Principais pontos da Lei Geral de Proteção de Dados Pessoais em relação à segurança da informação. Conteúdo:
Noções gerais e conceitos fundamentais
Padrões técnicos de segurança e sigilo
Padrões técnicos recomendados pela ANPD
Privacy by Design
Relatório de impacto à proteção de dados pessoais
Garantia da segurança da informação
Comunicação em caso de incidentes
Criação e adoção de boas práticas
Encarregado/Data Protection Officer (DPO)
1. LGPD e Segurança da Informação
Ricardo Córdoba Baptista
Advogado e Consultor em SecInfo
Principais pontos da Lei Geral de Proteção de Dados
Pessoais em relação à segurança da informação.
2. Principais pontos da apresentação
• Noções gerais e conceitos fundamentais
• Padrões técnicos de segurança e sigilo
• Padrões técnicos recomendados pela ANPD
• Privacy by Design
• Relatório de impacto à proteção de dados pessoais
• Garantia da segurança da informação
• Comunicação em caso de incidentes
• Criação e adoção de boas práticas
• Encarregado/Data Protection Officer (DPO)
3. Noções gerais e conceitos fundamentais da LGPD
Evolução histórica
• Declaração Universal dos Direitos Humanos (1948)
- Artigo 12: “Ninguém será sujeito a interferências na sua vida privada, na sua família, no
seu lar ou na sua correspondência, nem ataques à sua honra e reputação. Todos os seres
humanos têm direito à proteção da lei contra tais interferências ou ataques”.
• Convenção Europeia sobre Direitos Humanos (1950)
- Artigo 8º: “Qualquer pessoa tem direito ao respeito da sua vida privada”.
• Tratado de Estrasburgo (1981)
Primeiro instrumento internacional vinculativo que protege o indivíduo contra os abusos
que podem acompanhar a coleta e o processamento de dados pessoais e que procura
regular ao mesmo tempo o fluxo transfronteiriço de dados pessoais. (Vedação de
tratamento de dados pessoais sensíveis; direito de informação e correção)
4. Noções gerais e conceitos fundamentais da LGPD
• Diretiva 95/46/EC (1995)
Não tinha força vinculante. Foi revogada pelo GDPR.
- “A Diretiva 95/46/ EC deve ser revogada pelo presente regulamento. A transformação já
em curso à data de aplicação do presente regulamento deve ser conforme com o presente
regulamento no prazo de dois anos a contar da entrada em vigor do presente
regulamento. (...)” [Considerando 171 do GDPR]
• Carta dos Direitos Fundamentais da União Europeia (2002)
- Artigo 7º: Respeito à vida privada e familiar
1. Toda pessoa tem o direito à sua vida privada e familiar, sua casa e sua correspondência.
- Artigo 8º: Proteção de dados pessoais
1. Toda pessoa tem direito à proteção dos dados pessoais que lhe digam respeito.
2. Esses dados devem ser tratados de forma justa para fins específicos e com base no
consentimento da pessoa em causa ou em qualquer outra base legítima estabelecida por
lei. Todos têm o direito de acessar os dados coletados sobre ele e o direito de retificá-los.
3. O cumprimento destas regras está sujeito ao controle de uma autoridade independente.
5. Noções gerais e conceitos fundamentais da LGPD
• Regulamento Geral de Proteção de Dados (2016)
Entrou em pleno vigor a partir de 25 de maio de 2018, ao mesmo tempo que revogou a
Diretiva 95/46/EC.
Principais objetivos:
• Harmonizar a legislação de proteção de dados no Espaço Econômico Europeu;
• Tornar o regime jurídico mais claro e previsível para as organizações e consumidores;
• Adaptar as regras de privacidade à nova era digital e criar confiança nos meios digitais;
• Melhorar os níveis de conformidade das organizações;
• Oferecer aos cidadãos controle sobre como seus dados estão sendo usados.
6. Noções gerais e conceitos fundamentais da LGPD
• Proteção de dados em todo o mundo
Autoridade e lei (s)
Leis de proteção de dados
Parcialmente adequado
Nenhuma lei específica
País adequado
Fonte: CNIL
7. Noções gerais e conceitos fundamentais da LGPD
• Proteção de dados no Brasil
Fonte: CNIL
Nível de proteção de dados: lei(s) de
proteção de dados.
Este país não garante um nível
adequado de proteção de dados
reconhecido pela UE.
As transferências de dados para este
país exigem o uso de ferramentas de
transferência.
Este país tem uma lei de proteção de
dados.
8. Noções gerais e conceitos fundamentais da LGPD
• Titular
• Tratamento dos dados
• Dados pessoais
• Dados pessoais sensíveis
• Dados anonimizados
• Anonimização
• Consentimento
• Agentes de tratamento
9. Noções gerais e conceitos fundamentais da LGPD
• Artigo 5º da LGPD
Dados pessoais: toda informação relacionada a uma pessoa identificada ou identificável.
Não se limita ao nome, sobrenome, RG, CPF, foto, apelido, idade, endereço residência ou
eletrônico. Pode ser um dado de localização, placas de automóvel, perfis de compras,
número IP. A lei adotou o critério expansionista.
Dados pessoais sensíveis: dados relacionados a características da personalidade do
indivíduo e suas escolhas pessoais, tais como origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou
político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando
vinculado a uma pessoa natural;
Tratamento de dados pessoais: toda operação realizada com dados pessoais, como coleta,
produção, classificação, transmissão, processamento, armazenamento, eliminação etc.
10. Noções gerais e conceitos fundamentais da LGPD
• Artigo 5º da LGPD
Dados anonimizados: dados relativos a um titular que não possa ser identificado,
considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião do seu
tratamento.
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do
tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou
indireta, a um indivíduo.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda
com o tratamento de seus dados pessoais para uma finalidade determinada. É uma das
bases legais.
Agentes de tratamento: o controlador e o operador. O controlador recepciona os dados
pessoais dos titulares de dados por meio do consentimento ou por hipóteses de exceção.
O operador realiza algum tratamento de dados pessoais motivado por contrato ou
obrigação legal com o controlador.
11. Padrões técnicos de segurança e sigilo
Art. 46. Os agentes de tratamento devem adotar medidas de segurança,
técnicas e administrativas aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou qualquer forma de tratamento inadequado ou
ilícito.
Art. 44 [...]
Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o
controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46
desta Lei, der causa ao dano.
Sanções administrativas
Art. 52
Responsabilidade civil
Art. 22, 42 e 44
Advertências, multas,
publicização, suspensão etc
Titulares dos dados podem
ajuizar ação, individual ou
coletivamente.
Responsabilidade solidária
entre os agentes de
tratamento.
Qual a
responsabilidade
do Encarregado?
12. Padrões técnicos recomendados pela ANPD
Art. 46 [...]
§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos
para tornar aplicável o disposto no caput deste artigo, considerados a
natureza das informações tratadas, as características específicas do
tratamento e o estado atual da tecnologia, especialmente no caso de dados
pessoais sensíveis, assim como os princípios previstos no caput do art. 6º
desta Lei.
Brasil deveria seguir os padrões internacionais,
dando autonomia à autoridade. A subordinação
da ANPD à Casa Civil é vista de forma negativa.
A falta de independência funcional do órgão
pode causar obstáculos ao compartilhamento de
dados entre o Brasil e a União Europeia.
13. Privacy by Design
Art. 46 [...]
§ 2º As medidas de que trata o caput deste artigo deverão ser observadas
desde a fase de concepção do produto ou do serviço até a sua execução.
Qual a ideia do conceito?
A ideia de privacidade desde à concepção foi desenvolvida por Ann Cavoukian Ph.D., ex-
Comissária de Privacidade e Informações de Ontário, Canadá. Em uma publicação sobre
os princípios que ela escreveu:
“Privacidade ‘by design’ é um conceito que desenvolvi nos anos 90, para abordar os
efeitos sempre crescentes e sistêmicos das Tecnologias de Informação e Comunicação e
dos sistemas de dados em rede em larga escala. A Privacidade “by design” promove a
visão de que o futuro da privacidade não pode ser assegurado apenas pelo
cumprimento de estruturas regulatórias; em vez disso, a garantia da privacidade
deve idealmente se tornar o modo de operação padrão de uma organização” – Fonte:
Ann Cavoukian. 2011. Privacidade “by design”, os 7 princípios fundamentais.
14. Privacy by Design
Princípios do Privacy by Design
Privacy by Design deve ser
encarado como um
requisito legal da Lei Geral
de Proteção de Dados, em
vez de simplesmente ser
visto como uma melhor
prática de
desenvolvimento.
15. Relatório de impacto à proteção de dados pessoais
O relatório permite avaliar, antecipadamente, quais são os potenciais riscos a que
estão expostos os dados pessoais em função das atividades de tratamento a que
estão sujeitos. A análise dos riscos para um determinado tratamento permite
identificar os riscos atinentes aos dados dos titulares e desenhar uma
resposta/solução, adotando as salvaguardas necessárias.
Riscos para direitos e
liberdades dos titulares de
dados
Relatório deve ser
realizado antes do
tratamento
A autoridade nacional poderá determinar ao
controlador que elabore relatório de impacto à proteção
de dados pessoais, inclusive de dados sensíveis,
referente a suas operações de tratamento de dados, nos
termos de regulamento, observados os segredos
comercial e industrial. (Art. 38, LGPD)
Por exemplo: clínica privada
ou laboratórios de análises
clínicas que tratam dados
pessoais sensíveis.
16. Garantia da segurança da informação
Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha
em uma das fases do tratamento obriga-se a garantir a segurança da
informação prevista nesta Lei em relação aos dados pessoais, mesmo após o
seu término.
Sobre o término do tratamento de dados, ver artigos 15 e 16 da LGPD.
O agente de tratamento é o responsável pela segurança da informação e está sujeito
a sanções, no entanto, é possível ajuizar ação regressiva contra o causador do dano.
Importante: preservar registros de eventos, como aqueles relacionados aos
acessos a um banco de dados ou a sistemas de arquivos, para fins de apuração de
responsabilidades nos casos de violação de dados, é fundamental.
17. Garantia da segurança da informação
Art. 6º As atividades
de tratamento de
dados pessoais
deverão observar a
boa-fé e os seguintes
princípios:
Art. 49. Os sistemas utilizados para o
tratamento de dados pessoais devem ser
estruturados de forma a atender aos
requisitos de segurança, aos padrões de
boas práticas e de governança e aos
princípios gerais previstos nesta Lei e às
demais normas regulamentares.
18. Comunicação em caso de incidentes
Art. 48. O controlador deverá
comunicar à autoridade
nacional e ao titular a
ocorrência de incidente de
segurança que possa
acarretar risco ou dano
relevante aos titulares.
§ 3º No juízo de gravidade do
incidente, será avaliada
eventual comprovação de que
foram adotadas medidas
técnicas adequadas que
tornem os dados pessoais
afetados ininteligíveis, no
âmbito e nos limites técnicos
de seus serviços, para
terceiros não autorizados a
acessá-los.
QUEM
A QUEM
COMO
Controlador (art. 48, caput)
Autoridade nacional (Art. 48, caput)
Operador (não mencionado)
Titulares dos Dados (Art. 48, caput)
Descrição dos dados (Art. 48, § 1º, I)
Titulares envolvidos (Art. 48, § 1º, II)
Medidas técnicas adotadas
Medidas para reverter ou mitigar
PRAZO
Razoável - definido
pela ANPD (Art. 48, § 1º)
Riscos relacionados ao incidente
Poderá: ampla divulgação
em meios de comunicação
19. Criação e adoção de boas práticas
• Possibilidade de controladores e operadores criarem boas práticas corporativas
para o tratamento de dados pessoais (Ver artigo 50);
• A adoção de política de boas práticas e governança será levada em consideração
no momento de imposição de sanções administrativas (Ver artigo 52, IX);
• Emergência de uma nova disciplina voltada para governança em privacidade, com
foco no cumprimento das leis de proteção de dados pessoais.
• Estamos cumprindo as obrigações legais em relação à privacidade?
• Estamos tratando os dados pessoais com o mesmo respeito com que
tratamos qualquer outra classe importante de ativos financeiros?
• Como proteger e usar de forma ética os dados pessoais?
• Como podemos aumentar o desempenho e inovar usando a
tecnologia?
Autores: Malcolm Crompton e Michael Trovato
20. Encarregado/Data Protection Officer (DPO)
• Art. 5 Para os fins desta Lei, considera-se:
VIII - encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação
entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;
• Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 2º As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar
providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem
tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em
normas complementares.
21. Encarregado/Data Protection Officer (DPO)
Art. 41 [...]
• § 3º A autoridade nacional poderá estabelecer normas complementares sobre a
definição e as atribuições do encarregado, inclusive hipóteses de dispensa da
necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume
de operações de tratamento de dados.
DPO de acordo com o GDPR
• O DPO tem uma posição independente e é protegido pelo GDPR;
• Ele não deve ser dispensado ou penalizado pelo controlador ou processador no
desempenho das suas funções;
• O DPO deve se reportar diretamente ao mais alto nível de gerenciamento do
controlador ou do processador;
• Atividades de informação e aconselhamento; monitoramento da conformidade; cooperar
com a autoridade supervisora; servir de ponto de contato com a autoridade.