LGPD - Lei Geral de Protecao de Dados Pessoais

L G P D
THIS WILL CHANGE
EVERYTHING
L E I G E R A L D E P R O T E Ç Ã O D E D A D O S P E S S O A I S
Eliézer Zarpelão
+
LGPD

L G P D
Eliézer Z arpelão
A c a d ê m i c o / P r o fi s s i o n a l

Técnico em Informática - COTUCA / Unicamp

Graduação em Sistemas de Informação - ICMC / USP

Especialização em Eng. de Software - IC /Unicamp

Mestrado - IC / Unicamp

Co-founder / Software Architect - ZarpSystem

Embaixador - GDG – Campinas

Professor - UNAERP

L G P D
AGENDA
Mitos/VerdadesConceitos Impactos Dúvidas Lanche

L G P D
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
h tt p : / / w w w. p l a n a l t o . g o v. b r / c c i v i l _ 0 3 / _ a t o 2 0 1 5 - 2 0 1 8 / 2 0 1 8 / l e i / L 1 3 7 0 9 . h t m
 Aplicada a todos os setores da economia;
 Possui aplicação extraterritorial, ou seja, toda empresa que tiver negócios no país deve se adequar a ela;
 Necessário o consentimento do usuário para coletar informações pessoais;
 Os titulares podem retificar, cancelar ou até solicitar a exclusão desses dados;
 Criação da Autoridade Nacional de Proteção aos Dados (ANPD);
 Notificação obrigatória de qualquer incidente;
 Inspirada na GDPR (UE)

L G P D
http://www.telesintese.com.br/facebook-paga-a-maior-multa-ja-registrada-por-violacao-de-dados-pessoais
/

L G P D
O que são
dados
pessoais?
“

L G P D
Palavra
Imagem
Número
DADO
Organização
Processamento
INFORMAÇÃO
Idéia
Interpretação
CONHECIMENTO
Aplicação
Contexto
INTELIGÊNCIA
Ao infi nito e além
D o d a d o à s a b e d o r i a

L G P D
Dado pessoal:
qualquer informação
relacionada a pessoa
natural identificada ou
identificável”
“

L G P D
DADO PESSOAL SENSÍVEL
A t e n ç ã o ! ! !
Origem
Racial
Opinião
Política
Dado
referente à
saúde ou à
vida sexual
Filiação a
sindicato
ou a organização
de caráter
religioso,
filosófico ou
político
Convicção
Religiosa
Origem
Étnica
Dados
Biométricos
Dados
genéticos

L G P D
PAPÉIS NA LGPD
Titular
 Pessoa natural a quem se referem os dados pessoais que são
objeto de tratamento

L G P D
PAPÉIS NA LGPD
Autoridade Nacional de Proteção de Dados
 Órgão Federal
 Zelar pela proteção dos dados pessoais
 Elaborar diretrizes para a Política Nacional de Proteção de
Dados Pessoais e da Privacidade
 Aplicar sanções em caso de tratamento de dados feito de
forma irregular

L G P D
PAPÉIS NA LGPD
Controlador
 Pessoa natural ou jurídica, de direito público ou privado, a
quem competem as decisões referentes ao tratamento de
dados pessoais.
 Conhecimentos em Segurança da informação, tecnologia e
compliance.

L G P D
PAPÉIS NA LGPD
Operador
 Pessoa natural ou jurídica, de direito público ou privado, que
realiza o tratamento de dados pessoais em nome do
controlador

L G P D
PAPÉIS NA LGPD
Encarregado de Proteção de Dados
 Pessoa indicada pelo controlador e operador para atuar como
canal de comunicação entre o controlador, os titulares dos
dados e a Autoridade Nacional de Proteção de Dados (ANPD);
 Data Protection Officer

L G P D
https://www.infranewstelecom.com.br/controlador-operador-encarregado-quem-e-quem-na-lgpd

L G P D
https://www.xpositum.com.br/ciclo-de-vida-dos-dados-e-lgp
CICLO DE VIDA DOS DADOS

L G P D
O QUE É TRATAMENTO DE DADOS???

Coleta

Produção

Recepção

Classificação

Utilização

Acesso

Reprodução

Transmissão

Distribuição

Processamento

Arquivamento

Armazenamento

Eliminação

Avaliação ou controle da informação

Modificação

Comunicação

Transferência

Difusão

Extração

L G P D
10 PRINCÍPIOS DO TRATAMENTO DE DADOS – Art 7º
B y O p i c e B l u m
Finalidade
Transparência
Adequação
Segurança
Necessidade
Prevenção
Livre
Acesso
Não
Discrimação
Qualidade
dos
dados
Responsabilização
e
Prestação de Contas

L G P D
Fase do ciclo Antes da LGPD Depois da LGPD
Coleta Dados pessoais coletados indiscrimadamente Dados pessoais coletados devem obedecer ao princípio da
necessidade e finalidade
Processamento Os dados podem ser processados sem um
tratamento específico
O processamento de dados só poderá ser realizado se o
tratamento estiver enquadrado no Art. 7º da LGPD
Análise A análise de dados é feita para entender o
mercado, conhecer o perfil das pessoas e
definir estratégias para oferecer bens e
serviços para o público-alvo.
A análise de dados deve levar em consideração a finalidade da
coleta. Devem ser obedecidos os princípios de tratamento, com
propósito legítimo, específico e explícito.
Compartilhamento Os dados pessoais são compartilhados sem a
necessidade de consentimento dos seus
titulares.
O compartilhamento dos dados deve ser consentido pelos seus
titulares.
Armazenamento Os dados pessoais são armazenados e
mantidos por tempo indeterminado.
Os dados pessoais devem ser armazenados e mantidos por
prazos definidos, ou seja, até que a finalidade seja alcançada ou
deixem de ser necessários ou pertinentes ao alcance da
finalidade.
Reutilização Os dados pessoais são reutilizados sem a
necessidade de consentimento dos seus
titulares.
Um novo consentimento deve ser solicitado sempre que houver
mudança na finalidade.
Eliminação Os dados pessoais são mantidos sem a
obrigatoriedade de serem eliminados.
Os dados pessoais devem ser eliminados após o termino de seu
tratamento.
https://www.xpositum.com.br/ciclo-de-vida-dos-dados-e-lgp

L G P D
INCIDENTES DE SEGURANÇA (DATA BREACH)

Quando comunicar?
 Incidente de segurança que possa acarretar risco ou dano relevante aos Titulares
 Em prazo razoável
 À ANPD e aos titulares afetados

Conteúdo mínimo da comunicação:
 Descrição da natureza dos dados
 Informações sobre os titulares envolvidos
 Medidas técnicas e de segurança de proteção adotadas
 Riscos relacionados ao incidente
 Motivo da demora caso comunicação não imediata
 Medidas adotadas para reverter ou mitigar
https://idec.org.br/noticia/veja-10-coisas-que-mudarao-na-sua-vida-com-lei-de-dados-pessoais

L G P D
SANÇÕES

I - advertência, com indicação de prazo para adoção de medidas corretivas;

II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito
privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos,
limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III - multa diária, observado o limite total a que se refere o inciso II;

IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI - eliminação dos dados pessoais a que se refere a infração;

L G P D
O QUE MUDA NA SUA VIDA?

O fim dos “termos de uso que ninguém lê”

Mais controle do usuário sobre seus próprios
dados

Mais controle sobre como farmácias usam seu
CPF e dados de saúde

Mecanismos claros em caso de vazamentos de
dados pessoais

Suas emoções não poderão ser coletadas e
vendidas em espaços abertos

Portabilidade de dados pessoais

Condomínios residenciais precisarão
discutir sobre reconhecimento da digital
para controlar a entrada no prédio

Sem obscuridades: os consumidores terão
livre acesso a sua pontuação de crédito,
como ela foi calculada e quais dados foram
utilizados

Fim da bonança dos testes de internet

Diferenciação de preços em compra online
somente com consentimento do
consumidor

L G P D
O QUE MUDA NA SUA VIDA? [+dev]

Códigos carregam propostas políticas
 Estabelecem permissões e restrições
 Logo regulam o [ciber]espaço

Privacy by Design (PbD)
 construir a cultura protetiva à privacidade no desenho dos produtos
 Ex: é adequado que aplicativos de lanterna coletem dados de geolocalização?

L G P D
MACHINE LEARNING + LGPD

Atualizar seus termos de uso
 Deixar claro para o usuário o tipo de informação a ser coletada dele, bem como a finalidade
desse uso

Anonimizar os dados obtidos dos usuários
 Dado deixa de ser Pessoal

Utilização de bases de dados públicas

Atenção com troca de dados entre empresas e parceiras

L G P D
Saúde + LGPD

Fazer uma identificação de todos os dados coletados e armazenados pela
instituição;

Levantamento de pacientes (novos e antigos), colaboradores, prestadores de
serviços, parceiros, sócios
 É necessário que essas informações sejam categorizadas e monitoradas;

Revisar as regras de privacidade
 muito bem definido quem poderá acessar, controlar, processar e transferir os dados;

Revisar os termos de consentimento assinados pelo paciente
 informa-lo para que, quando e por quem os seus dados foram utilizados, bem como a possibilidade de
solicitar a exclusão desses dados;

L G P D
Saúde + LGPD

Investir em proteção física e virtual
 as informações necessitam ser armazenadas em ambientes comprovadamente seguros e controlados;

Implantar soluções de proteção e segurança
 com redes criptografadas e softwares de monitoramento;

Atenção com a hospedagem desses dados em servidores estrangeiros
 países que não possuam qualquer regulamentação sobre a segurança da informação;

Para uso de inteligência artificial terá que explicar ao paciente o que
exatamente será feito com seus dados e como será o auxílio da IA no
tratamento.

L G P D
FATO ou FAKE???

A Lei Geral de Proteção de Dados não terá eficácia real
 FAKE! ANPD irá zelar pelo cumprimento da lei

A Lei Geral de Proteção de Dados revogará as outras normas envolvendo
proteção de dados em vigor no Brasil
 FAKE! Continuam valendo Marco Civil da Internet, a Lei do Cadastro Positivo, o Código de Defesa do
Consumidor, dentre outras.

A LGDP abrange somente os dados de pessoas naturais
 FATO!

A LGPD somente protege os dados pessoais que circulam no meio digital
 FAKE! Visa a proteção tantos dos dados mantidos em meios físicos quanto digitais
https://www.marinho.adv.br/post/29-10-mitos-e-verdades-sobre-a-lei-geral-de-protecao-de-dados

L G P D
FATO ou FAKE???

A implementação desta lei na minha empresa será simples e rápida
 FAKE ^ 1024

Em caso de incidentes envolvendo dados pessoais, as únicas penalidades que
posso receber são as administrativas
 FAKE! Também poderão ser alvos de ações judiciais demandadas pelos titulares dos dados pessoais, em
razão de possíveis danos morais ou materiais sofridos

Advertências e multa de até 2% do faturamento da pessoa jurídica, limitada a R$
50 milhões por infração, são algumas das sanções administrativas que a
Autoridade nacional poderá aplicar em caso de descumprimento dos dispositivos
da lei
 FATO!

L G P D
FATO ou FAKE???

Na Europa, diversas multas já foram aplicadas pelo fato das empresas não
estarem em compliance com a lei
 FATO!

Minha empresa é de pequeno porte e por este motivo não preciso me
adequar
 FAKE! Não importa o porte da empresa! Agravante: Afetará compartilhamento de dados

Um documento afirmando que a organização está em compliance com a
LGPD será suficiente para afastar qualquer penalidade decorrente da sua
violação
 FAKE! Mudança de cultura + Engajamento!

L G P D
CAPACITAÇÃO + AGRADECIMENTOS

PodCasts
 @podcastdt – Direito e Tecnologia - https://podtail.com/pt-BR/podcast/direito-e-tecnologia/
 Claudio Santos - claudio@claudiorsantos.adv.br

Escola Virtual
 https://www.escolavirtual.gov.br

Capacitação Zarp

Agradecimentos
 Gilberto Bosco Neto
 Gustavo Flor (Orizon)
 Claudio Santos – Material Google Drive - https://drive.google.com/drive/folders/1CgiYREsXpefe

LGPD - Lei Geral de Protecao de Dados Pessoais

Mais conteúdo relacionado

Mais procurados

Semelhante a LGPD - Lei Geral de Protecao de Dados Pessoais

LGPD - Lei Geral de Protecao de Dados Pessoais