SlideShare uma empresa Scribd logo
LGPD e Segurança da Informação
Ricardo Córdoba Baptista
Advogado e Consultor em SecInfo
Principais pontos da Lei Geral de Proteção de Dados
Pessoais em relação à segurança da informação.
Principais pontos da apresentação
• Noções gerais e conceitos fundamentais
• Padrões técnicos de segurança e sigilo
• Padrões técnicos recomendados pela ANPD
• Privacy by Design
• Relatório de impacto à proteção de dados pessoais
• Garantia da segurança da informação
• Comunicação em caso de incidentes
• Criação e adoção de boas práticas
• Encarregado/Data Protection Officer (DPO)
Noções gerais e conceitos fundamentais da LGPD
Evolução histórica
• Declaração Universal dos Direitos Humanos (1948)
- Artigo 12: “Ninguém será sujeito a interferências na sua vida privada, na sua família, no
seu lar ou na sua correspondência, nem ataques à sua honra e reputação. Todos os seres
humanos têm direito à proteção da lei contra tais interferências ou ataques”.
• Convenção Europeia sobre Direitos Humanos (1950)
- Artigo 8º: “Qualquer pessoa tem direito ao respeito da sua vida privada”.
• Tratado de Estrasburgo (1981)
Primeiro instrumento internacional vinculativo que protege o indivíduo contra os abusos
que podem acompanhar a coleta e o processamento de dados pessoais e que procura
regular ao mesmo tempo o fluxo transfronteiriço de dados pessoais. (Vedação de
tratamento de dados pessoais sensíveis; direito de informação e correção)
Noções gerais e conceitos fundamentais da LGPD
• Diretiva 95/46/EC (1995)
Não tinha força vinculante. Foi revogada pelo GDPR.
- “A Diretiva 95/46/ EC deve ser revogada pelo presente regulamento. A transformação já
em curso à data de aplicação do presente regulamento deve ser conforme com o presente
regulamento no prazo de dois anos a contar da entrada em vigor do presente
regulamento. (...)” [Considerando 171 do GDPR]
• Carta dos Direitos Fundamentais da União Europeia (2002)
- Artigo 7º: Respeito à vida privada e familiar
1. Toda pessoa tem o direito à sua vida privada e familiar, sua casa e sua correspondência.
- Artigo 8º: Proteção de dados pessoais
1. Toda pessoa tem direito à proteção dos dados pessoais que lhe digam respeito.
2. Esses dados devem ser tratados de forma justa para fins específicos e com base no
consentimento da pessoa em causa ou em qualquer outra base legítima estabelecida por
lei. Todos têm o direito de acessar os dados coletados sobre ele e o direito de retificá-los.
3. O cumprimento destas regras está sujeito ao controle de uma autoridade independente.
Noções gerais e conceitos fundamentais da LGPD
• Regulamento Geral de Proteção de Dados (2016)
Entrou em pleno vigor a partir de 25 de maio de 2018, ao mesmo tempo que revogou a
Diretiva 95/46/EC.
Principais objetivos:
• Harmonizar a legislação de proteção de dados no Espaço Econômico Europeu;
• Tornar o regime jurídico mais claro e previsível para as organizações e consumidores;
• Adaptar as regras de privacidade à nova era digital e criar confiança nos meios digitais;
• Melhorar os níveis de conformidade das organizações;
• Oferecer aos cidadãos controle sobre como seus dados estão sendo usados.
Noções gerais e conceitos fundamentais da LGPD
• Proteção de dados em todo o mundo
Autoridade e lei (s)
Leis de proteção de dados
Parcialmente adequado
Nenhuma lei específica
País adequado
Fonte: CNIL
Noções gerais e conceitos fundamentais da LGPD
• Proteção de dados no Brasil
Fonte: CNIL
Nível de proteção de dados: lei(s) de
proteção de dados.
Este país não garante um nível
adequado de proteção de dados
reconhecido pela UE.
As transferências de dados para este
país exigem o uso de ferramentas de
transferência.
Este país tem uma lei de proteção de
dados.
Noções gerais e conceitos fundamentais da LGPD
• Titular
• Tratamento dos dados
• Dados pessoais
• Dados pessoais sensíveis
• Dados anonimizados
• Anonimização
• Consentimento
• Agentes de tratamento
Noções gerais e conceitos fundamentais da LGPD
• Artigo 5º da LGPD
Dados pessoais: toda informação relacionada a uma pessoa identificada ou identificável.
Não se limita ao nome, sobrenome, RG, CPF, foto, apelido, idade, endereço residência ou
eletrônico. Pode ser um dado de localização, placas de automóvel, perfis de compras,
número IP. A lei adotou o critério expansionista.
Dados pessoais sensíveis: dados relacionados a características da personalidade do
indivíduo e suas escolhas pessoais, tais como origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou
político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando
vinculado a uma pessoa natural;
Tratamento de dados pessoais: toda operação realizada com dados pessoais, como coleta,
produção, classificação, transmissão, processamento, armazenamento, eliminação etc.
Noções gerais e conceitos fundamentais da LGPD
• Artigo 5º da LGPD
Dados anonimizados: dados relativos a um titular que não possa ser identificado,
considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião do seu
tratamento.
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do
tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou
indireta, a um indivíduo.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda
com o tratamento de seus dados pessoais para uma finalidade determinada. É uma das
bases legais.
Agentes de tratamento: o controlador e o operador. O controlador recepciona os dados
pessoais dos titulares de dados por meio do consentimento ou por hipóteses de exceção.
O operador realiza algum tratamento de dados pessoais motivado por contrato ou
obrigação legal com o controlador.
Padrões técnicos de segurança e sigilo
Art. 46. Os agentes de tratamento devem adotar medidas de segurança,
técnicas e administrativas aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou qualquer forma de tratamento inadequado ou
ilícito.
Art. 44 [...]
Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o
controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46
desta Lei, der causa ao dano.
Sanções administrativas
Art. 52
Responsabilidade civil
Art. 22, 42 e 44
Advertências, multas,
publicização, suspensão etc
Titulares dos dados podem
ajuizar ação, individual ou
coletivamente.
Responsabilidade solidária
entre os agentes de
tratamento.
Qual a
responsabilidade
do Encarregado?
Padrões técnicos recomendados pela ANPD
Art. 46 [...]
§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos
para tornar aplicável o disposto no caput deste artigo, considerados a
natureza das informações tratadas, as características específicas do
tratamento e o estado atual da tecnologia, especialmente no caso de dados
pessoais sensíveis, assim como os princípios previstos no caput do art. 6º
desta Lei.
Brasil deveria seguir os padrões internacionais,
dando autonomia à autoridade. A subordinação
da ANPD à Casa Civil é vista de forma negativa.
A falta de independência funcional do órgão
pode causar obstáculos ao compartilhamento de
dados entre o Brasil e a União Europeia.
Privacy by Design
Art. 46 [...]
§ 2º As medidas de que trata o caput deste artigo deverão ser observadas
desde a fase de concepção do produto ou do serviço até a sua execução.
Qual a ideia do conceito?
A ideia de privacidade desde à concepção foi desenvolvida por Ann Cavoukian Ph.D., ex-
Comissária de Privacidade e Informações de Ontário, Canadá. Em uma publicação sobre
os princípios que ela escreveu:
“Privacidade ‘by design’ é um conceito que desenvolvi nos anos 90, para abordar os
efeitos sempre crescentes e sistêmicos das Tecnologias de Informação e Comunicação e
dos sistemas de dados em rede em larga escala. A Privacidade “by design” promove a
visão de que o futuro da privacidade não pode ser assegurado apenas pelo
cumprimento de estruturas regulatórias; em vez disso, a garantia da privacidade
deve idealmente se tornar o modo de operação padrão de uma organização” – Fonte:
Ann Cavoukian. 2011. Privacidade “by design”, os 7 princípios fundamentais.
Privacy by Design
Princípios do Privacy by Design
Privacy by Design deve ser
encarado como um
requisito legal da Lei Geral
de Proteção de Dados, em
vez de simplesmente ser
visto como uma melhor
prática de
desenvolvimento.
Relatório de impacto à proteção de dados pessoais
O relatório permite avaliar, antecipadamente, quais são os potenciais riscos a que
estão expostos os dados pessoais em função das atividades de tratamento a que
estão sujeitos. A análise dos riscos para um determinado tratamento permite
identificar os riscos atinentes aos dados dos titulares e desenhar uma
resposta/solução, adotando as salvaguardas necessárias.
Riscos para direitos e
liberdades dos titulares de
dados
Relatório deve ser
realizado antes do
tratamento
A autoridade nacional poderá determinar ao
controlador que elabore relatório de impacto à proteção
de dados pessoais, inclusive de dados sensíveis,
referente a suas operações de tratamento de dados, nos
termos de regulamento, observados os segredos
comercial e industrial. (Art. 38, LGPD)
Por exemplo: clínica privada
ou laboratórios de análises
clínicas que tratam dados
pessoais sensíveis.
Garantia da segurança da informação
Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha
em uma das fases do tratamento obriga-se a garantir a segurança da
informação prevista nesta Lei em relação aos dados pessoais, mesmo após o
seu término.
Sobre o término do tratamento de dados, ver artigos 15 e 16 da LGPD.
O agente de tratamento é o responsável pela segurança da informação e está sujeito
a sanções, no entanto, é possível ajuizar ação regressiva contra o causador do dano.
Importante: preservar registros de eventos, como aqueles relacionados aos
acessos a um banco de dados ou a sistemas de arquivos, para fins de apuração de
responsabilidades nos casos de violação de dados, é fundamental.
Garantia da segurança da informação
Art. 6º As atividades
de tratamento de
dados pessoais
deverão observar a
boa-fé e os seguintes
princípios:
Art. 49. Os sistemas utilizados para o
tratamento de dados pessoais devem ser
estruturados de forma a atender aos
requisitos de segurança, aos padrões de
boas práticas e de governança e aos
princípios gerais previstos nesta Lei e às
demais normas regulamentares.
Comunicação em caso de incidentes
Art. 48. O controlador deverá
comunicar à autoridade
nacional e ao titular a
ocorrência de incidente de
segurança que possa
acarretar risco ou dano
relevante aos titulares.
§ 3º No juízo de gravidade do
incidente, será avaliada
eventual comprovação de que
foram adotadas medidas
técnicas adequadas que
tornem os dados pessoais
afetados ininteligíveis, no
âmbito e nos limites técnicos
de seus serviços, para
terceiros não autorizados a
acessá-los.
QUEM
A QUEM
COMO
Controlador (art. 48, caput)
Autoridade nacional (Art. 48, caput)
Operador (não mencionado)
Titulares dos Dados (Art. 48, caput)
Descrição dos dados (Art. 48, § 1º, I)
Titulares envolvidos (Art. 48, § 1º, II)
Medidas técnicas adotadas
Medidas para reverter ou mitigar
PRAZO
Razoável - definido
pela ANPD (Art. 48, § 1º)
Riscos relacionados ao incidente
Poderá: ampla divulgação
em meios de comunicação
Criação e adoção de boas práticas
• Possibilidade de controladores e operadores criarem boas práticas corporativas
para o tratamento de dados pessoais (Ver artigo 50);
• A adoção de política de boas práticas e governança será levada em consideração
no momento de imposição de sanções administrativas (Ver artigo 52, IX);
• Emergência de uma nova disciplina voltada para governança em privacidade, com
foco no cumprimento das leis de proteção de dados pessoais.
• Estamos cumprindo as obrigações legais em relação à privacidade?
• Estamos tratando os dados pessoais com o mesmo respeito com que
tratamos qualquer outra classe importante de ativos financeiros?
• Como proteger e usar de forma ética os dados pessoais?
• Como podemos aumentar o desempenho e inovar usando a
tecnologia?
Autores: Malcolm Crompton e Michael Trovato
Encarregado/Data Protection Officer (DPO)
• Art. 5 Para os fins desta Lei, considera-se:
VIII - encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação
entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;
• Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 2º As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar
providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem
tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em
normas complementares.
Encarregado/Data Protection Officer (DPO)
Art. 41 [...]
• § 3º A autoridade nacional poderá estabelecer normas complementares sobre a
definição e as atribuições do encarregado, inclusive hipóteses de dispensa da
necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume
de operações de tratamento de dados.
DPO de acordo com o GDPR
• O DPO tem uma posição independente e é protegido pelo GDPR;
• Ele não deve ser dispensado ou penalizado pelo controlador ou processador no
desempenho das suas funções;
• O DPO deve se reportar diretamente ao mais alto nível de gerenciamento do
controlador ou do processador;
• Atividades de informação e aconselhamento; monitoramento da conformidade; cooperar
com a autoridade supervisora; servir de ponto de contato com a autoridade.
Obrigado!

Mais conteúdo relacionado

Mais procurados

LGPD Descomplicada
LGPD DescomplicadaLGPD Descomplicada
LGPD Descomplicada
Maicon Alvim
 
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEILGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
Wellington Monaco
 
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...
Wellington Monaco
 
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
Wellington Monaco
 
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD - SISTEMA DE GESTÃO...LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD - SISTEMA DE GESTÃO...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO...
Wellington Monaco
 
Lei de Proteção aos Dados (LGPD)
Lei de Proteção aos Dados (LGPD)Lei de Proteção aos Dados (LGPD)
Lei de Proteção aos Dados (LGPD)
Luiz Agner
 
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
Wellington Monaco
 
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
Wellington Monaco
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
Ed Oliveira
 
Cartilha lgpd anahp
Cartilha lgpd   anahpCartilha lgpd   anahp
Cartilha lgpd anahp
JarbasSouza7
 
Privacidade By Design
Privacidade By DesignPrivacidade By Design
Privacidade By Design
Douglas Siviotti
 
LGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRASLGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRAS
Wellington Monaco
 
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva  e Ricardo Navarro (Pise4)Lei geral de proteção de dados por Kleber Silva  e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
Joao Galdino Mello de Souza
 
LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD...
LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD...LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD...
LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD...
Wellington Monaco
 
LGPD e Gestão Documental
LGPD e Gestão DocumentalLGPD e Gestão Documental
LGPD e Gestão Documental
Daniel Gorita
 
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD - SISTEMA DE GESTÃO ...LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
Wellington Monaco
 
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisDicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Rosalia Ometto
 
LGPD Privacy by Design 30nov2022.pdf
LGPD Privacy by Design 30nov2022.pdfLGPD Privacy by Design 30nov2022.pdf
LGPD Privacy by Design 30nov2022.pdf
Fernando Nery
 
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
Wellington Monaco
 
Checklist lgpd
Checklist lgpdChecklist lgpd
Checklist lgpd
anselmo333
 

Mais procurados (20)

LGPD Descomplicada
LGPD DescomplicadaLGPD Descomplicada
LGPD Descomplicada
 
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEILGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
 
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...
 
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
 
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD - SISTEMA DE GESTÃO...LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD - SISTEMA DE GESTÃO...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO...
 
Lei de Proteção aos Dados (LGPD)
Lei de Proteção aos Dados (LGPD)Lei de Proteção aos Dados (LGPD)
Lei de Proteção aos Dados (LGPD)
 
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
 
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
 
Cartilha lgpd anahp
Cartilha lgpd   anahpCartilha lgpd   anahp
Cartilha lgpd anahp
 
Privacidade By Design
Privacidade By DesignPrivacidade By Design
Privacidade By Design
 
LGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRASLGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRAS
 
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva  e Ricardo Navarro (Pise4)Lei geral de proteção de dados por Kleber Silva  e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
 
LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD...
LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD...LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD...
LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD...
 
LGPD e Gestão Documental
LGPD e Gestão DocumentalLGPD e Gestão Documental
LGPD e Gestão Documental
 
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD - SISTEMA DE GESTÃO ...LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
 
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisDicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
 
LGPD Privacy by Design 30nov2022.pdf
LGPD Privacy by Design 30nov2022.pdfLGPD Privacy by Design 30nov2022.pdf
LGPD Privacy by Design 30nov2022.pdf
 
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
 
Checklist lgpd
Checklist lgpdChecklist lgpd
Checklist lgpd
 

Semelhante a LGPD e Segurança da Informação

EXIN Privacy, Data e Protection.pdf
EXIN Privacy, Data e Protection.pdfEXIN Privacy, Data e Protection.pdf
EXIN Privacy, Data e Protection.pdf
ssusera7d631
 
Quais os desafios do setor público para à adequação a nova lei geral de prote...
Quais os desafios do setor público para à adequação a nova lei geral de prote...Quais os desafios do setor público para à adequação a nova lei geral de prote...
Quais os desafios do setor público para à adequação a nova lei geral de prote...
Embratel
 
Festival 2019 - A LGPD e seu impacto na captação
Festival 2019 - A LGPD e seu impacto na captaçãoFestival 2019 - A LGPD e seu impacto na captação
Festival 2019 - A LGPD e seu impacto na captação
ABCR
 
Dicas LGPD Ometto Advocacia Setembro 2020
Dicas LGPD Ometto Advocacia Setembro 2020Dicas LGPD Ometto Advocacia Setembro 2020
Dicas LGPD Ometto Advocacia Setembro 2020
Rosalia Ometto
 
Implementar LGPD em centro espirita.pptx
Implementar LGPD em centro espirita.pptxImplementar LGPD em centro espirita.pptx
Implementar LGPD em centro espirita.pptx
fabiolopesdsouza
 
Guia de Conformidade - LGPD
Guia de Conformidade - LGPDGuia de Conformidade - LGPD
Guia de Conformidade - LGPD
Ezequiel Brito
 
201711 abordagem rgpd
201711 abordagem rgpd201711 abordagem rgpd
201711 abordagem rgpd
Ricardo Marques
 
LGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisLGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados Pessoais
Douglas Siviotti
 
Introdução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation OneIntrodução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation One
Eliézer Zarpelão
 
Lei Geral de Proteção de Dados - Dicas básicas para compreender a LGPD
Lei Geral de Proteção de Dados - Dicas básicas para compreender a LGPDLei Geral de Proteção de Dados - Dicas básicas para compreender a LGPD
Lei Geral de Proteção de Dados - Dicas básicas para compreender a LGPD
Rosalia Ometto
 
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaLGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
Rosalia Ometto
 
AULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptx
AULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptxAULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptx
AULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptx
Cidrone
 
LGPDY - Lei Geral de proteção de dados
LGPDY - Lei Geral de proteção de dadosLGPDY - Lei Geral de proteção de dados
LGPDY - Lei Geral de proteção de dados
Fellipe Guimarães
 
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDA importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPD
Eliézer Zarpelão
 
7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
CNseg
 
Workshop Proteção de Dados Pessoais - Danilo Doneda e Mario Viola
Workshop Proteção de Dados Pessoais - Danilo Doneda e Mario ViolaWorkshop Proteção de Dados Pessoais - Danilo Doneda e Mario Viola
Workshop Proteção de Dados Pessoais - Danilo Doneda e Mario Viola
CNseg
 
L13709-LGPD
L13709-LGPDL13709-LGPD
L13709-LGPD
Wanderson Silveira
 
LGPD na área de Saúde | Unama Belém PA | 260521
LGPD na área de Saúde | Unama Belém PA | 260521LGPD na área de Saúde | Unama Belém PA | 260521
LGPD na área de Saúde | Unama Belém PA | 260521
Rosalia Ometto
 
LGPD - 2020.06.03 lgpd
LGPD - 2020.06.03 lgpdLGPD - 2020.06.03 lgpd
LGPD - 2020.06.03 lgpd
Delcio Pacheco Do Prado
 
Aspectos da Lei Geral de Proteção de Dados (LGPD)
Aspectos da Lei Geral de Proteção  de Dados (LGPD)Aspectos da Lei Geral de Proteção  de Dados (LGPD)
Aspectos da Lei Geral de Proteção de Dados (LGPD)
macjsilva
 

Semelhante a LGPD e Segurança da Informação (20)

EXIN Privacy, Data e Protection.pdf
EXIN Privacy, Data e Protection.pdfEXIN Privacy, Data e Protection.pdf
EXIN Privacy, Data e Protection.pdf
 
Quais os desafios do setor público para à adequação a nova lei geral de prote...
Quais os desafios do setor público para à adequação a nova lei geral de prote...Quais os desafios do setor público para à adequação a nova lei geral de prote...
Quais os desafios do setor público para à adequação a nova lei geral de prote...
 
Festival 2019 - A LGPD e seu impacto na captação
Festival 2019 - A LGPD e seu impacto na captaçãoFestival 2019 - A LGPD e seu impacto na captação
Festival 2019 - A LGPD e seu impacto na captação
 
Dicas LGPD Ometto Advocacia Setembro 2020
Dicas LGPD Ometto Advocacia Setembro 2020Dicas LGPD Ometto Advocacia Setembro 2020
Dicas LGPD Ometto Advocacia Setembro 2020
 
Implementar LGPD em centro espirita.pptx
Implementar LGPD em centro espirita.pptxImplementar LGPD em centro espirita.pptx
Implementar LGPD em centro espirita.pptx
 
Guia de Conformidade - LGPD
Guia de Conformidade - LGPDGuia de Conformidade - LGPD
Guia de Conformidade - LGPD
 
201711 abordagem rgpd
201711 abordagem rgpd201711 abordagem rgpd
201711 abordagem rgpd
 
LGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisLGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados Pessoais
 
Introdução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation OneIntrodução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation One
 
Lei Geral de Proteção de Dados - Dicas básicas para compreender a LGPD
Lei Geral de Proteção de Dados - Dicas básicas para compreender a LGPDLei Geral de Proteção de Dados - Dicas básicas para compreender a LGPD
Lei Geral de Proteção de Dados - Dicas básicas para compreender a LGPD
 
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaLGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
 
AULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptx
AULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptxAULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptx
AULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptx
 
LGPDY - Lei Geral de proteção de dados
LGPDY - Lei Geral de proteção de dadosLGPDY - Lei Geral de proteção de dados
LGPDY - Lei Geral de proteção de dados
 
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDA importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPD
 
7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
 
Workshop Proteção de Dados Pessoais - Danilo Doneda e Mario Viola
Workshop Proteção de Dados Pessoais - Danilo Doneda e Mario ViolaWorkshop Proteção de Dados Pessoais - Danilo Doneda e Mario Viola
Workshop Proteção de Dados Pessoais - Danilo Doneda e Mario Viola
 
L13709-LGPD
L13709-LGPDL13709-LGPD
L13709-LGPD
 
LGPD na área de Saúde | Unama Belém PA | 260521
LGPD na área de Saúde | Unama Belém PA | 260521LGPD na área de Saúde | Unama Belém PA | 260521
LGPD na área de Saúde | Unama Belém PA | 260521
 
LGPD - 2020.06.03 lgpd
LGPD - 2020.06.03 lgpdLGPD - 2020.06.03 lgpd
LGPD - 2020.06.03 lgpd
 
Aspectos da Lei Geral de Proteção de Dados (LGPD)
Aspectos da Lei Geral de Proteção  de Dados (LGPD)Aspectos da Lei Geral de Proteção  de Dados (LGPD)
Aspectos da Lei Geral de Proteção de Dados (LGPD)
 

LGPD e Segurança da Informação

  • 1. LGPD e Segurança da Informação Ricardo Córdoba Baptista Advogado e Consultor em SecInfo Principais pontos da Lei Geral de Proteção de Dados Pessoais em relação à segurança da informação.
  • 2. Principais pontos da apresentação • Noções gerais e conceitos fundamentais • Padrões técnicos de segurança e sigilo • Padrões técnicos recomendados pela ANPD • Privacy by Design • Relatório de impacto à proteção de dados pessoais • Garantia da segurança da informação • Comunicação em caso de incidentes • Criação e adoção de boas práticas • Encarregado/Data Protection Officer (DPO)
  • 3. Noções gerais e conceitos fundamentais da LGPD Evolução histórica • Declaração Universal dos Direitos Humanos (1948) - Artigo 12: “Ninguém será sujeito a interferências na sua vida privada, na sua família, no seu lar ou na sua correspondência, nem ataques à sua honra e reputação. Todos os seres humanos têm direito à proteção da lei contra tais interferências ou ataques”. • Convenção Europeia sobre Direitos Humanos (1950) - Artigo 8º: “Qualquer pessoa tem direito ao respeito da sua vida privada”. • Tratado de Estrasburgo (1981) Primeiro instrumento internacional vinculativo que protege o indivíduo contra os abusos que podem acompanhar a coleta e o processamento de dados pessoais e que procura regular ao mesmo tempo o fluxo transfronteiriço de dados pessoais. (Vedação de tratamento de dados pessoais sensíveis; direito de informação e correção)
  • 4. Noções gerais e conceitos fundamentais da LGPD • Diretiva 95/46/EC (1995) Não tinha força vinculante. Foi revogada pelo GDPR. - “A Diretiva 95/46/ EC deve ser revogada pelo presente regulamento. A transformação já em curso à data de aplicação do presente regulamento deve ser conforme com o presente regulamento no prazo de dois anos a contar da entrada em vigor do presente regulamento. (...)” [Considerando 171 do GDPR] • Carta dos Direitos Fundamentais da União Europeia (2002) - Artigo 7º: Respeito à vida privada e familiar 1. Toda pessoa tem o direito à sua vida privada e familiar, sua casa e sua correspondência. - Artigo 8º: Proteção de dados pessoais 1. Toda pessoa tem direito à proteção dos dados pessoais que lhe digam respeito. 2. Esses dados devem ser tratados de forma justa para fins específicos e com base no consentimento da pessoa em causa ou em qualquer outra base legítima estabelecida por lei. Todos têm o direito de acessar os dados coletados sobre ele e o direito de retificá-los. 3. O cumprimento destas regras está sujeito ao controle de uma autoridade independente.
  • 5. Noções gerais e conceitos fundamentais da LGPD • Regulamento Geral de Proteção de Dados (2016) Entrou em pleno vigor a partir de 25 de maio de 2018, ao mesmo tempo que revogou a Diretiva 95/46/EC. Principais objetivos: • Harmonizar a legislação de proteção de dados no Espaço Econômico Europeu; • Tornar o regime jurídico mais claro e previsível para as organizações e consumidores; • Adaptar as regras de privacidade à nova era digital e criar confiança nos meios digitais; • Melhorar os níveis de conformidade das organizações; • Oferecer aos cidadãos controle sobre como seus dados estão sendo usados.
  • 6. Noções gerais e conceitos fundamentais da LGPD • Proteção de dados em todo o mundo Autoridade e lei (s) Leis de proteção de dados Parcialmente adequado Nenhuma lei específica País adequado Fonte: CNIL
  • 7. Noções gerais e conceitos fundamentais da LGPD • Proteção de dados no Brasil Fonte: CNIL Nível de proteção de dados: lei(s) de proteção de dados. Este país não garante um nível adequado de proteção de dados reconhecido pela UE. As transferências de dados para este país exigem o uso de ferramentas de transferência. Este país tem uma lei de proteção de dados.
  • 8. Noções gerais e conceitos fundamentais da LGPD • Titular • Tratamento dos dados • Dados pessoais • Dados pessoais sensíveis • Dados anonimizados • Anonimização • Consentimento • Agentes de tratamento
  • 9. Noções gerais e conceitos fundamentais da LGPD • Artigo 5º da LGPD Dados pessoais: toda informação relacionada a uma pessoa identificada ou identificável. Não se limita ao nome, sobrenome, RG, CPF, foto, apelido, idade, endereço residência ou eletrônico. Pode ser um dado de localização, placas de automóvel, perfis de compras, número IP. A lei adotou o critério expansionista. Dados pessoais sensíveis: dados relacionados a características da personalidade do indivíduo e suas escolhas pessoais, tais como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; Tratamento de dados pessoais: toda operação realizada com dados pessoais, como coleta, produção, classificação, transmissão, processamento, armazenamento, eliminação etc.
  • 10. Noções gerais e conceitos fundamentais da LGPD • Artigo 5º da LGPD Dados anonimizados: dados relativos a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião do seu tratamento. Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. É uma das bases legais. Agentes de tratamento: o controlador e o operador. O controlador recepciona os dados pessoais dos titulares de dados por meio do consentimento ou por hipóteses de exceção. O operador realiza algum tratamento de dados pessoais motivado por contrato ou obrigação legal com o controlador.
  • 11. Padrões técnicos de segurança e sigilo Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Art. 44 [...] Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano. Sanções administrativas Art. 52 Responsabilidade civil Art. 22, 42 e 44 Advertências, multas, publicização, suspensão etc Titulares dos dados podem ajuizar ação, individual ou coletivamente. Responsabilidade solidária entre os agentes de tratamento. Qual a responsabilidade do Encarregado?
  • 12. Padrões técnicos recomendados pela ANPD Art. 46 [...] § 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei. Brasil deveria seguir os padrões internacionais, dando autonomia à autoridade. A subordinação da ANPD à Casa Civil é vista de forma negativa. A falta de independência funcional do órgão pode causar obstáculos ao compartilhamento de dados entre o Brasil e a União Europeia.
  • 13. Privacy by Design Art. 46 [...] § 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução. Qual a ideia do conceito? A ideia de privacidade desde à concepção foi desenvolvida por Ann Cavoukian Ph.D., ex- Comissária de Privacidade e Informações de Ontário, Canadá. Em uma publicação sobre os princípios que ela escreveu: “Privacidade ‘by design’ é um conceito que desenvolvi nos anos 90, para abordar os efeitos sempre crescentes e sistêmicos das Tecnologias de Informação e Comunicação e dos sistemas de dados em rede em larga escala. A Privacidade “by design” promove a visão de que o futuro da privacidade não pode ser assegurado apenas pelo cumprimento de estruturas regulatórias; em vez disso, a garantia da privacidade deve idealmente se tornar o modo de operação padrão de uma organização” – Fonte: Ann Cavoukian. 2011. Privacidade “by design”, os 7 princípios fundamentais.
  • 14. Privacy by Design Princípios do Privacy by Design Privacy by Design deve ser encarado como um requisito legal da Lei Geral de Proteção de Dados, em vez de simplesmente ser visto como uma melhor prática de desenvolvimento.
  • 15. Relatório de impacto à proteção de dados pessoais O relatório permite avaliar, antecipadamente, quais são os potenciais riscos a que estão expostos os dados pessoais em função das atividades de tratamento a que estão sujeitos. A análise dos riscos para um determinado tratamento permite identificar os riscos atinentes aos dados dos titulares e desenhar uma resposta/solução, adotando as salvaguardas necessárias. Riscos para direitos e liberdades dos titulares de dados Relatório deve ser realizado antes do tratamento A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. (Art. 38, LGPD) Por exemplo: clínica privada ou laboratórios de análises clínicas que tratam dados pessoais sensíveis.
  • 16. Garantia da segurança da informação Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término. Sobre o término do tratamento de dados, ver artigos 15 e 16 da LGPD. O agente de tratamento é o responsável pela segurança da informação e está sujeito a sanções, no entanto, é possível ajuizar ação regressiva contra o causador do dano. Importante: preservar registros de eventos, como aqueles relacionados aos acessos a um banco de dados ou a sistemas de arquivos, para fins de apuração de responsabilidades nos casos de violação de dados, é fundamental.
  • 17. Garantia da segurança da informação Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.
  • 18. Comunicação em caso de incidentes Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. § 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los. QUEM A QUEM COMO Controlador (art. 48, caput) Autoridade nacional (Art. 48, caput) Operador (não mencionado) Titulares dos Dados (Art. 48, caput) Descrição dos dados (Art. 48, § 1º, I) Titulares envolvidos (Art. 48, § 1º, II) Medidas técnicas adotadas Medidas para reverter ou mitigar PRAZO Razoável - definido pela ANPD (Art. 48, § 1º) Riscos relacionados ao incidente Poderá: ampla divulgação em meios de comunicação
  • 19. Criação e adoção de boas práticas • Possibilidade de controladores e operadores criarem boas práticas corporativas para o tratamento de dados pessoais (Ver artigo 50); • A adoção de política de boas práticas e governança será levada em consideração no momento de imposição de sanções administrativas (Ver artigo 52, IX); • Emergência de uma nova disciplina voltada para governança em privacidade, com foco no cumprimento das leis de proteção de dados pessoais. • Estamos cumprindo as obrigações legais em relação à privacidade? • Estamos tratando os dados pessoais com o mesmo respeito com que tratamos qualquer outra classe importante de ativos financeiros? • Como proteger e usar de forma ética os dados pessoais? • Como podemos aumentar o desempenho e inovar usando a tecnologia? Autores: Malcolm Crompton e Michael Trovato
  • 20. Encarregado/Data Protection Officer (DPO) • Art. 5 Para os fins desta Lei, considera-se: VIII - encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados; • Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais. § 2º As atividades do encarregado consistem em: I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II - receber comunicações da autoridade nacional e adotar providências; III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
  • 21. Encarregado/Data Protection Officer (DPO) Art. 41 [...] • § 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. DPO de acordo com o GDPR • O DPO tem uma posição independente e é protegido pelo GDPR; • Ele não deve ser dispensado ou penalizado pelo controlador ou processador no desempenho das suas funções; • O DPO deve se reportar diretamente ao mais alto nível de gerenciamento do controlador ou do processador; • Atividades de informação e aconselhamento; monitoramento da conformidade; cooperar com a autoridade supervisora; servir de ponto de contato com a autoridade.