LGPD

Lei Geral de Proteção de Dados Pessoais

em perspectiva com a GDPR
PROFESSORES
BRUNO RICARDO BIONI
Doutorando e Mestre em Direito Civil na Faculdade de
Direito da Universidade de São Paulo. Foi study visitor do
Departamento de Proteção de Dados Pessoais do Conselho
da Europa e pesquisador no Centro de Pesquisa de Direito,
Tecnologia e Sociedade da Faculdade de Direito da
Universidade de Ottawa.
FUNDADOR DO DATA PRIVACY BRASIL

RENATO LEITE MONTEIRO

Doutorando em Filosofia do Direito na Universidade de São
Paulo e Mestre em Direito Constitucional pela UFC. LL.M em
Technology Law pela NYU e NUS. Foi study visitor e consultor
do Departamento de Proteção de Dados Pessoais do
Conselho da Europa. Professor de diversas instituições
nacionais e internacionais.
FUNDADOR DO DATA PRIVACY BRASIL
AGENDA
1. O que é a LGPD e como foi o seu processo?
2. A Espinha dorsal da LGPD
a) Escopo de Aplicação
b) Bases Legais para o Tratamento de Dados Pessoais
c) Dados Públicos e Manifestamente Públicos
d) Dados sensíveis, de saúde e de crianças e adolescentes
e) Direitos dos Titulares
f) Controlador e Operador
g) Obrigações
h) Transferência Internacional de Dados
i) Autoridade Nacional de Proteção de Dados (ANPD)
j) LGPD vs GDPR

3. Olhando para o futuro

a) O que fazer para se adaptar
b) Linha do tempo: o que deve acontecer até e depois da entrada em vigor
CONTEXTUALIZANDO
CPF NA FARMÁCIA
 O QUE É A LGPD E
1 COMO FOI O SEU
PROCESSO?
 COMO FOI
O PROCESSO DA
LGPD?
“VIA CRUCIS” DA LGPD: NÃO É UMA UMA DISCUSSÃO NOVA
2010 - 2018

2010 2014 2015 2012 a 2016 2018

1ª CONSULTA SNOWDEN PROJETO DE LEI CONJUNTURA POLÍTICA

PÚBLICA MICROSSISTEMA •PL 4060/2012 • GDPR
DE PDP •PL 5276/2016 • Cambridge
•PLS 330/2013 • OCDE
2ª CONSULTA • Cadastro Positivo (LC 166/2019)
PÚBLICA

AMADURECIMENTO DO TEMA No dia 14 de agosto de 2018, foi

(+ de 2.500 contribuições de sancionada a Lei 13.709/2018, a
atores nacionais e qual dispõe sobre proteção de
internacionais) dados pessoais
O QUE É A LGPD?
(impacto regulatório e econômico)
“QUEBRA-CABEÇA” Financeiro
(LC 105/2001 e BACEN) Crédito
Fragmentação | (Nível Legal, Infralegal e Autorregulamentação)
Publicidade (Lei
Seguros Financeiro (CONAR) 12.414/11)
Educação
Offlline (LC 105/2001
(SUSEP) (ECA e Leis
(CDC) e BACEN)
Municipais)

Online
(MCI + CDC) Mobilidade Urbana
Seguros (Legislação Municipal)
(SUSEP)

Políticas
Públicas Portarias
(LEI e Decretos) (Ministério
Educação da Justiça) Saúde Políticas Públicas
(ECA e Leis (Ministério Publicidade (LAI e Decretos)
Mobilidade Urbana Municipais) da Saúde) (CONAR)
Legislação Municipal) Crédito
(Lei 12.414/11)
“QUEBRA-CABEÇA”
Fragmentação | (Nível Legal, Infralegal e Autorregulamentação)

PROTEÇÃO DE DADOS PESSOAIS

DUPLA FUNÇÃO
Janela de oportunidade

1. The new regulations have forced

organisations to create order in the
information they have (..)

2. And order provides insight. Insight

into value that was hidden there -
(Delloitte, 2018)

Fomento ao Proteção
desenvolvimento de direitos
econômico e liberdades
e tecnológico fundamentais
 A ESPINHA
2 DORSAL DA LGPD
O QUE A LGPD
[Escopo de Aplicação]
REGULA?
ESCOPO DE APLICAÇÃO APLICAÇÃO
• Online e offline
• Privado e Público
DADOS DADOS • Dados corporativos
PESSOAIS ANONIMIZADOS • Extraterritorial
DADO PESSOAL
• Identificada e Identificável (cookies, outros
identificadores eletrônicos e geolocacionais)

DADOS SENSÍVEIS
• Podem acarretar em práticas discriminatórias
• Saúde, orientação sexual, política, biometria, genéticos
• Dados de crianças e adolescentes
DADOS ANONIMIZADOS
• Não há definição em leis setoriais
PROFILING • Critérios - filtro da razoabilidade: custo +
tempo + estado da arte da tecnologia
PROFILING
• Análise consequencialista
• Decisões automatizadas
PRINCÍPIOS GERAIS DE PROTEÇÃO DE DADOS

Finalidade Adequação Livre Acesso Segurança

Qualidade Prestação de Contas

Necessidade Prevenção
de Dados (accountability)

Não
Transparência Discriminação
 O QUE EU PRECISO
A PARA
TRATAR DADOS
PESSOAIS
[BASES LEGAIS]
CENÁRIO ATUAL vs
LGPD
 CONSENTIMENTO INFORMAÇÃO
Cenário atual
LCP (pré LC 166/2019) e MCI 1 2.1 ou 2.2
(LCP, 5º, VII) MCI, 7º, VII

FINALIDADE ESPECÍFICA
COMPARTILHAMENTO
6 2
5.1 ou
5.2
EXPRESSO +
Instrumento
LIVRE,
EXPRESSO,
3.1 ou
3.2
Específico INFORMADO
(LCP, 9 º, caput) (MCI, 7º, VII) INFORMADO + EXPRESSO +
Instrumento Cláusulas

CONSENTIMENTO
5 3 Específico
(LCP, 4º, caput)
Destacadas
(MCI, 7º, IX)

CONSENTIMENTO

4
TRATAMENTO
CICLO DE VIDA DOS DADOS
Usos Secundários

LGPD. ART. 19. § 2º Na hipótese em que o consentimento

é requerido, se houver mudanças da finalidade para o tratamento
de dados pessoais não compatíveis com o consentimento original, COLETA
o controlador deverá informar previamente o titular sobre as
mudanças de finalidade, podendo o titular revogar
o consentimento, caso discorde das alterações. DESCARTE
TRATA
MENTO

ARMAZE
NAMENTO COMPARTI
LHAMENTO
ALÉM DO CONSENTIMENTO
“CARDÁPIO” DE BASES LEGAIS
10 HIPÓTESES DE AUTORIZAÇÃO
• Maior flexibilidade
Legítimo Proteção ao
Processo Interesse Crédito
Judicial USOS SECUNDÁRIOS (BIG DATA)
• Setor Privado: Legítimo Interesse
Execução de Proteção Tutela da Obrigação • Setor Público: Políticas Públicas
Contratos à Vida Saúde Legal • Pesquisa sem fins lucrativos

SEGURANÇA JURÍDICA
Pesquisa por Política Consentimento • Validação de:
Órgão Pública  Modelos de negócios
 Gestão pública “datificada”
 PPs: uso compartilhado
LEGÍTIMO INTERESSE
LEGÍTIMO INTERESSE
Nova Base Legal
LEGÍTIMA LEGÍTIMOS
EXPECTATIVA INTERESSES
Art. 10. O legítimo interesse do controlador
somente poderá fundamentar tratamento
de dados pessoais para finalidades legítimas,
consideradas a partir de situações concretas,
que incluem, mas não se limitam a:
I. Apoio e promoção de atividades do controlador; e
II.Proteção, em relação ao titular, do exercício
regular de seus direitos ou prestação de serviços
que o beneficiem, respeitadas as legítimas
expectativas dele e os direitos e liberdades
fundamentais, nos termos desta Lei. Proteção de Comerciais
direitos em garantir
fundamentais novos usos a
um conjunto
de dados
EXEMPLOS

Coleta de Propósitos
Marketing Prevenção Evidências Logística
à Fraude Éticos

Inteligência Oposição a Suporte Fusão e Relações de

Artificial Marketing de TI Aquisição Trabalho

Necessário
executar um teste
Personalização Recursos
de legítimo e Analytics Humanos Background
Profiling Check
interesse
Processar
requisições Segurança Monitoramento
de Empregados Due Diligence
de Direitos de Rede
Básicos
B OUTRAS BASES LEGAIS
ALÉM DO CONSENTIMENTO
“CARDÁPIO” DE BASES LEGAIS

Processo Legítimo Proteção ao

Judicial Interesse Crédito

Execução de Proteção Tutela da Obrigação

Contratos à Vida Saúde Legal

Pesquisa Política Consenti-

por Órgão Pública mento
Dados Públicos
Autonomia PDP vs Privacidade

DADOS PÚBLICOS / ACESSO PÚBLICO

Art. 7º, § 3º O tratamento de dados pessoais cujo acesso é público deve
considerar a finalidade, a boa-fé e o interesse público que justificaram sua
disponibilização.
MANIFESTAMENTE PÚBLICOS
Finalidades Art. 7º, § 4º É dispensada a exigência do consentimento previsto
no caput deste artigo para os dados tornados manifestamente públicos pelo
titular, resguardados os direitos do titular e os princípios previstos nesta Lei.
Sem Propósitos Novas Finalidades (MPV 869/2018)
Dados Públicos Consentimento Legítimos § 7o O tratamento posterior dos dados pessoais a que se referem os §§ 3o e
4o poderá ser realizado para novas finalidades, desde que observados
propósitos legítimos e específicos para o novo tratamento e a preservação dos
direitos do titular, assim como os fundamentos e princípios previstos nesta Lei”
(NR)
Publicamente
acessíveis Princípio da Finalidade
Art. 6º, I realização do tratamento para propósitos legítimos, específicos,
explícitos e informados ao titular, sem possibilidade de tratamento posterior de
forma incompatível com essas finalidades
“MENU” DE BASES LEGAIS PARA
DADOS SENSÍVEIS E CRIANÇAS HIPÓTESES DE AUTORIZAÇÃO PARA
DADOS SENSÍVEIS
• Sistema mais rígido
Proteção à Processo Pesquisa por
Judicial • Consentimento mais rígido
Vida órgão
• Pesquisa sem fins Lucrativos
• Secundários
Consentimento Política Obrigação
• Dados de Saúde: por portabilidade,
Específico Pública Legal
prestação de serviços de saúde, de
assistência farmacêutica e de assistência à
saúde, incluído serviços auxiliares de
Incolumidade Tutela da Fraude diagnose e terapia, transações financeiras
Física Saúde
CRIANÇAS E ADOLESCENTES
• 2 Hipóteses para Dados de Crianças
• Consentimento
• Contatar o Responsável
D DIREITOS DO TITULAR
PLEXO DE DIREITOS DO TITULAR

Retificação Explicação Portabilidade

Revisão de
Acesso Cancelamento decisões
Oposição
automa-
tizadas
PLEXO DE DIREITOS DO TITULAR
Controlador (Art. 18, caput)

Autoridade Nacional (Art.18, § 1º)

A QUEM
Órgãos de Defesa do Consumidor
(Art. 18, § 8º)

Em Juízo (Art. 22, caput)

Individualmente (Art. 18, § 3º)

DIREITOS DO TITULAR
DOS DADOS COMO
(Art. 18, caput, Coletivamente (Art. 22, caput)
da LGPD)

Imediatamente (Art. 18, § 4º)

PRAZO Acesso, em até 15 dias (Art. 18, II)

Prazo razoável, se justificado (Art. 18, § 4º, II)

E AGENTES
(CONTROLADOR E
OPERADOR)
RESPONSABILIDADE OBJETIVA OU SUBJETIVA?

Pessoa ou empresa que realiza o

OPERADOR tratamento de dados pessoais em
Responsável por nome do responsável pelo tratamento
todo e qualquer
incidente e dano
Pessoa ou empresa responsável pelas
decisões relativas ao tratamento de CONTROLADOR
Responsável caso dados pessoais
não esteja em
conformidade com
suas obrigações
Tanto o controlador quanto o operador estão sujeitos aos
termos da LGPD. Como acontece em outras áreas da legislação
brasileira, a responsabilidade solidária pode ser aplicada,
principalmente quando houver relação de consumo.

RESPONSABILIDADE OBJETIVA OU
SUBJETIVA?
F OBRIGAÇÕES
OBRIGAÇÕES

DATA PROTECTION RELATÓRIO DE REGISTRO DAS

OFFICER - DPO IMPACTO - DPIA ATIVIDADES
“ENCARREGADO”

PADRÕES DE PRIVACY BY NOTIFICAÇÃO

SEGURANÇA DA DESIGN OBRIGATÓRIA
INFORMAÇÃO
DATA PROTECTION OFFICER (DPO, “ENCARREGADO”)
Controlador Privado (Art. 41, caput)
QUEM
Controlador Público (Art. 23)
DATA Operador (Art. 5º, VIII )
PROTECTION Ajudar no DPIA
OFFICER Com o controlador e operador
(Art. 5º, VIII, da Coordenar práticas
LGPD) OBRIGAÇÕES educacionais
Comunicação com Titulares e com Autoridade
Obrigações do contrato
Conhecimento jurídico-regulatório

Conhecimento das práticas de tratamento

FORMA
Garantia de autonomia técnica e profissional

Identidade e informações públicas

Pessoa física ou jurídica (interna ou externa)

NORMAS
COMPLEM Responsabilidade
ENTARES
Dispensa
E O BRASIL?
DATA BREACH NOTIFICATION (LGPD)
Controlador (Art. 48, caput)
QUEM
Operador (não mencionado)

INCIDENTE DE
SEGURANÇA Ampla divulgação
(Art. 48, caput, Autoridade Nacional (Art. 48, caput)
da LGPD) A QUEM Medidas para reverter
Titulares dos Dados (Art. 48, caput)

Descrição dos dados (Art. 48, § 1º, I)

Info sobre titulares atingidos (Art. 48, § 1º, II)

COMO § 3º No juízo de
Medidas técnicas adotadas (Art. 48, § 1º, III) gravidade do incidente,
será avaliada eventual
Medidas para reverter prejuízos (Art. 48, § 1º, VI)
comprovação de que
Imediata (Art. 48, § 1º, V)
foram adotadas medidas
técnicas adequadas
PRAZO Razoável (Art. 48, § 1º)

Definido pela ANPD (Art. 48, § 1º)

H TRANSFERÊNCIA
INTERNACIONAL
TRANSFERÊNCIA INTERNACIONAL
Normas
Clásulas- corporativas
Nível padrão globais (bcr)
adequado contratuais

Execução
Cláusulas de contrato
contratuais
específicas

Cumpri-
Mento de
Consenti- obrigação
mento legal
expresso e
informado
Selos e Cumpri-
mecanis- mento de
Códigos mos de ordem
de ceritficação judicial
conduta
I LGPD VS GDPR:
DIFERENÇAS
 GDPR LGPD
REGISTRO DE ATIVIDADES Não obrigatório para empresas com menos
DE PROCESSAMENTO de 250 funcionários Obrigatório para todas as empresas;

MULTAS Até 4% do faturamento global do grupo 2% do faturamento no brasil, até R$ 50 milhões;

REQUISIÇÃO DE DIREITOS Em até 30 dias, gratuidade é opcional Em tempo razoável, sempre gratuito

NOTIFICAÇÃO
OBRIGATÓRIA 72hrs. Tempo razoável (a ser definido pela ANPD)

ANPD Definida Em discussão

DPO Pessoa natural ou jurídica que atenda a Pessoa natural ou jurídica, controladores e
determinado requisitos operadores, ANPD pode ter hipóteses de dispensa

LEGÍTIMO INTERESSE Possivelmente mais restrito Possivelmente mais flexível

DADOS ANONIMIZADOS Dados anonimizados não são considerados Dados anonimizados podem ser considerados
pessoais em profiling pessoais em profiling
PERFIS Necessário ter um impacto no titular dos Sempre se considera que tem um impacto no titular
COMPORTAMENTAIS dados dos dados
TRANSFERÊNCIAS Possível com base no legítimo interesse,
INTERNACIONAIS caso não seja frequente. Sem legítimo interesse, consentimento específico.

Tratados quando necessários para saúde

DADOS DE SAÚDE Abordagem mais flexível, consentimento suplementar, serviços de saúde, farmacologia ou
portabilidade
 AUTORIDADE NACIONAL
F DE PROTEÇÃO DE DADOS
(ANPD)
15 min
AUTORIDADE NACIONAL DE PROT. DE DADOS
O que está em jogo?

• Lei “neutra”
Financeira
• Regulação a posteriori
• LGPD: calibragem pela ANPD

• Lição Histórica
• Convenção 108+
Independência
• União Europeia
• Chile e Argentina
Funcional Técnica
 / investigações

A Comissão de Proteção dos Dados Pessoais do

Ministério Público do Distrito Federal e
Territórios (MPDFT) é a primeira iniciativa
nacional dedicada exclusivamente à proteção
dos dados pessoais e da privacidade dos
brasileiros.

http://www.mpdft.mp.br/portal/index.php/conhecampdft-menu/nucleos-e-grupos/comissao-de-
protecao-dos-dados-pessoais/comunicacao-de-incidente-de-seguranca?view=form
/ investigações
 OLHANDO
3 PARA O FUTURO
J O QUE FAZER
PARA SE
ADAPTAR?
COMO SE PREPARAR - EMPRESAS
TECNOLOGIA DA INFORMAÇÃO
• Security by design and by default
DIRETORIAS • Resposta à incidentes da segurança da
• Aspectos Societários informação
• Nomear um DPO
RECURSOS HUMANOS
• Proteção dos dados dos funcionários
GERÊNCIA • Expectativa de privacidade
• Implementação da política de segurança
da informação no cotidiano
• Política de Proteção de Dados MARKETING
• Tratamento de dados para direcionamento
JURÍDICO / COMPLIANCE de publicidade
• Fiscalização • Perfilamento
• Revisão dos contratos e termos • Aquisição de base de dados
• DPIA e Action Plan
• DDR PRODUTOS / SERVIÇOS / APLICATIVOS
• Privacy by Design
COMO SE PREPARAR - ADVOGADOS
K O QUE DEVE
ACONTECER?
O QUE DEVE ACONTECER?
CULTURA DE PROTEÇÃO DE PDP
• Profissionais

4° • ONGs
• Programas de
Conscientização

REPUTACIONAL
3° • Vantagem Competitiva
• Portabilidade

BOAS PRÁTICAS SETORIAIS

2° • Códigos de Boas Condutas
• Anonimização
• PbD

1°
PRIMEIRAS FISCALIZAÇÕES
• Multas
• Auditorias
A HISTÓRIA (RETÓRICA) SE REPETE ?

REGULAÇÃO:
externalidades negativas versus
externalidades positivas
BIBLIOGRAFIA

https://www.grupogen.com.br/juridica/protec-o-de-dados-pessoais-a-func-o-e-os-limites-do-
consentimento
CURSO
PRIVACIDADE
PROTEÇÃO DE DADOS
TEORIA E PRÁTICA
www.facebook.com/DataPrivacy.br/
 OBRIGADO!
dataprivacy.com.br dataprivacy.com.br

Bruno Ricardo Bioni Renato Leite Monteiro

@brunobioni @RenatoLeiteM

bruno@dataprivacy.com.br renato@dataprivacy.com.br

DataPrivacy.br DataPrivacy.br