Palestra sobre Proteção de Dados e Cyber Security ministrada pela Dra. Patricia Peck, com debate com convidados especialistas, parte do corpo docente da nova pós-graduação da FIA sobre Gestão da Inovação e Direito Digital. O Conteúdo apresenta, em resumo, o que as empresas devem fazer para ficar compliance, sob uma ótica de Direito Comparado (Brasil, União Européia e EUA) com tendências regulatórias 2017 e 2018.
6. REFLEXÃO: para que servem as regulamentações?
https://pixabay.com/p-1019820/?no_redirect
O ESTADO DEVE GARANTIR O EQUILÍBRIO OU SEJA A PROTEÇÃO DO
CONSUMIDOR E DA LIVRE CONCORRÊNCIA (SÓ DEVE HAVER
INTERVENÇÃO PÚBLICA NA ECONOMIA SE HÁ UM MARKET FAILURE)
7. DESAFIO PARA AS RELAÇÕES DIGITAIS: O MEDO!
CONFIANÇA
INTEGRIDADE
TRANSPARÊNCIA
https://www.blockchainhub.com.br/
TECNOLOGIA
CERTEZA AUTENTICIDADE
(associar Identidade + Autoria)
PROVA DA MANIFESTAÇÃO DE
VONTADE (documentação –
guarda com cadeia de custódia
desde a emissão – origem até a
baixa com controle do ciclo de
vida dos dados)
QUAL A MELHOR TESTEMUNHA DOS FATOS:
O HUMANO OU A MÁQUINA?
ISSO EXIGE UMA MUDANÇA DE CULTURA DO LEGISLADOR, DO
MAGISTRADO, DO OPERADOR DO DIREITO.
8. Proteção de Dados
8
O que está acontecendo pelo mundo...
http://exame.abril.com.br/tecnologia/eua-revogam-norma-de-protecao-a-dados-pessoais-na-internet/
https://theintercept.com/2017/03/31/o-facebook-nao-protegeu-30-milhoes-de-usuarios-de-terem-dados-acessados-por-uma-das-empresas-da-
campanha-de-trump/
http://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&infoid=44897&sid=18
9. 1. Fundamentos legais para coletar a
informação
2. Plano de Segurança da Informação
3. Auditoria de impacto de privacidade
4. Prova de anonimização de dados
5. Gestão de Notificação e
Consentimento
6. Portabilidade de dados
Regulamento 679/2016
GDPR (General Data Protection Regulation) - prazo de 24/05/2016 a 25/05/2018
.
.
Gestão Ciclo de Vida
Dados Pessoais
10. Compliance Empresas: Brasil X UE
10
No Brasil:
Lei Marco Civil Internet de 2014 +
Decreto 8771/2016
Decreto do Comércio Eletrônico de
2013 + Código de Defesa do
Consumidor
PL 5276/2016 + 4060/2012 +
330/2013
- Mera ciência Consentimento
prévio (1 única vez)
- Exclusão apenas a pedido (não
automática) e apenas o prazo
legal mínimo (MCI 6 meses ou
outra lei)
- Apenas bases de dados coletadas
da internet (MCI)
Na Europa: GDPR
- Consentimento prévio (no ciclo de vida ocorre
de 4 vezes: adesão, enriquecimento,
compartilhamento, armazenar fora do país
(cloud)
- Exclusão automática (se deixar de ser cliente)
ou a pedido a qualquer tempo
- Portabilidade (está sendo debatido se seria
estrita apenas dos dados fornecidos ou
completa também dos dados
comportamentais e enriquecidos)
- Toda base de dado pessoal (coletada por
qualquer meio)
- Dever de anonimização
- Dever de criptografia
- Dever de notificar interessados (violação)
- Multas altíssimas (para o Grupo Econômico)
- Prevê ação coletiva
11. PROTEÇÃO DE DADOS PESSOAIS
11
União Europeia – Roadmap GDPR
As empresas têm buscado apresentar
parecer para mostrar que está
Compliance à GDPR (todas empresas do
Grupo que têm acesso as bases de
dados, incluindo quem está em outro
país). Desafio inicial: quais são as bases
de dados e quem tem acesso.
12. PROTEÇÃO DE DADOS PELO MUNDO
12
LATAM Proteção de dados pessoais
Argentina Lei nº 25.326/2000 – Lei de Proteção de Dados Pessoais
Chile Projeto de Lei para atualizar a lei (em andamento – desde 2011)
Lei 19.628/1999 – Lei de Proteção de Dados Pessoais
Colômbia Lei nº 1581/2012 - Lei Geral de Proteção de Dados Pessoais
Decreto nº 1.377/2013 – Regulamenta a Lei Geral de Proteção de Dados
Pessoais
México Lei Federal de Transparência e Acesso à Informação Pública Governamental
Lei Federal de Proteção de Dados Pessoais em Poder de Particulares (2010)
Panamá Projeto de Lei sobre Proteção de Dados Pessoais (em andamento)
Lei nº 06/2002 – Lei de Transparência e Acesso à Informação Pública
Peru Lei nº 29.733/2011 – Lei de Proteção de Dados Pessoais
Uruguai Lei n° 18.331/2008 – Lei de Proteção de Dados Pessoais
*útlimo acesso em 10.04.2017
13. E o Brasil? Qual o status dos Projetos de Lei de Proteção de Dados?
13
- Apensado ao Projeto de Lei
4060/2012
- Instaurou-se uma Comissão
Especial sobre Tratamento e
Proteção de Dados Pessoais
http://www.camara.gov.br/proposicoesWeb/fichadetramitacao?idProposicao=2084378
PL nº 5276/2016
14. 14
Discussões – Comissão Especial – Projeto de Lei nº 4060/2012
http://www2.camara.leg.br/camaranoticias/noticias/CIENCIA-E-TECNOLOGIA/526730-DEBATEDORES-DIVERGEM-SOBRE-ABRANGENCIA-DA-PROTECAO-A-DADOS-PESSOAIS.html
E o Brasil? Qual o status dos Projetos de Lei de Proteção de Dados?
O maior desafio é garantir
a anonimização.
Dados de interesse público
(identificação razoável) X
interesse do particular
(exigiria consentimento).
Criação de um Órgão
Central (regulador ou
fiscalizador?)
Seguir princípios da União
Européia (transparência da
coleta, limite de uso, etc)
Poder comercializar dados
http://www2.camara.leg.br/camaranoticias/noticias/CIENCIA-E-TECNOLOGIA/526953-COMISSAO-ESPECIAL-DEBATE-COMERCIALIZACAO-DE-DADOS-PESSOAIS-NESTA-
SEMANA.html
http://www2.camara.leg.br/camaranoticias/noticias/CONSUMIDOR/528358-COMISSAO-DEBATE-%E2%80%9CLEGITIMO-INTERESSE%E2%80%9D-NO-TRATAMENTO-E-PROTECAO-DE-DADOS-PESSOAIS.html
15. Cyber Security
15
O que está acontecendo pelo mundo...
http://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&infoid=44938&sid=18
http://g1.globo.com/mundo/noticia/servico-de-inteligencia-da-alemanha-recruta-hackers.ghtml
16. CYBER SECURITY - EUROPA
16
NIS – DIRECTIVE (EU) 2016/1148 – NETWORK AND INFORMATION SECURITY
• Medidas destinadas a garantir um elevado nível comum de segurança das redes e da
informação em toda a união;
• Aplicada a todos os operadores de serviços essenciais (i) e aos prestadores de serviços
digitais (ii), os quais podem aplicar outras medidas de segurança mais rigorosas do que as
previstas na diretiva (4) e (6);
(i) entidade pública ou privada pertencente a um dos setores disciplinados no
anexo II (energia, transporte, saúde, financeiro, etc.) que preste um serviço essencial para a
manutenção de atividades sociais e/ou econômicas cruciais
(ii) pessoa coletiva que presta um serviço da sociedade da informação pertencente
aos tipos enumerados no anexo III (computação em nuvem, por exemplo)
Cronograma: publicado em em 6 de julho de 2016
Prazo para adoção das medidas: de 9 de fevereiro de 2017 a 9 de novembro de 2018
Prazo para os Estados-Membros adotarem e publicarem leis nacionais que atendam a diretiva
até 9 de maio de 2018
Prazo aplicação efetiva de todas as medidas inclusive penalidades 10 de maio de 2018
http://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A32016L1148
17. • obrigação de os Estados-Membros adotarem uma estratégia nacional de segurança
das redes e dos sistemas de informação
• A identificação das medidas de preparação, de resposta e de recuperação,
incluindo a cooperação entre os setores público e privado;
• indicação dos programas de ensino, de sensibilização e de formação relacionados
com a estratégia nacional de segurança das redes e dos sistemas de informação
• indicação dos planos de investigação e desenvolvimento
• Um plano de avaliação dos riscos para identificar riscos e de gestão da
continuidade das atividades
• O acompanhamento, a auditoria e realização de testes periódicos
• A conformidade com as normas internacionais
• Cria um grupo de cooperação estratégica (em nível nacional e internacional) e de
intercâmbio de informações e boas práticas sobre investigações e conscientização
entre os Estados-Membros
• Cria uma rede de equipes de resposta a incidentes de segurança de informação CSIRT
• Estabelece requisitos de segurança e de notificação para os operadores de serviços
essenciais e para os prestadores de serviços digitais
17
CYBER SECURITY - EUROPA
NIS – DIRECTIVE (EU) 2016/1148 – NETWORK AND INFORMATION SECURITY
18. Parâmetros para definir a importância do impacto de um incidente:
• O número de utilizadores afetados pela perturbação
• A duração do incidente
• A distribuição geográfica, no que se refere à zona afetada
• O nível de gravidade da perturbação do funcionamento do serviço (ex: se
é um serviço essencial)
• A extensão do impacto nas atividades económicas e sociais
OBS: Quando tratarem de incidentes que tenham dado origem à violação
de dados pessoais, as autoridades competentes trabalham em estreita
colaboração com as autoridades encarregadas da proteção de dados.
Há o dever de reportar incidentes de vazamento de dados pessoais.
18
CYBER SECURITY - EUROPA
NIS – DIRECTIVE (EU) 2016/1148 – NETWORK AND INFORMATION SECURITY
19. 19
Alguns tópicos...
- Conceito de Cloud Computing
- Diferença de cloud pública e cloud
privada
- Segurança na Infraestrutura
- Proteção dos Dados
- Criptografia
- Privacy by Design
- Portabilidade e Interoperabilidade
- Auditoria
- Transparência
- Compliance
Recomendações de Segurança para as Empresas de Cloud Computing
– Federal Office for Information Security
https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/CloudComputing/SecurityRecomme
ndationsCloudComputingProviders.pdf?__blob=publicationFile&v=2
CYBER SECURITY – EUROPA - ALEMANHA
20. CENÁRIO BRASILEIRO
20
O que está sendo discutido no Brasil
http://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&infoid=4485
5&sid=18
22. Projetos de lei em andamento
22
Exigem gestão e governança TI + Jurídico do ciclo de vida dos dados
Adesão
Tratamento
Enriquecimento
Compartilhamento
Internacional
Exclusão
Portabilidade
As empresas brasileiras estão
preparadas?
Atualizaram as políticas de
privacidade dos sites?
As cláusulas dos contratos?
24. Cyber Security – exige integração TI+Jurídico
24
As empresas brasileiras já implementaram as regras do MCI + Decreto 8771?
Decreto 8771 - Art. 13. Os provedores de
conexão e de aplicações devem, na guarda,
armazenamento e tratamento de dados
pessoais e comunicações privadas, observar
as seguintes diretrizes sobre padrões de
segurança:
Controle de acesso restrito aos logs /
dados
Mecanismos de dupla autenticação
Criação de uma inventário detalhado sobre
os acessos aos registros de conexão e de
acesso as aplicações contendo (momento,
duração, identidade do funcionário ou do
responsável e arquivo acessado)
Soluções que garantam a inviolabilidade
dos logs / dados
Ciclo de vida dos Logs:
1. Nasce na transação
2. Coletado
3. Tratado
4. Armazenado (local ou fora – cloud)
5. Indexado
6. Consultado/Exportado
7. Expira prazo legal (tabela de
temporalidade)
8. Apagado (Descarte seguro)
25. CYBER SECURITY – EXIGE EDUCAÇÃO DIGITAL
Art. 24. Constituem diretrizes para a atuação da União, dos Estados, do
Distrito Federal e dos Municípios no desenvolvimento da internet no
Brasil:
(...)
VIII - desenvolvimento de ações e programas de capacitação para uso da
internet;
Art. 26. O cumprimento do dever constitucional do Estado na prestação
da educação, em todos os níveis de ensino, inclui a capacitação,
integrada a outras práticas educacionais, para o uso seguro, consciente e
responsável da internet como ferramenta para o exercício da cidadania,
a promoção da cultura e o desenvolvimento tecnológico.
25
Lei nº 12.965/2014 – Marco Civil da Internet
26. 26
Campanhas de Educação – case – ISTARTCARE (iSTART)
Ética e Segurança Digital começa na Escola