1. O documento apresenta um resumo sobre privacidade de dados no contexto do GDPR, casos internacionais e legislação brasileira. 2. Aborda o GDPR europeu, casos como Snowden e Facebook/Cambridge Analytica, e o projeto de lei brasileiro PLC 53/2018 sobre privacidade de dados. 3. O objetivo é contextualizar a importância da privacidade de dados no mundo e no Brasil.

1. Privacidade de Dados:
GDPR, Mundo e Brasil
Maurício Harley
Pesquisador – Grupo TeDirei
Junho de 2018

2. Agenda
• Apresentação;
• Contextualização;
• Parte 1 (GDPR)
– Prelúdio;
– GDPR;
– Key Issues.
• Parte 2 (Casos e Legislações Aderentes)
– Lei Carolina Dieckman;
– Caso Snowden;
– Marco Civil da Internet;
– Caso Facebok & Cambridge Analytica;
– Caso Metrô de São Paulo.
2

3. Agenda (cont.)
• Parte 3 (Regulamentação Brasileira)
– PLC 53/2018
• Debate.
3

4. Apresentação
• MBA em Gerenciamento de Projetos de TI – FFB;
• Bacharel em Engenharia Elétrica – UFC;
• Tecnológo em Telemática – FIC/Estácio;
• Técnico em Informática Industrial – ETFCE/CEFET-CE/IFCE;
• 2x CCIE (Routing & Switching, Service Provider), CISSP;
• VCIX-NV (VMware NSX), MCSE Cloud Platform, VCP6-DCV, JNCIA-
Cloud, ITIL v3;
• Criador do Blog itHarley;
• Áreas de especialidade: Cyber Security, Data Center, Cloud
Computing, Routing & Switching, Service Provider;
• Escritor regular das revistas PenTest Magazine e Hakin9;
• Arquiteto de Cloud Computing e Cyber Security na HX Brasil;
• Pesquisador do TeDirei – Crimes cibernéticos e cibersegurança;
• Palestrante de temas diversos em Tecnologia da Informação;
• Mais de 20 anos de experiência em TI. 4

5. Contextualização
• GDPR teve um grande peso no cenário
internacional;
• Brasil se movimentou para gerar algo
semelhante (ou próximo a isto);
• Escândalos recentes colaboraram para a
criação do instrumento regulatório;
• As pessoas estavam (ou estão) com
sensação de monitoramento constante;
• Motivação: Privacidade de Dados. 5

6. Parte 1
GDPR

7. Prelúdio
7

8. Prelúdio (cont.)
• Data Protective Directive (União Europeia)
– Oficialmente, Diretiva 95/46/EC;
– Proteção de PII (Personally Identifiable
Information);
– Adotada em 1995;
– Todos os Estados membros da CE são
signatários da ECHR;
– Baseia-se em sete princípios definidos pela
OECD;
– Serviu de inspiração para a GDPR. 8

9. Prelúdio (cont.)
• Princípios da OECD
1. Comunicação (Notice);
2. Propósito (Purpose);
3. Consentimento (Consent);
4. Segurança (Security);
5. Divulgação (Disclosure);
6. Acesso (Access);
7. Prestação de Contas (Accountability).
9

10. Prelúdio (cont.)
• No entanto, a regulamentação não foi
plenamente implementada
– Interpretações diferentes foram criadas entre
os países-membros.
• EUA apoiou a diretiva, mas não a
implementou internamente.
10

11. GDPR
• General Data Protection Regulation;
• Teve início em 25/01/2012;
• Preenche os buracos da Diretiva 95;
• Dá uma nova definição a “dado pessoal”;
• Previa duas datas-chave:
– Entraria em vigor em 25/05/2016;
– Penalidades: a partir de 25/05/2018.
• Pseudonimização.
11

12. GDPR (cont.)
• O indivíduo é o único dono dos dados
– Paralelo com o direito à propriedade (Art. 5º.)
• Empresas apenas têm a custódia dos
mesmos;
• Pessoas são chamadas de data subjects.
• Regulamentação atinge apenas território
europeu
– Suíça está excluída. UK deve ficar de fora
num futuro breve.
12

13. Key Issues
• Total de 14 tópicos
– Consentimento;
– Oficial de Proteção de Dados (DPO);
– Email Marketing;
– Criptografia;
– Multas / Penalidades;
– Obrigações de Informação;
– Processamento de Ordem;
13

14. Key Issues (cont.)
– Dados Pessoais;
– Privacidade na Concepção;
– Levantamento do Impacto da Privacidade;
– Registros de Atividades de Processamento;
– Direito de Acesso;
– Direito ao Esquecimento;
– Países Externos.
14

15. 1. Dados Pessoais
• O cerne da GDPR;
• Toda e qualquer PII. Tipos adicionais:
– Localização;
– Características que determinem identidade
física, psicológica, genética, mental,
comercial, cultura ou de sociedade.
• Outros dados PII
– Número de telefone, cartão de crédito, dados
bancários, placa do carro, endereço ou
aparência da vizinhança. 15

16. 1. Dados Pessoais (cont.)
• Não são apenas dados triviais;
• Registros trabalhistas (folha de ponto),
resultados de exames prestados, endereços IP
que levem à identificação da pessoa;
• Dados subjetivos
– Opiniões;
– Julgamentos;
– Estimativas.
16

17. 1. Dados Pessoais (cont.)
• Dados Sensíveis
– Genéticos;
– Biométricos;
– Saúde;
– Origem Étnica;
– Opiniões Políticas;
– Convicções Religiosas.
17

18. 2. Direito de Acesso
• Solicitação de acesso ao dado e a respectiva
resposta;
– Resposta pode ser positiva ou negativa;
• Se positiva, informar:
– Propósitos de processamento;
– Categoria de dados pessoais;
– Receptor ou categoria de receptores;
– Duração ou critério para definição de
armazenamento;
– Restrições eventuais de processamento;
– ... 18

19. 2. Direito de Acesso (cont.)
• Resposta deve ser dada o mais rápido
possível
– No máximo: 1 mês;
• De forma eletrônica ou verbal;
• Não cobrar pagamento
– Exceção: solicitação de cópias.
• Direito ao processamento dos dados
precisa ser checado.
19

20. 3. Direito ao Esquecimento
• Regula obrigações de deleção;
• Seguramente, uma das key issues mais
importantes;
• Razões para apagar
– Dado não é mais necessário;
– Indivíduo deseja encerrar consentimento;
– Indivíduo nega o armazenamento;
– Atender a um requisito regulatório da UE;
– Dado é ilegal/ilícito.
20

21. 3. Direito ao Esquecimento (cont.)
• Não especifica COMO apagar;
• Só estabelece que possível recuperação
deve ser inviável financeiramente
– Destruição física ou deleção segura (DoD)
• Indivíduo precisa ser corretamente
identificado
– Comprovação adicional pode ser solicitada.
• Resposta deve ser dada em um mês
– Confirmação precisa ser comunicada.
21

22. 4. Data Protection Officer (DPO)
• Mais um officer para a empresa
– CEO, CIO, CFO, CTO, CSO, ...
• Responsável pela proteção dos dados;
• Pode ser empregado da empresa ou
pessoa externa;
• Não pode gerar possíveis conflitos de
interesses
– Funcionário de TI, do RH ou gerente sênior.
22

23. 4. Responsabilidades do DPO
• Garantir conformidade de proteção;
• Monitorar processos
– Levantamento de impacto da privacidade;
– Conscientização de empregados;
– Colaboração com autoridades.
• Apesar de ser pessoa física, não isenta a
empresa da responsabilidade civil.
23

24. 5. Multas / Penalidades
• Qualquer autoridade nacional pode
realizar a fiscalização;
• Não substituem nenhuma outra multa
aplicável devido a outra legislação;
• Agravantes
– Infração intencional;
– Negligência em corrigir falhas;
– Falta de colaboração com autoridades.
24

25. 5. Multas / Penalidades (cont.)
• Há grupos de artigos que classificam a
gravidade;
• Dependendo da infração, há dois tipos de
enquadramento:
– Até 10 milhões de euros, ou 2% do
faturamento anual da companhia
controladora, o que for maior;
– Até 20 milhões de euros, ou 4% do
faturamento anual da companhia
controladora, o que for maior.
25

26. 5. Multas / Penalidades (cont.)
• Canais de denúncias
– Inspeção por Autoridades;
– Funcionário insatisfeito;
– Imprensa, através de jornalismo investigativo.
26

27. Parte 2
Casos Notórios e Legislações Complementares

28. Lei Carolina Dieckmann
• Tipificação de Crimes Informáticos
– Também conhecidos como crimes
cibernéticos puros.
• Lei 12.737 de 30/12/2012;
• Caixa de e-mail da atriz invadida e 36
fotos foram vazadas;
• Foi extorquida em R$ 10.000,00;
• Acrescentou artigos ao Código Penal;
28

29. Lei Carolina Dieckmann (cont.)
• Artigo 154-A
– Pena inicial de 3 meses a 1 ano e multa;
– Se forem obtidos segredos comerciais ou
industriais, pena fica de 6 meses a 2 anos e
multa.
• Artigo 154-B
– É preciso haver reclamação formal, com
exceção se a vítima for a administração
pública.
29

30. Caso Edward Snowden
• Ex-administrador de sistemas da NSA;
• Não era e nunca foi espião;
• Apenas teve acesso não autorizado a
documentos altamente confidenciais;
• Tinha 29 anos quando ganhou fama
mundial (2013);
• Denunciou a existência do programa de
espionagem PRISM do governo norte-
americano. 30

31. Caso Edward Snowden (cont.)
• PRISM recebia dados de empresas com
muitos clientes
– Apple;
– Facebook;
– Google;
– Microsoft.
• Com a ajuda de Julian Assagen, mentor
do site Wikileaks, exilou-se na Rússia;
• Posteriormente, conseguiu asilo definitivo.
31

32. Caso Edward Snowden (cont.)
• O programa PRISM mirou diversos países
ao redor do mundo, inclusive antigos
aliados norte-americanos, como Alemanha
e França;
• Brasil também entrou no bolo;
• Registros e detalhes de telefonemas e e-
mails brasileiros apareceram nos
documentos vazados.
32

33. Marco Civil da Internet
• Lei 12.965 de 23/04/2014;
• Foi motivado por legislações anteriores,
especialmente o PL 84/1999, conhecido
popularmente como “Lei Azeredo”
– Preocupação com dados pessoais.
• Também se baseou no PLS 151/2000
– Guarda dos registros de conexão Internet.
33

34. Marco Civil da Internet (cont.)
• Antes de virar lei, era o PL 2.126/2011;
• Episódio de Carolina Dieckmann acelerou
as discussões;
• Pilares
– Neutralidade da Rede;
– Guarda dos registros de conexão;
– Guarda dos registros de aplicações Internet;
– Responsabilidade por material infringente.
34

35. Marco Civil da Internet (cont.)
35

36. Marco Civil da Internet (cont.)
• O que mudou
1. Liberdade de expressão, privacidade e
inviolabilidade das comunicações;
2. Coleta de dados pessoais;
3. Registros de conexão à Internet;
4. Registros de navegação;
5. Retirada de conteúdos infringentes;
6. Neutralidade da rede.
36

37. Marco Civil da Internet (cont.)
• Artigo 7º
– Vida privada, sigilo das comunicações.
• Artigos 10º. ao 17
– Guarda e disponibilização de registros de
conexão e acesso a conteúdo;
– Quebra de sigilo sob solicitação judicial;
– Provedores de acesso: 6 meses;
– Provedores de conteúdo: 1 ano.
37

38. Caso Facebook e Cambridge Analytica
• Eventos aconteceram em 2017;
• Vieram à tona em 2018;
• Consistiu no compartilhamento indevido
de dados de 87 milhões de usuários do
Facebook;
• Cambridge Analytica era uma empresa de
geração de campanhas baseadas em
estatísticas;
38

39. Caso Facebook e Cambridge Analytica (cont.)
• Impacto direto na campanha presidencial
norte-americana;
• Fortes suspeitas de influências em futuras
campanhas políticas em outros países
– Incluindo a disputa presidencial de 2018.
• Episódio resultou em má exposição da
criadora da maior rede social mundial;
• CEO Mark Zuckerberg precisou depor no
Congresso Nacional.
39

40. Caso Facebook e Cambridge Analytica (cont.)
• Mais de 430 mil brasileiros incluídos;
• CTO Mike Schroepfer se desculpou
publicamente e lançou grupo de medidas;
• Facebook tem acordo de 2011 com a FTC
– A entidade investiga se o caso gerou quebra
de acordo;
– Acordo previa franqueza e honestidade com
usuários;
– A rede precisava precisava implementar
programa abrangente de privacidade. 40

41. Caso Metrô de SP
• ViaQuatro instalou portas interativas
digitais;
• As portas identificam “comportamento dos
usuários”;
• Inteligência artificial analisa reações a
comunicados e anúncios;
• Isso implica em coleta de dados gráficos
de usuários
– Fotos e vídeos.
41

42. Caso Metrô de SP (cont.)
• E a privacidade?
– Pessoas não autorizaram coleta de seus
dados;
– O que será feito com as fotos e vídeos?
– Com que instituições ou empresas os dados
serão compartilhados?
– É mais importante do que a segurança
pública?
• RJ usa isso para procurar e prender criminosos.
– PLC 53 precisa responder a isso.
42

43. Parte 3
PLC 53/2018

44. PLC 53/2018
• Projeto de Lei da Câmara;
• Atualmente em tramitação no Senado;
• Correspondente à junção de outros PLs
– 4060/2012 (Câmara);
– 5276/2016 (Câmara);
– 330/2013 (Senado).
• Recebeu novo foco após proximidade da
GDPR e o caso Cambridge Analytica.
44

45. PLC 53/2018 (cont.)
• Falta de legislação compromete o Brasil
perante outros países;
• Escândalo de venda de dados pelo
governo
– SERPRO foi acusado pelo MP-DF;
– SERPRO afirma que foi autorizado por
portaria 457/2016 do MF.
• Investigação segue.
45

46. PLC 53/2018 (cont.)
• Respeito precisa ser praticado tanto pela
iniciativa privada quanto pelo poder
público;
• Prevê a criação de uma agência
reguladora
– Autoridade Nacional de Proteção de Dados.
• A lei tem um prazo de 18 meses para
entrar em vigor após sancionada.
46

47. PLC 53/2018 (cont.)
• Proteção da liberdade e privacidade
– Autodeterminação informativa;
– Inviolabilidade da intimidade.
• Restrita ao território nacional;
• Dados podem ser digitais ou não;
• Três tipos de dados
– Pessoal;
– Sensível;
– Anonimizado. 47

48. PLC 53/2018 (cont.)
• Consentimento
– Redes sociais anulam o dado como pessoal.
• Princípio da Finalidade;
• Princípio da Necessidade;
• Repasse a outrem requer autorização;
• Após usado à excluir;
• Encarregado ó DPO da GDPR;
• Multas variam de 2% do faturamento até
R$ 50 milhões. 48

49. Debate
49

50. Obrigado!
Maurício Harley
@mauricioharley
https://itHarley.com
50