Legislação Brasileira e a Proteção de
Dados Pessoais
Renato Leite Monteiro
rmonteiro@opiceblum.com.br
Polêmicas
Polêmicas
Polêmicas
Polêmicas
Polêmicas
Polêmicas
8
Polêmicas
• ebay:145 milhões de pessoas afetadas;
• JPMorgan Chase & Co.: 76 milhões de contas de
pessoas físicas e 7 mi...
9
Polêmicas
77% das empresas admitem que tiveram
vazamento de dados no último ano, por
conta de algum tipo de incidente. A...
12
Legislação Internacional
1973: US Fair Information Principles;
1980: OECD Guidelines Governing the Protection of Priv...
A INTERNET É AUSENTE DE LEIS SOBRE PRIVACIDADE DE
DADOS???!!!
13
Existe legislação?
Legislação Nacional – Proteção Setorial
Constituição Federal de 1988;
LEI 8.078/1990: Código de Defesa do Consumidor;
L...
Legislação Nacional – Proteção Setorial
LEI 12.414/2011: disciplinou o cadastro positivo e certos aspectos
sobre proteção...
16
Lei 12.737/2012
Art. 154-A. Invasão
Invadir dispositivo informático alheio +
Violação indevida de mecanismo de seguranç...
17
Regulamentação
19
Marco Civil (Lei n.º 12.965/2014)
- Princípios:
Art. 3º A disciplina do uso da internet no Brasil tem
os seguintes prin...
20
Marco Civil (Lei n.º 12.965/14)
- Demais previsões – Direitos dos usuários (Artigo 7º)
I - inviolabilidade da intimidad...
21
Direitos e garantias dos usuários
22
Marco Civil (Lei n.º 12.965/14)
- Demais previsões – Direitos dos usuários (Artigo 7º)
VI - informações claras e comple...
Algumas solicitações invasivas do Facebook Messenger:
• Permissão para alterar o estado de conectividade de rede;
• Permis...
24
Marco Civil (Lei n.º 12.965/14)
- Demais previsões – Direitos dos usuários (Artigo 7º)
VIII - informações claras e comp...
LIVRE
EXPRESSO
INFORMADO
CONSENTIMENTO
26
Marco Civil (Lei n.º 12.965/14)
- Demais previsões – Direitos dos usuários (Artigo 7º)
X - exclusão definitiva dos dado...
27
Segurança
Art. 13. Na provisão de conexão à internet, cabe ao
administrador de sistema autônomo respectivo o dever de
m...
28
APL de Proteção de Dados Pessoais
29
• Dado pessoal;
• Dados sensíveis;
• Consentimento;
• Possibilidade de negar o tratamento de
dados pessoais;
• Autorida...
30
O que é dado pessoal?
• Lei de Acesso à Informação (banco de dados públicos)
– Art. 4º Para os efeitos desta Lei, consi...
31
Princípios
• Finalidade: legítimas, específicas, explícitas e conhecidas do titular;
• Adequação: compatível com a fina...
32
Consentimento
33
Enforcement
• Autoridade de garantia: provável criação de uma entidade
administrativa específica para supervisionar a a...
34
Principais pontos
• Vazamentos de dados e notificações obrigatórias:
• Comunicação imediata ao órgão competente sobre a...
Obras sobre o tema!
35
Renato Leite Monteiro
@RenatoLMonteiro
Renato Leite Monteiro
rmonteiro@opiceblum.com.br
www.opiceblum.com.br
Proteção de dados pessoais e o Marco Civil da Internet
Proteção de dados pessoais e o Marco Civil da Internet
Proteção de dados pessoais e o Marco Civil da Internet
Próximos SlideShares
Carregando em…5
×

Proteção de dados pessoais e o Marco Civil da Internet

686 visualizações

Publicada em

Palestra de encerramento do evento Mind The Sec (http://mindthesec.com.br/), em agosto de 2015, onde abordei o panorama jurídico sobre proteção de dados existe à época e as tendências para futuras regulamentações.

Publicada em: Direito
0 comentários
2 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
686
No SlideShare
0
A partir de incorporações
0
Número de incorporações
66
Ações
Compartilhamentos
0
Downloads
19
Comentários
0
Gostaram
2
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Proteção de dados pessoais e o Marco Civil da Internet

  1. 1. Legislação Brasileira e a Proteção de Dados Pessoais Renato Leite Monteiro rmonteiro@opiceblum.com.br
  2. 2. Polêmicas
  3. 3. Polêmicas
  4. 4. Polêmicas
  5. 5. Polêmicas
  6. 6. Polêmicas
  7. 7. Polêmicas
  8. 8. 8 Polêmicas • ebay:145 milhões de pessoas afetadas; • JPMorgan Chase & Co.: 76 milhões de contas de pessoas físicas e 7 milhões de contas empresariais; • Home Depot: 56 milhões de cartões de crédito afetados; • CHS community Health Systems: 4,5 milhões de pessoas afetadas; • Michaels Stores: 2,6 milhões de pessoas afetadas; • Nieman Marcus: 1,1 milhão de pessoas afetadas; http://www.ponemon.org/local/upload/file/2014%20The%20Year%20of%20the%20Mega%20Breach%20FINAL3.pdf
  9. 9. 9 Polêmicas 77% das empresas admitem que tiveram vazamento de dados no último ano, por conta de algum tipo de incidente. A principal causa citada para isso é a perda ou o roubo de equipamentos, seguida por ataques à rede, vulnerabilidades dos dispositivos móveis, Web 2.0 e e-mails enviados para remetentes errados. http://www.ponemon.org/local/upload/file/2014%20The%20Year%20of%20the%20Mega%20Breach%20FINAL3.pdf
  10. 10. 12 Legislação Internacional 1973: US Fair Information Principles; 1980: OECD Guidelines Governing the Protection of Privacy and Transborder Data Flows of Personal Data; 1981: Council of Europe Convention for Protection of Individuals with Regard to the Automatic Processing of Personal Data; 1995: EU Data Protection Directive (EC 46/95); 2002: EU Directive on privacy and electronic communications (EC 2002/58); 2004: APEC – Asian Pacific Economic Cooperation Privacy Framework; 2009: Madrid Resolution – International Standard on the Proctection of Personal Data; 2014: Anulação da Diretiva Europeia de Retenção de Registros Eletrônicas
  11. 11. A INTERNET É AUSENTE DE LEIS SOBRE PRIVACIDADE DE DADOS???!!! 13 Existe legislação?
  12. 12. Legislação Nacional – Proteção Setorial Constituição Federal de 1988; LEI 8.078/1990: Código de Defesa do Consumidor; LEI 9.472/97: Lei Geral de Telecomunicações; LEI 9.507/97: Habeas Data; LEI 9.983/2000: crime de inserção de dados falsos em sistemas de informações da administração pública; LEI COMPLEMENTAR 105/2001: sigilo das operações de instituições financeiras 2002: Novo Código Civil; Portaria nº 5/2002 da SDE/MJ: tornou abusiva cláusulas em contratos de consumo que autorizavam o envio de dados pessoais sem o consentimento prévio.
  13. 13. Legislação Nacional – Proteção Setorial LEI 12.414/2011: disciplinou o cadastro positivo e certos aspectos sobre proteção de dados pessoais no ambiente creditício (julgamento STJ); LEI 12.527/2011: lei de acesso a informação (Art. 31); LEI 12.737/2012: crime de invasão de dispositivos informáticos (Lei Carolina Dieckmann); DECRETO 7962/2013: regulamentou comércio eletrônico; LEI 12.846/2013: lei anticorrupção; LEI 12.965/2014: Marco Civil da Internet; 2015: Anteprojeto de Proteção de Dados Pessoais.
  14. 14. 16 Lei 12.737/2012 Art. 154-A. Invasão Invadir dispositivo informático alheio + Violação indevida de mecanismo de segurança + Com o fim de obter, adulterar ou destruir dados ou informações sem autorização do titular Ou instalar vulnerabilidades para obter vantagem ilícita. Art. 154-A, § 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. Art. 154-A, §3º Reclusão, de 6 (seis) meses a 2 (dois) anos se da invasão resultar: A obtenção de conteúdo de comunicações eletrônicas privadas; A obtenção de segredos comerciais ou industriais; A obtenção de informações sigilosas, assim definidas em lei, ou O controle remoto não autorizado do dispositivo invadido.
  15. 15. 17 Regulamentação
  16. 16. 19 Marco Civil (Lei n.º 12.965/2014) - Princípios: Art. 3º A disciplina do uso da internet no Brasil tem os seguintes princípios: (...) II - proteção da privacidade; III - proteção dos dados pessoais, na forma da lei;
  17. 17. 20 Marco Civil (Lei n.º 12.965/14) - Demais previsões – Direitos dos usuários (Artigo 7º) I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação; [Art. 5º, X/CF] II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei; [Art. 5º, XII/CF] III - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial; [Art. 5º, XII/CF]
  18. 18. 21 Direitos e garantias dos usuários
  19. 19. 22 Marco Civil (Lei n.º 12.965/14) - Demais previsões – Direitos dos usuários (Artigo 7º) VI - informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade; VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
  20. 20. Algumas solicitações invasivas do Facebook Messenger: • Permissão para alterar o estado de conectividade de rede; • Permissão para fazer ligações sem intervenção do usuário, possivelmente causando cobranças adicionais sem necessidade de confirmação; • Permissão para envio de mensagens SMS sem necessidade de intervenção ou confirmação; • Permissão para gravação de áudio com o microfone do celular sem confirmação do usuário; • Permissão de uso da câmera para fazer fotos e vídeos sem a confirmação do usuário; • Permissão para leitura do histórico de chamadas. Estes dados são apenas salvos, mas outros apps maliciosos podem compartilhar estas informações sem conhecimento do usuário; • Permissão para ler dados sobre contatos do usuário armazenados no telefone, para ver com que frequência você se comunica com um indivíduo em específico por telefone, e-mail ou outras formas de contato; • Permissão para identificar o usuário pelas informações guardadas no celular, com nome e informações de contato. Estes dados podem ser enviados para terceiros; • Permissão para acessar recursos de identificação do celular, possibilitando o reconhecimento até mesmo o número telefônico do usuário; • Permissão para receber uma lista de contas conhecidas no telefone, incluindo quaisquer apps instalados no aparelho. Facebook Messenger Política de Privacidade
  21. 21. 24 Marco Civil (Lei n.º 12.965/14) - Demais previsões – Direitos dos usuários (Artigo 7º) VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; e c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet; IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;
  22. 22. LIVRE EXPRESSO INFORMADO CONSENTIMENTO
  23. 23. 26 Marco Civil (Lei n.º 12.965/14) - Demais previsões – Direitos dos usuários (Artigo 7º) X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei; XI - publicidade e clareza de eventuais políticas de uso dos provedores de conexão à internet e de aplicações de internet;
  24. 24. 27 Segurança Art. 13. Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do regulamento. Art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.
  25. 25. 28 APL de Proteção de Dados Pessoais
  26. 26. 29 • Dado pessoal; • Dados sensíveis; • Consentimento; • Possibilidade de negar o tratamento de dados pessoais; • Autoridade de garantia; • Privacy Officer; • Transferências internacionais de dados; • Normas Corporativas Globais; • Binding Corporate Rules – BCRs; • Vazamentos de dados e notificações obrigatórias; • Responsabilidade; • Sanções; • Vacatio legis. Principais pontos
  27. 27. 30 O que é dado pessoal? • Lei de Acesso à Informação (banco de dados públicos) – Art. 4º Para os efeitos desta Lei, considera-se: IV - informação pessoal: aquela relacionada à pessoa natural identificada (dados cadastrais) ou identificável (dado em contexto); • Lei de Cadastro Positivo – § 3º Ficam proibidas as anotações de: II - informações sensíveis, assim consideradas aquelas pertinentes à origem social e étnica, à saúde, à informação genética, à orientação sexual e às convicções políticas, religiosas e filosóficas. • Marco Civil da Internet: ??? • Anteprojeto de Lei de Dados Pessoais: – Dado pessoal: dado relacionado à pessoa natural identificada ou identificável, inclusive a partir de números identificativos, dados locacionais ou identificadores eletrônicos. Desta forma, tags, registros de geolocalização e até mesmo números IP podem, eventualmente, ser considerados dados pessoais. – Dados sensíveis: dados pessoais que revelem a origem racial ou étnica, religiosas, filosóficas ou morais, opiniões políticas, saúde, vida sexual, dados genéticos. – Dados anônimos?
  28. 28. 31 Princípios • Finalidade: legítimas, específicas, explícitas e conhecidas do titular; • Adequação: compatível com a finalidade e com as expectativas do titular, não excessivos; • Necessidade: mínimo necessário para as finalidades almejadas; • Livre acesso: modalidades de tratamento e a integridade de seus dados pessoais; • Qualidade de dados: exatidão, clareza e atualização dos dados; • Transparência: informações claras e adequadas sobre o tratamento; • Segurança: medidas de proteção proporcionais para proteção contra acessos não autorizados; • Prevenção: prevenir a ocorrência de danos em virtude do tratamento; • Discriminação: tratamento não pode ser para fins discriminatórios.
  29. 29. 32 Consentimento
  30. 30. 33 Enforcement • Autoridade de garantia: provável criação de uma entidade administrativa específica para supervisionar a aplicação da Lei de Proteção de Dados Pessoais, conhecida como “Data Protection Authority”. O APL usa a expressão “órgão competente”, sem definição que agência pública receberá tais competências; • Privacy Officer: conceituada como “encarregado”, ou seja, a pessoa responsável dentro da empresa pelas operações e políticas de tratamento de dados pessoais e pela comunicação com o órgão competente, a versão anterior determinava que toda empresa com mais de 200 funcionários deveria criar tal cargo. A nova versão não delimita um tamanho específico;
  31. 31. 34 Principais pontos • Vazamentos de dados e notificações obrigatórias: • Comunicação imediata ao órgão competente sobre a ocorrência de qualquer incidente de segurança que possa acarretar prejuízo aos titulares dos dados pessoais; • Titulares devem ser comunicados diretamente toda vez que houver um risco a sua segurança pessoal ou possa causar danos, a ser determinado pelo órgão competente; • Responsabilidade subjetiva: responsabilidade desde que provada culpa; • Sanções: podem variar desde multa até proibição, por um período de até 10 anos, de tratamento de dados pessoais; • Vacatio legis: o vacatio de 120 dias, período que as empresas e órgãos públicos sujeitos a lei terão para se adaptar.
  32. 32. Obras sobre o tema! 35
  33. 33. Renato Leite Monteiro @RenatoLMonteiro Renato Leite Monteiro rmonteiro@opiceblum.com.br
  34. 34. www.opiceblum.com.br

×