGPD tratamento
TratamentoTratamento
Consentimento
Dados
Pessoais
FinalidadeAmparo LegalAmparo Legal
OperaçãoOperaçãoTitularTitular
ControladorControlador
OperadorOperador
23. Amparo Legal (art. 7) – Hipóteses para Tratamento tratamento
TratamentoTratamento
Cumprimento de
obrigação legal
Uso pela
Administração
Pública
Estudo por órgão
de pesquisa
Contratos
Cumprimento de
obrigação legal
Uso pela
Administração
Pública
Estudo por órgão
de pesquisa
Contratos
Processo Judicial
Proteção da vida
Tutela de saúde
“Interesses
Legítimos”* salvo
direito do titular
Proteção ao
crédito
Processo Judicial
Proteção da vida
Tutela de saúde
“Interesses
Legítimos”* salvo
direito do titular
Proteção ao
crédito
Consentimento
* item nebuloso
24. Detalhes do Consentimento (art. 8) tratamento
Manifestação da vontade do titular
Cabe ao controlador o ônus da prova
Tem finalidades determinadas
Pode ser revogado a qualquer momento
Não pode ser vago ou genérico
Dado tornado público não precisa (art. 7)
Compartilhamento requer consentimento específico (art. 7)
Consentimento
Dados
Pessoais
Finalidade
25. Acesso ao Tratamento (art. 9) tratamento
“O titular tem direito ao acesso facilitado às
informações do tratamento de seus dados”
Informações sobre:
- Finalidade específica
- Forma e duração (obs. segredos industriais e comerciais)
- Identificações do controlador e contato
- Informações sobre compartilhamento
- Responsabilidades dos agentes que fazem tratamento
TratamentoTratamento
TitularTitular
26. “Legítimo Interesse”* do Controlador (art. 10) tratamento
Finalidades legítimas para situações concretas:
Apoio e promoção de atividades do controlador
Proteção do exercício de seus direitos ou prestação de serviços
- Somente os dados estritamente necessários para finalidade pretendida
- Controlador deve adotar medidas para garantir a transparência
- A autoridade nacional pode solicitar relatório de impacto quando o tratamento for de
interesse legítimo (observando segredos comerciais e industriais)
* item nebuloso
27. Situações Particulares tratamento
Dados Sensíveis: (art. 11)
- com consentimento específico
- sem consentimento: similar ao art. 7
Portabilidade: (art. 11) levar as “boas avaliações” de um aplicativo para outro (e.g.)
Dados Anonimizados: (art. 12) não são considerados dados pessoais
- dados de formação de perfil comportamental são pessoais (se identificado)
Estudos de Saúde Pública: (art. 13) usado para estudos, anonimizado
sempre que possível. Resultado não pode revelar dados pessoais
Crianças e Adolescentes: (art. 14) consentimento pelo responsável legal
28. Término do Tratamento (Seção IV – art 15 e 16) tratamento
Término do tratamento ocorrerá quando:
I - Finalidade alcançada
II - Fim do período de tratamento (vigência)
III - Comunicação do titular nesse sentido
IV - Determinação da autoridade nacional
Após o término, os dados pessoais devem ser eliminados, exceto:
I - Cumprimento de obrigação legal ou regulatória
II – Estudo por órgão de pesquisa (anonimização sempre que possível)
III – Transferência a terceiros se consentido
IV – Uso exclusivo pelo controlador se o dado for anonimizado
Dados
Pessoais
29. direitosdireitos dodo titulartitular
A pessoa natural tem a titularidadeA pessoa natural tem a titularidade
sobre seus dados pessoaissobre seus dados pessoais
parte 4
30. TitularTitular
9 Direitos do Artigo 18 direitos do titular
Confirmação de
Existência do Trat.
Acesso aos dados
Correção de dados
Anonimização,
bloqueio ou
eliminação de
dados desnecessários
Confirmação de
Existência do Trat.
Acesso aos dados
Correção de dados
Anonimização,
bloqueio ou
eliminação de
dados desnecessários
Portabilidade
Eliminação
Info. sobre
compartilhamento
Info. sobre não
consentimento
Revogação de
consentimento
Portabilidade
Eliminação
Info. sobre
compartilhamento
Info. sobre não
consentimento
Revogação de
consentimento
31. Acesso aos Dados Pessoais e Tratamentos Realizados direitos do titular
Confirmação de existência ou acesso aos dados:
I – em formato simplificado, imediatamente, ou
II – por declaração clara e completa – em até 15 dias
Dados em formato que favoreça o acesso
Fornecido em meio digital ou impresso
Parte mais difícil da adequação à LGPD
Identificar os dados pessoais nos sistemas de negócio
Determinar quando, como, porque e por quem foram tratados
Determinar origem e destino destes dados dentro dos processos de negócio
Dados
Pessoais
Dados
Pessoais
TratamentoTratamento
32. Direito a Questionar Decisão Automatizada (art. 20) direitos do titular
Titular pode questionar decisões automatizadas
decisões que definem perfil pessoal, profissional,
de consumo, crédito ou personalidade
Controlador deve informar critérios da decisão
Procedimentos utilizados (salvo segredo comercial e ind.)
Dados pessoais não podem prejudicar o titular
(art. 21) dados de exercício regular de direitos não podem
ser usados em prejuízo do titular
TratamentoTratamento
decisão
automatizada
por tratamento
decisão
automatizada
por tratamento
TitularTitular
34. Banco de Dados
de Tratamentos
Banco de Dados
de Tratamentos
Registro dos Tratamentos (art. 37) agentes
ControladorControlador
Operador
Encarregado
TratamentosTratamentosTratamentos
“O controlador e o operador devem manter registro das operações de tratamento de
dados pessoais que realizarem, especialmente quando baseado no legítimo interesse”
35. Quem é um Controlador? agentes
… quem coleta dados pessoais para
fins econômicos (quase todo mundo)
ou casos particulares previstos
créditodados de
médicos
endereço
geolocalização
estudos
comércio
eletrônico
36. Quem NÃO é um Controlador? agentes
… quem está enquadrado no artigo 4
jornalístico
segurança
pública
artístico
investigação
e repressão
de infrações
penais
37. Quem é um Operador? agentes
… quem opera os dados
em nome do controlador.
Como num escritório de
contabilidade, por exemplo
crédito
dados de
médicos
endereço
geolocalização
estudos
comércio
eletrônico
Operador
39. Riscos e Penalidades impacto
Prejuízo à Imagem da Organização
Um vazamento ou penalidade afetam a credibilidade e a imagem
Exclusão ou dificuldade de participar de uma cadeia produtiva
Multa de Até 2% do Faturamento (até 50 milhões – art. 52)
ANPD (Agência Nacional de Proteção de Dados)
Incidentes devem ser comunicados em “prazo razoável” (art. 48)
Ressarcimento de Danos Causados
Dados compartilhados = Responsabilidade compartilhada
A responsabilidade não encerra com o fim do tratamento (art. 47)
Pressão de
Mercado
Pressão
Regulatória
Pressão
Judicial
40. Adaptação do Negócio impacto
Diagnóstico dos Processos de Negócio
Levantar todos os dados pessoais armazenados, enviados e recebidos
Identificar onde e como são usados nos processos, sistemas e serviços
Adaptação das Pessoas e da Organização
Deixar-se “contaminar” pela cadeia produtiva (e exigi-la)
LGPD veio pra ficar! Adapte-se à realidade, não à multa
Investimento em Boas Práticas de TI e Segurança da Informação
Proteção de dados “by design” e “by default” + adoção de padrões
Depois de tudo isso, talvez, investir em ferramentas e/ou terceirização
41. reflexãoreflexão
Sec. 21: dados são o novo petróleoSec. 21: dados são o novo petróleo
tratamento detratamento de dadosdados e LGPD serão tãoe LGPD serão tão
comuns quanto contabilidade ou RHcomuns quanto contabilidade ou RH