Privacidade e proteção de dados: aspectos relevantes para a gestão de um negócio
1. Privacidade e Proteção de Dados
Aspectos relevantes para a gestão de um negócio
DÉBORA MODESTO E DOUGLAS SIVIOTTI
UNIFESO - Junho 2021
2. Agenda
Parte 1 - Dados são o novo petróleo
Parte 2 - Relembrando conceitos
Parte 3 - Gestão de riscos: o grau de atenção à privacidade e proteção de dados
Parte 4 - Como promover adequação do negócio e se manter no mercado
7. Abusos e Excessos: Brexit e Eleição Americana de 2016
Fontes:
https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.indiatvnews.com%2Fnews%2Findia%2Fcbi-books-cambridge-analytica-global-science-research-for-illegally-harvesting-data-of-facebook-users-679721&psig=AOvVaw351h_b4hn
D6pqoGg5AY07F&ust=1623010831304000&source=images&cd=vfe&ved=0CAIQjRxqFwoTCJCz4deogfECFQAAAAAdAAAAABAU
https://g1.globo.com/globonews/jornal-das-dez/video/confira-o-mapa-dos-estados-ganhos-por-cada-candidato-nas-eleicoes-presidenciais-dos-eua-5436173.ghtml
8. Abusos e Excessos: Brexit e Eleição Americana de 2016
Envio dos
dados para
uma empresa
de analytics
Processamento e
Segmentação de
Audiência
Fonte:https://www.google.com/url?sa=i&url=https%3A%2F%2Fadove.c
om.br%2Fbusca-do-real-futuro-midias-sociais%2F&psig=AOvVaw1dKkj
dH305Jb2Pck0C8r0h&ust=1623013534696000&source=images&cd=vf
e&ved=0CAIQjRxqFwoTCKiGiuiygfECFQAAAAAdAAAAABAJ
Fonte:https://www.google.com/url?sa=i&url=https%3A%2F%2Fminutod
aseguranca.blog.br%2Fentenda-o-escandalo-de-vazamento-de-dados-
do-facebook%2F&psig=AOvVaw36i6c7_-LQso6ag8VJKhXx&ust=1623
013689931000&source=images&cd=vfe&ved=0CAIQjRxqFwoTCJi2oK
azgfECFQAAAAAdAAAAABAD
15. Titular e Dados Pessoais
Nome
CPF
Endereço
Etnia*
Religião*
Foto*
Biometria*
Localização
Histórico de Compras
Cliques
Rating
Preferências Titular
“Pessoa natural a quem se
referem os dados pessoais”
“informação
relacionada à pessoa
identificada ou
identificável”
Dados
Pessoais
* dados sensíveis
16. Tratamento de Dados Pessoais
“toda operação realizada com dados
pessoais, como as que se referem a
coleta, produção, recepção,
classificação, utilização, acesso,
reprodução, transmissão,
distribuição, processamento,
arquivamento, armazenamento,
eliminação, avaliação ou controle da
informação, modificação,
comunicação, transferência, difusão
ou extração”
[LGPD: 20 Operações]
18. O que sustenta o tratamento
Realização do
tratamento para
propósitos legítimos,
específicos, explícitos
e informados ao
titular, sem
possibilidade de
tratamento posterior
de forma incompatível
com essas finalidades
20. Agentes de Tratamento
pessoa natural ou jurídica, de
direito público ou privado a
quem competem as decisões
referentes ao tratamento de
dados pessoais
pessoa natural ou jurídica,
de direito público ou privado,
que realiza o tratamento de
dados pessoais em nome
do controlador
24. Parte 3
Gestão de riscos
O grau de atenção à privacidade e proteção de dados
que o gestor precisa ter a depender do negócio
25. Problemas de Gestão do Controlador
Um controlador de precisa ter um registro
dos seus tratamentos de dados pessoais
com informações relevantes para tomar
decisões e atender a LGPD.
Ele precisa ter uma visão geral do uso de
dados pessoais e entender quais tratamentos
apresentam riscos ou devem ser priorizados
em um trabalho de adequação.
26. Problemas de Gestão do Operador
Um operador pode trabalhar para diversos
controladores e atuar em vários cenários
diferentes de necessidades de proteção de
dados.
Ele precisa classificar seus controladores
para agrupá-los de forma a otimizar as
ações de prevenção e resposta que venham
a surgir.
27. Ação Necessária: Mapear os Tratamentos de Dados Pessoais
Baseado no “Records of Processing Activities”
(RoPA) estabelecido no artigo 30 do GDPR.
É um documento ou arquivo onde são
elencados e descritos todos os tratamentos
de dados pessoais de um controlador.
Para cada Tratamento:
- Agentes / Contatos
- Finalidade
- Base Legal
- Titulares
- Dados Pessoais
- Terceiros
- Retenção e Exclusão
- Medidas Técnicas
- Segurança
- Grau de Atenção ou Grau de
Risco
28. Grau de Atenção: Nível de Anuência Necessária
Um tratamento de dados
pessoais feito pelo
controlador é garantido
por alguma hipótese
prevista na LGPD que não
seja o consentimento nem
o legítimo interesse.
Um tratamento de dados
pessoais feito pelo
controlador precisa de um
consentimento. O nível
de atenção e preocupação
é maior que o anterior.
Garantida
Um tratamento de dados
pessoais feito pelo
controlador parte do
princípio de que não
precisa do consentimento
do titular, contudo, não
está embasado em
nenhuma hipótese que o
garanta realizar o
tratamento. Na verdade, a
base legal é o legítimo
interesse.
Obs: quando há tráfego/transferência de dados
pessoais, o risco aumenta
Concedida Inferida
29. Grau de Atenção: Nível de Benefício ao Negócio
Um processo de negócio
do controlador usa dados
pessoais como apoio, mas
esses dados não
incrementam ou
potencializam o resultado.
Um processo de negócio
do controlador usa os
dados pessoais para
potencializar seus
resultados e/ou obter
vantagens.
Um processo de negócio
do controlador é
estruturado sobre o
tratamento de dados.
Sem ele o negócio não
existe - ele é o próprio
tratamento.
Apoiador Potencializador Estruturante
30. Grau de Atenção: Atenuação ou Agravamento do Grau
Administração Pública
Entes de administração
pública costumam
apresentar atenuantes
quanto ao grau de atenção
devido a legislação própria.
Este grupo sugere uma
redução do grau.
Dados Sensíveis
Quando o tratamento diz
respeito a dados pessoais
sensíveis há um aumento
dos riscos, consequências
e medidas técnicas
adotadas pelo
controlador.
Este grupo sugere um
agravante do grau.
Limite Mínimo
Tratamento sobre dados
anonimizados ou não
pessoais.
Limite Máximo
Tratamento de dados
sensíveis por legítimo
interesse (ilegal)
ou outra irregularidade.
32. Exemplos de Risco Baixo
O INSS precisa utilizar os dados de conta
bancária para efetuar os pagamentos de
aposentados e pensionistas. Neste caso o
dado pessoal apoia o negócio do INSS. O
dado é usado como simples consulta
informativa.
● Administração Pública
● Amparado por legislação específica
● Base legal “Políticas públicas” (art. 7)
● Base legal “Poder Público” (capítulo IV)
O INSS deve evitar pagar beneficiários que já
faleceram, assim ele precisa usar informações
do cadastro de CPF para verificar se o
beneficiário está vivo.
Neste caso, o negócio do INSS é
potencializado e seus recursos são
racionalizados através da identificação
antecipada de pagamentos indevidos.
33. Exemplos de Risco Baixo
Uma operadora de TV a cabo coleta os dados
de seus clientes, incluindo o endereço para
poder fornecer o serviço de TV.
Estes dados não potencializam o negócio, mas
o apoiam de forma a permitir que o serviço
seja fornecido para o endereço contratado.
A hipótese legal é a execução de contrato de
prestação de serviços, pois sem os dados
pessoais isso seria impossível.
34. Exemplos de Risco Médio
A Receita Federal, para descobrir fraudes na
declaração de imposto de renda, realiza
perfilamento dos contribuintes, inclusive
cruzando dados pessoais de médicos e
profissionais constantes em declarações
suspeitas.
Tais análises avançadas estruturam o
trabalho de fiscalização de forma que sem
isso os resultados não seriam aceitáveis.
Apesar de se tratar da administração pública e
ter embasamento que garanta o uso do dado
pessoal, o negócio se estrutura nestes dados -
sem ele não seria possível realizar a
fiscalização adequadamente.
35. Exemplos de Risco Médio
Um site usa um cookie de sessão para
manter um carrinho de compras online
enquanto o usuário escolhe outros produtos.
Neste cookie estão os dados da compra
(considerados pessoais) além dos dados de
identificação do comprador.
Para utilizar este cookie o site precisa do
consentimento do usuário. Neste caso, os
dados pessoais apoiam o negócio,
melhorando a navegação, mas o usuário
poderia fazer a compra sem isso.
A base legal é o consentimento.
36. Exemplos de Risco Médio
Uma loja de roupas possui cadastros de
clientes justamente para fazer algum tipo de
propaganda ou perfilamento (traçar um perfil
do cliente) com objetivo de enviar malas
diretas ou sugestão de compra direcionada
ao cliente, neste caso usando seus dados
pessoais de compras anteriores, e-mail e
telefone para potencializar seu negócio.
Neste exemplo a base legal precisaria ser o
consentimento já que não haveria motivação
para a loja de roupas coletar os dados do
cliente.
37. Exemplos de Risco Alto
Um serviço de streaming de vídeo ou áudio,
executa seus tratamentos de derivação,
perfilamento e beneficiamento de dados de
usuários, mas avisa claramente em sua
política de privacidade que, ao aceitar um
termo de consentimento quando se cadastra,
o usuário permite que a plataforma
apresente sugestões de conteúdo com base
nos filmes e séries assistidos, na faixa etária
e no sexo do usuário.
O tratamento de dados é estruturante para o
processo de negócio, caso contrário,
ofereceria filmes aleatórios para os usuários.
38. Exemplos de Risco Muito Alto
Uma rede social ou app para celulares executa
seus tratamentos de derivação,
perfilamento e beneficiamento de dados
diversos de seus usuários, mas não pede
consentimento para o usuário sobre estes
tratamentos assumindo que tem legítimo
interesse sobre o uso dos dados.
Neste caso, o site ou app não poderia
funcionar sem este tratamento estruturante,
mas ele é feito com base no legítimo
interesse. O tratamento é o próprio processo
de negócio da rede social ou app.
39. Exemplos de Situação Limítrofe: Irregular
Algum controlador alega legítimo interesse
ao tratar dados sensíveis ou qualquer outra
situação notoriamente irregular perante a
LGPD.
40. Exemplos de Situação Limítrofe: Não Tratamento
Ao realizar o mapeamento de
isolamento social durante a
pandemia de COVID-19 utilizando
dados de localização dos celulares
fornecidos pelas operadoras, as
prefeituras trataram os dados
pessoais anonimizados.
43. Defina o Data Protection Officer
Fonte:https://www.google.com/url?sa=i&url=https%3A%2F%2Fpromovesolucoes.com%2Fdpo-o-que-e-importancia-lgpd%2F&psig=AOvVaw1rusQ8qwaLErZsOpxr1tOa&ust=1623085630913000&source=images&cd=vfe&ved=0CAIQjRxqFwoTCLDl
pK6_g_ECFQAAAAAdAAAAABAD
44. Capacitação
● LGPD e GDPR
● ISO 27701
● Marco Civil da Internet
● Lei de Acesso à Informação
● Normas específicas da organização