Material de Dados 360º Outubro

Governo paulista vende serviço com dado sigiloso do RG de 30 milhões ... https://www1.folha.uol.com.br/cotidiano/2018/06/governo-paulista-vend...
1 of 8 16/02/2019 16:22
2 of 8 16/02/2019 16:22
3 of 8 16/02/2019 16:22
4 of 8 16/02/2019 16:22
5 of 8 16/02/2019 16:22
6 of 8 16/02/2019 16:22
7 of 8 16/02/2019 16:22
8 of 8 16/02/2019 16:22
05/06/2019
Role- Play
Agentes de tratamento:
Autoridade Nacional e DPO Role-play é uma técnica de ensino-
aprendizagem no qual os alunos simulam
(encarregado)
uma situação potencialmente existente
no mundo real.
No role-play no ensino jurídico, os alunos são

divididos em grupos e passam a defender
Proteção de Dados 360º diferentes teses e argumentos.
Caso a ser simulado: Materiais de leitura

Necessários ao role-play
Sistema de Biometria do Estado de São
Paulo
Anúncio
Criação do Sistema de Biometria e autenticação de dados
“Serviço de consulta biométrica por órgãos de proteção ao comércio
credenciados junto a IMESP – Imprensa Oficial do Estado de São Paulo. Esse
serviço permitirá ao comércio confirmar no ato da compra de um bem ou
serviço a identidade do comprador, evitando fraudes e prejuízos, e será Questões técnicas
Carta da Secretaria do Governo diante dos questionamentos do Idec
remunerado ao IMESP por consulta realizada. A cobrança será de acordo
com o número de consultas. Quanto mais consultas, menor o valor unitário,
variando de R$ 0,03 a R$ 0,43 por consulta. Esse serviço estimulará a
redução dos custos operacionais nas empresas e consequentemente dos Repercussão
preços pagos pelas pessoas”. Investigação da Folha de São Paulo sobre o sistema de autenticação
1
05/06/2019
Cenário do Role-Play
Nesse caso simulado, a denúncia do Idec à Autoridade Nacional de Proteção de
Dados Pessoais envolve a violação de diversos dispositivos da Lei Geral de Proteção
de Dados Pessoais.
Para a realização da simulação, os alunos deverão considerar os seguintes fatores:

• A Lei de Dados Pessoais (Lei 13.709/2018) está em vigência;
• Os argumentos de legalidade e ilegalidade baseiam-se na Lei de Dados Pessoais,
em especial os artigos sobre princípios para tratamento de dados (art. 6º),
requisitos para tratamento (art. 7º) e os artigos sobre tratamento de dados
pessoais pelo poder público (art. 23 a 30);
• O processo administrativo pela Autoridade Nacional de Proteção de Dados
Pessoais está em andamento e foi designada audiência pública, por iniciativa do
Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (art. 58-B, Lei
13.709/2018);
Divisão dos grupos interessados Audiência Pública – Regras de Atuação

(Não inclui Grupo 5 – Autoridade Nacional de Dados Pessoais)
Idec MP/SP Está designada audiência de instrução no processo administrativo da Autoridade Nacional de
Proteção de Dados Pessoais em face do Governo do Estado de São Paulo.
Autora da petição e denúncia Parte interessada no processo
1 2
que originou o processo administrativo, em razão do
potencial de lesão a direitos Os grupos possuem funções específicas. É papel dos alunos, nesta atividade, atuar de acordo com
administrativo. Interessada em
coletivos e em razão de acusação as funções designadas no role-play.
criar primeiro precedente de
limitação de políticas de envolver governo do Estado de São
biometria em ofensa à LGPD Paulo Os grupos 1 a 4 terão que realizar uma sustentação oral de 5 minutos, articulando os argumentos
em torno da proteção de dados pessoais em sentido de “ataque” e “defesa”. Os grupos 1 (Idec) e 2
(Ministério Público) deverão mobilizar argumentos pela violação de direitos assegurados na
Lei de Proteção de Dados Pessoais (Lei 13.709/2018). Os grupos 3 (Governo de São Paulo) e 4
Governo SP Fingerprint S. (Fingerprints Solutions) deverão mobilizar argumentos para afastar, preventivamente, as
3
Interessada no teses de violação de direitos assegurados na LGPD.
4
Parte interessada por desenvolver
desenvolvimento do Sistema soluções técnicas que podem ser
de Biometria para geração de utilizadas no sistema de Não é necessário que os grupos 3 e 4 façam “defesas” às teses apresentadas pelo grupo 1 e 2. A
caixa para o Executivo em autenticação a ser ofertado pelo ideia é que as sustentações sejam feitas em audiência pública, sem necessariamente haver
nível estadual IMESP, órgão executor da política de contraditório como em um processo judicial (tese e antítese).
autenticação de dados biométricos
7 8
2
05/06/2019
Autoridade Nacional de Proteção de

Avaliação do Role-Play Dados
Os grupos terão 15 minutos para elaboração de seus argumentos para sustentação oral na
audiência pública.
Posteriormente, o professor simulará o início da audiência pública, chamando as apresentações na Os conselheiros da ANPD avaliarão a qualidade dos argumentos
seguinte ordem: apresentados na audiência pública, observando, em especial:
- Grupo 1 (Idec)
• Se há adequação entre os fatos e os contornos jurídicos apresentados;
- Grupo 3 (Governo)
• Se há diversificação de argumentos jurídicos no debate sobre
- Grupo 2 (MP/SP) legalidade/ilegalidade do Sistema de Biometria de São Paulo
- Grupo 4 (Fingerprint Solutions)
• Se há originalidade na forma de apresentar os argumentos, em
Serão avaliados os seguintes elementos dos alunos: comparação com grupos com interesses semelhantes
• Capacidade de colaboração para identificação de argumentos jurídicos (análise da preparação
dos grupos) • Se há civilidade e sofisticação na defesa dos interesses (sem
desqualificação de opositores e utilização de argumentos ad
• Utilização adequada dos fatos com a argumentação jurídica em torno da Lei Geral de Proteção
de Dados Pessoais
hominem)
• Solidez das teses construídas, em especial a clara identificação da violação (ou não violação) da
LGPD
Divisão dos Grupos

**Grupo 5 – Autoridade**
GRUPO 1 - IDEC
Art. 26. O uso compartilhado de dados pessoais

pelo Poder Público deve atender a finalidades
específicas de execução de políticas públicas e
atribuição legal pelos órgãos e pelas entidades
GRUPO 2 – MP/SP
públicas, respeitados os princípios de proteção de
dados pessoais elencados no art. 6º desta Lei.
GRUPO 3 - GOVERNO
GRUPO 4 - FINGERPRINT
3
05/06/2019
www.opiceblum.com.br
4
Poder
Executivo
seção I
Estado de São Paulo Geraldo Alckmin - Governador

Palácio dos Bandeirantes • Av. Morumbi 4.500 • Morumbi • São Paulo • CEP 05650-000 • Tel. 2193-8000
Volume 128 • Número 54 • São Paulo, sexta-feira, 23 de março de 2018 www.imprensaoﬁcial.com.br
Novo Sistema Biométrico facilita

a identificação de cidadãos
O
Governo paulista criou o Sistema
FOTOS: PAULO CESAR DA SILVA
Estadual de Coleta e Identificação

Biométrica Eletrônica – Sistema
Como funciona
Biométrico, destinado à identifica- a consulta
ção pessoal de usuários de serviços
públicos. A medida deverá reduzir A empresa que contrata o serviço
custos na prestação de diversos ser- de certificação on-line de identidade
viços públicos e privados, entre os registra inicialmente os dados biográ-
quais emissão de documentos e veri- ficos da pessoa a ser consultada e faz
ficação de identidade dos cidadãos. a coleta eletrônica de sua impressão
digital. Essas informações serão com-
Utilização de base de paradas às existentes na base de dados
da Imprensa Oficial do Estado (Imesp),
dados deverá reduzir que é constituída pelos dados biográfi-
custos na prestação cos e as impressões digitais oficiais das
pessoas físicas registradas civilmente no
de serviços públicos e Estado. A empresa usuária do serviço
privados não tem acesso a essa base de dados.
Eduardo Yoshio Yokoyama, diretor da Imesp Em seguida, a empresa enca-
O sistema utiliza o Banco de minha as informações que cole-
Dados Biométricos Estadual, que cialmente de certificação on-line de identi- o cliente, pode- tou à Imesp, para consulta sobre
permitirá estender, gradativamen- dade, é simples (leia no boxe). As empresas rá reduzir as a identidade do indivíduo.
te, a identificação pessoal biométri- interessadas em consultar os dados biomé- taxas de juros Realizada a comparação entre
ca, ou seja, da impressão digital do tricos (com coleta eletrônica de impressão de crediário. O os dados, o resultado é enviado
indivíduo, a outros serviços públi- digital) ou dados biográficos (nome, núme- mesmo se aplica à empresa.
cos estaduais além da emissão da ro do RG, nome dos pais etc.) dos cidadãos aos mercados de Há duas possibilidades de res-
carteira de identidade (RG) e da terão de previamente homologar, na Imesp, planos de saúde e de posta: “Confirmado”, caso a impressão
Carteira Nacional de Habilitação seus dispositivos e sistemas. seguros, entre outros”, afirma Yokoyama. digital coletada corresponda à existente
(CNH). Eduardo Yoshio Yokoyama, diretor No âmbito do setor público, a consulta no banco de dados da Imesp; ou “Não é
O Sistema Biométrico foi definido de Gestão de Negócios da Imesp, explica também será útil. O diretor da Imesp dá como possível confirmar”, quando a impres-
pelo Decreto nº 63.299, publicado no que toda a base de dados do Instituto de exemplo o fornecimento de medicamentos de são digital coletada não corresponder
Diário Oficial, Executivo I, de ontem, Identificação Ricardo Gumbleton Daunt alto custo: “É um serviço caro, e a certifica- à existente, ou não existir o nome ou
22, na página 12. A operacionaliza- (IIRGD) – órgão da Polícia Civil encarrega- ção biométrica ajudará a combater eventuais número do RG inseridos, ou ainda se
ção está a cargo da Companhia de do da emissão dos RGs – estará disponível fraudes na concessão do benefício”. não for possível realizar a verificação
Processamento de Dados do Estado para consulta. “Em 22 milhões de RGs, em virtude da qualidade da impressão
de São Paulo (Prodesp). temos todos os dados biométricos digitali- Reúso – Haverá também redução da digital coletada ou da existente na base
Foi instituído também o ser- zados, ou seja, com as impressões digitais burocracia com a adoção do reúso das ima- de dados.
viço de consulta biométrica, por dos cidadãos. Há ainda cerca de 24 milhões gens biométricas armazenadas. A coleta da Na hipótese de o sistema não con-
meio do qual empresas ou órgãos de RGs, com os dados biográficos, que biometria será feita pelo IIRGD somente firmar os dados, há a possibilidade de
de proteção ao comércio credencia- serão digitalizados para inclusão das digi- uma vez para pessoas maiores de 18 anos uma nova consulta, feita com a inser-
dos na Imprensa Oficial do Estado tais”, diz. Essa digitalização deverá ser feita de idade. ção de nome, número de RG e um ou
(Imesp) poderão confirmar, no ato em um ano e meio. Com o prazo de validade indeterminado mais dados biográficos adicionais do
de compra de um bem ou serviço, Com as decisões do decreto, a identifi- das imagens, o Estado economizará aproxi- indivíduo.
a identidade do comprador, como cação pessoal eletrônica será mais rápida e madamente R$ 78 milhões anuais somente
meio de evitar fraudes. O serviço segura. Não será necessária a apresentação nas emissões de RG e CNH. Para o diretor
será remunerado à Imesp. de cópias de documentos, o que facilitará do IIRGD, Caetano Paulo Filho, “com a
o atendimento em todos os serviços que coleta biométrica, RG e CNH serão confec- O sistema será operacionalizado por
Certificação – O funciona- contarem com essa funcionalidade. Se uma cionados com mais celeridade e segurança, três secretarias estaduais: Governo (por
mento desse serviço, chamado ofi- pessoa for fazer uma compra, por exemplo, o que é um benefício para o cidadão”. meio da Prodesp e da Imesp), Planejamento
e precisar comprovar dados como RG e A existência do Sistema Biométrico e Gestão (Departamento Estadual de
CPF, terá todos os dados conferidos na hora possibilitará também que as pessoas uti- Trânsito – Detran.SP) e Segurança Pública
pelo sistema. lizem totens de autosserviços instalados (IIRGD).
Para as empresas que utilizarem o em postos do Programa Poupatempo,
serviço, a grande vantagem é obter dados shopping centers e supermercados para Cláudio Soares
confiáveis, provenientes da base do IIRGD, obter segundas vias de RG e CNH, CNH Imprensa Oficial – Conteúdo Editorial
e fornecidos pela Imesp, que tem fé pública. definitiva, atestado de antecedentes cri-
A expectativa é que isso leve à redução de minais e agendamento de serviços no
custos, que terão impacto para o cidadão Poupatempo (para esses dois últimos servi- SERVIÇO
em geral. “Como a loja que faz a consulta ços não é necessário cadastro no banco bio- Interessados na certificação on-line de
identidade devem consultar o site
terá menos riscos de não recebimento de métrico). Há atualmente 114 totens espa-
www.imprensaoficial.com.br
Caetano Paulo Filho, diretor do IIRGD prestações, pois saberá com certeza quem é lhados por todo o Estado.
A IMPRENSA OFICIAL DO ESTADO SA garante a autenticidade deste documento

quando visualizado diretamente no portal www.imprensaoficial.com.br
sexta-feira, 23 de março de 2018 às 01:45:16.
2018
2017
2015
2019
_direito
_automação e ciência de dados
_legal design
M ETODOLOGI A DE AP LI C AÇ ÃO DE TÉC NI C AS DE L E G AL DE S I G N
Ciência de Dados e Design no Direito

Esquema e metodologia aplicada para o uso de técnicas de Legal Desgin, de autoria do Prof. Alexandre Zavaglia Coelho
Visual Law
Adequação das formas de entrega da
Legal Design VISUAL LAW informação jurídica conforme o usuário
e/ou destinatário final de cada projeto
Prototipagem, testes e entrega: design de procedimentos
DESIGN DA (linguagem apropriada, uso de resumos e
internos, de novos serviços jurídicos, de organizações e
SOLUÇÃO esquemas, infográficos, imagens, mapas,
departamentos, para o uso e/ou desenvolvimento de
HQ, etc.)
softwares adequados a cada projeto, entre outras
atividades para prevenir e solucionar o problema com ANALYTICS
foco no destinatário/usuário + BI Analytics + BI
Organização, cruzamento e análise de dados
Dados DADOS para a ”radiologia” do Direito, para um
Observação: Levantamento de dados do contencioso exame com evidências e precisão para
e do consultivo interno, de tribunais, de órgãos entender o problema e orientar os próximos
regularadores e demais dados hexónegos passos
(RH, SAC, gerenciais, etc)
@futurelaw @legalscore @visuallawstudio
Obs. O u so de técnicas de d esign d eve acontecer em todas as fases, tendo em vista q ue seus conceitos estão ligados a n ovas formas de s olução e p revenção de p roblemas jurídicos com foco no u suário/destinatário, assim como
das atividades correspondentes. Também podem ser utilizadas metodologias adequadas para facilitar cada uma dessas etapas, como design thinking, agile, u x, scrum, entre outras, q ue não se confundem com Legal Design, u ma
vez que são apenas modelos criados para apoiar o processo de observação, criação, prototipagem e aplicação de s eus conceitos. Na área do D ireito, b oa p arte d a observação acontece pela análise e cruzamento de d ados.
não estruturados: leitura e
organização
automação x IA
Atividades humanas podem ser
descritas em cinco níveis
principais:
data
prediction
judgement
action
outcomes
Ajay Agrawal, Joshua Gans e Avi Goldfarb

Harvard Business Review
1 N | N 1
supervisionada e não
supervisionada
algoritmos e modelagem
Book de variáveis
modelagem e decisões
automatizadas
_
_
_ discriminação por associação
_
_
_
_ injustiça por generalização
_
_
_
_ relevância estatística
_
_
_
_ black box
_
_
_
_
_
_
_ informação incompleta
_
_
_
_ reflete o passado e eterniza o status quo
_
_
_
_ codifica preconceitos e vieses
_
_
_
_ diversidade
_
_
Como preconceitos sociais podem se infiltrar na tecnologia
(...) Pesquisadores da Universidade Carnegie Mellon que examinaram o sistema de

direcionamento de anúncios do Google descobriram recentemente que os usuários
masculinos da internet tinham uma probabilidade seis vezes maior de receber
anúncios para empregos com altos salários do que as mulheres. Os veteranos
militares têm se queixado de que estão sendo automaticamente desqualificados
para empregos civis porque os software de recursos humanos usados pelos
empregadores não reconhecem as habilidades que eles aprendem nas Forças
Armadas. (...)
http://br.wsj.com/articles/SB10850883747855923604704581197290371462776
CASES – Polícia da Califórnia
IA -‐ Computador da polícia da Califórnia prevê crimes
(...) O computador faz, na verdade, é prever a probabilidade dos crimes acontecerem em uma área específica,
além de mostrarem qual a janela de tempo em que os crimes podem ocorrer, analisando dados anteriores de até
8 anos atrás, presentes no histórico da polícia. (...)
https://tecnoblog.net/74374/california-‐crime/
CASES -‐ Tesla
Motorista morre após acidente com carro da Tesla no piloto automático

É o primeiro acidente fatal com o modo autônomo do Tesla Model S em funciona
https://tecnoblog.net/197933/tesla-‐model-‐s-‐piloto-‐automatico-‐acidente-‐morte/mento
profiling
data brokers
aspectos éticos
_
_
_ diversidade
_
_
_ supervisão humana
_
_
_ transparência
_
_
_explicabilidade
_
_
_accountability -‐ liability
_
_
_
sustentabilidade digital
proteção de dados pessoais
Legal + Tech + Design _ seguro
_ legal
ANPD
4 _Relatórios
filme
3 _relacionamento B2B | B2C
DPO
2 _ti (evidências)
1 _ legal _data mapping
_ alexandrezavaglia
The data privacy
automation approach
Map their data

Tie policies to it in real time
Automate remediation
Create an audit trail
looking for software that can create evidence of compliance and remediation efforts
m&a
-‐ Six acquisitions reportedly totaling at least $3 billion since 2014 helped make the database company a big name
in the field of advertising software.
-‐ about $500 million of Oracle’s $40 billion in sales last year.
-‐ “What happened over the past couple years is, the nebulous concerns people may have had about what
companies were doing with personal data all of a sudden became very real,” says Blair Hanley Frank, an analyst at ISG,
a technology research and advisory firm.
-‐ “The risk to Oracle in all of this is what seemed like a somewhat ignorable
value-‐add business a few years ago could all of a sudden become a big scary bugbear.”
_direito
_automação e ciência de dados
_legal design
chatbot
tax odr
Gestão
jurídica Automação de contratos
LGPD compliance
B.I.
Serviços jurídicos entregues em plataformas

-‐
-‐
-‐
-‐
-‐
-‐
-‐
-‐
-‐
-‐
Alexandre Zavaglia Coelho
alexandre@futurelaw.com.br
-‐
-‐
-‐
Projeto de Adequação à
Lei Geral de Proteção de Dados - LGPD
atuação em
16 PAÍSES
EDP, LÍDER
MUNDIAL
EM ENERGIAS
RENOVÁVEIS
Entre as principais operadoras
europeias do setor de energia (gás
e eletricidade), e maior geradora,
distribuidora e fornecedora de
energia elétrica em Portugal
mais de 11.900
COLABORADORES
mais de 3.100
COLABORADORES
EDP BRASIL,
MAIS DE 20 ANOS ATUANDO
NO SETOR DE ENERGIA NO
BRASIL, EM TODA A CADEIA
DE VALOR
3,5 MILHÕES
Clientes atendidos R$ 12,86 BI
(Distribuição) Faturamento
GERAÇÃO TRANSMISSÃO DISTRIBUIÇÃO EFICIÊNCIA SOLAR COMERCIALIZAÇÃO
6 Estados 5 Estados 2 Estados 6 plantas de vapor 30 MWp vendidos 337 Clientes

2,9 GW cap. instalada 1,3 MIL Km LT 24,7 TWh distribuídos 46,5 mil tCO2 10 MWp em operação 17.804 GWh energia
evitadas/ano comercializada
ENERGIA SOLAR
EFICIÊNCIA &
INTELIGÊNCIA
ENERGÉTICA
PARCEIRO
NA SOLUÇÃO COMERCIALIZAÇÃO
DE ENERGIA
Soluções inovadoras e
MOBILIDADE
sustentáveis, que permitirão maior ELÉTRICA
eficiência e competitividade aos
clientes B2B e B2C
Impactos da LGPD em Desafios, oportunidades
nossos negócios e benefícios da
adequação à LGPD
Contextualização do Experiência europeia Definição da Estrutura

cenário de da Equipe
privacidade no Brasil Multidisciplinar
SUBMISSÃO DO PROJETO
INAUGURAL AO BOARD
O que enfatizamos?
Projeto de Adequação à LGPD
Por onde começamos?
Jan/2018 Maio/2018 Ago/2018 Set/2018

Início do Elaboração de
Eficácia da Sancionada a
acompanhamento um Projeto
GDPR LGPD
Legislativo Inaugural
JANEIRO/2019
INÍCIO DA ATUAÇÃO DA EQUIPE NO PROJETO
COMPLIANCE
SEGURANÇA DA
JURÍDICO
INFORMAÇÃO
REGULATÓRIO RH
1ª Etapa - Abordagem adotada
Para atender os objetivos de adequação da EDP, foram
definidas 6 fases para o Projeto
Oferecemos o modelo de
Fase Fase Fase negócio
Fase ideal para suas
Fase Fase
necessidades
Mobilização e Mapeamento de GAP Analysis com Políticas, Cláusulas e Desenho do Diagnóstico e

Planejamento Dados e Riscos LGPD Governança Roadmap Conclusões
Planejamento Inventário de dados Análise dos riscos Elaboração de cláusulas Enquadramento nas Diagnóstico final
contratuais padrão bases legais
Definição de Cronograma Reuniões indivduais com Identificação dos gaps (Controlador x Operador) Próximos passos para
as Áreas para adequação Definição da estratégia fase de implementação
Kick-off Criação de norma e política e programa para
Revisão dos dados de privacidade conformidade com a
Mobilização da equipe inventariados LGPD
Estudo para definição de
Workshops Levantamento dos riscos modelo de governança
Desvendando o
Data Mapping
A partir de LINK encaminhado, foram levantados os
PROCESSOS DE TRATAMENTO DE DADOS PESSOAIS
Etapa A – Identificação do Processo
Etapa B – Inventário de Dados Pessoais

Exemplo
De frente com o Diagnóstico
Privacy champions e treinamentos

100 Privacy Champions definidos e
envolvidos durante o projeto
Workshops de Privacidade Riscos identificados

100 Colaboradores participaram do workshop Aproximadamente 100
riscos identificados em operações
de tratamento
PROJETO EM
Fases do projeto e prazos
• Diagnóstico de Segurança Cibernética NÚMEROS
• Inventário de dados pessoais (Data
Mapping) e Data Discovery
• Identificação de riscos e ameaças
• Roadmap e plano de ação
• Duração : 20 semanas
Entrevistas realizadas e escopo

100 entrevistas
(Negócio, TI e Segurança da
Informação)
RUMO À 2ª ETAPA
Elaboração da RFP para a 2ª Etapa em 12 fases

FASE 1 - Organização e operacionalização da estrutura de privacidade/proteção de dados
adequada à política de privacidade do Grupo EDP Brasil.
FASE 2 - Implementação do processo de incidentes de privacidade adequado à política de

privacidade a ser implantada no Grupo EDP Brasil.
FASE 3 - Revisão e implementação de políticas e processos para proteção dos dados
FASE 4 - Definição e aplicação dos requisitos de negócio para minimização e anonimização dos
dados.
FASE 5 - Processo de Gestão de Petições de Titulares & Opt-In.
FASE 6 - Definição e Implantação do DPIA global e do Privacy by Design global.

Continuação
FASE 7 - Definição e implantação de processo de proteção de dados em prestadores de serviço.
FASE 8 – Elaboração do Processo de Governança de Dados.
FASE 9 - Suporte na definição das regras para monitoramento de dados pessoais via DLP (“Data
Loss Prevention”).
FASE 10 - Assessoria jurídica para a revisão dos dados pessoais sob o aspecto de “necessidade” e
adequações jurídicas para transferência internacional.
FASE 11 - Definição da metodologia LIA, execução dos testes de proporcionalidade, elaboração dos
LIA´s e elaboração/revisão dos termo de consentimento.
FASE 12 - Acompanhamento das ações/prazos para conformidade dos processos de proteção de

dados (PMO).
Muito Obrigada !
Cynthia Fernandes Ana Rita Bibá

cynthia.fernandes@edpbr.com.br ana.almeida@edpbr.com.br
Tel.: (11) 99615 9859 Tel.: (11) 98111-7118
INTELIGÊNCIA ARTIFICIAL E REGULAÇÃO
2
3
50 - Can machines think? (Alan Turing)

4
AI Winter
5
Lei de Moore: Exponencialidade
6
Digitalização
O momento da foto já foi especial
7
Selfie para checar o look..
8
LEI DE KRYDER
o Enquanto em 1981, um dispositivo de um gigabyte de

armazenamento custava US$ 300.000,00, em 2015, o valor já
era de US$ 0,03. E essa explosão da disponibilidade de dados, a
representação fidedigna do passado que, de alguma forma, foi
digitalizado, permitiu a criação de uma nova cultura na economia
e na sociedade.
10
SOBRE DADOS:
• Das 3,5 trilhões de fotos tiradas

em Paris desde 1838, 10% foram
tiradas em 2010.
• (Jonathan Good In How many
photos have ever been taken?,
2011)
• Para se ter uma ideia do arsenal

de informação das grandes
empresas, já em 2009, varejistas
com mais de mil funcionários
detinham 200 terabytes de dados
sobre seus consumidores.
11
12
.
.
16
Algoritmos e tomadas de decisões
Garbage in, garbage out
Perigos da utilização de algoritmos
DIRETIVA 95
29
• Súmula STJ nº 550: A utilização de
escore de crédito, método estatístico
de avaliação de risco que não
constitui banco de dados, dispensa o
consentimento do consumidor, que
terá o direito de solicitar
esclarecimentos sobre as informações
pessoais valoradas e as fontes dos
dados considerados no respectivo
cálculo."
NY: Abertura do Código Fonte?
33
Art. 22 O titular dos dados tem o direito de não ficar
sujeito a nenhuma decisão tomada exclusivamente
com base no tratamento automatizado, incluindo a
definição de perfis, que produza efeitos na sua
esfera jurídica ou que o afete significativamente de
forma similar.
Art. 20. O titular dos dados tem direito a solicitar a

revisão de decisões tomadas unicamente com
base em tratamento automatizado de dados
pessoais que afetem seus interesses, incluídas as
decisões destinadas a definir o seu perfil pessoal,
profissional, de consumo e de crédito ou os
aspectos de sua personalidade.
ARTIGO 20 LGPD
Direito à Revisão de Decisões Automatizadas
✓ Art. 20. Art. 20. O titular dos dados tem direito a solicitar a
revisão de decisões tomadas unicamente com base em
tratamento automatizado de dados pessoais que afetem seus
interesses, incluídas as decisões destinadas a definir o seu
perfil pessoal, profissional, de consumo e de crédito ou os
aspectos de sua personalidade.
36
ARTIGO 20 LGPD
PONTOS RELEVANTES
✓ A GDPR, no seu artigo 22 (1), permite que o usuário se recuse a ser

submetido a decisões exclusivamente automatizadas, desde que
elas produzam efeitos na sua esfera jurídica ou que o afetem
significativamente de forma similar.
✓ O artigo 22º, (2), do GDPR, determina que o titular pode pedir a

revisão da decisão por um humano a fim de que ele esboce sua
opinião acerca da decisão.
✓ “Direito a uma intervenção humana" e a opinião divergente entre

os especialistas.
✓ A Lei nº 13.853, de 2019 excluiu o trecho “por pessoal natural” da

redação do art. 20 - fragilização do dispositivo.
37
ARTIGO 20 LGPD
Direito à Explicação de Decisões

Automatizadas
ARTIGO 20, LGPD
§ 1º O controlador deverá fornecer, sempre que solicitadas,

informações claras e adequadas a respeito dos critérios e dos
procedimentos utilizados para a decisão automatizada,
observados os segredos comercial e industrial.
§ 2º Em caso de não oferecimento de informações de que trata o §

1º deste artigo baseado na observância de segredo comercial e
industrial, a autoridade nacional poderá realizar auditoria para
verificação de aspectos discriminatórios em tratamento
automatizado de dados pessoais.
38
ARTIGO 20 LGPD
✓ No direito à explicação de decisões

automatizadas, o que se requer é
entender as razões ou a justificativa que
levaram àquele desfecho. Como por
exemplo: (i) quais são principais fatores
que levaram à decisão? (ii) Alterar algum
dos fatores determinantes mudaria a
decisão? (iii) Por que casos semelhantes
tiveram decisões diferentes e vice-versa?
✓ A primeira aparição do direito à

explicação propriamente dito, encontra-
se na polêmica Lei do Cadastro
Positivo. Porém, a LGPD, trata esse
assunto de forma mais abrangente.
39
ARTIGO 20 LGPD
✓ A verdadeira previsão de um direito à explicação – inspirada na

GDPR, encontra-se no parágrafo § 1º do artigo 20.
"o controlador deverá fornecer, sempre que solicitadas,

informações claras e adequadas a respeito dos critérios e
dos procedimentos utilizados para a decisão automatizada,
observados os segredos comercial e industrial."
✓ Difícil definir, já que existe uma incerteza em ambas as legislações,

o que deve ser explicado ao titular dos dados após o exercício do
direito à explicação. A LGPD preconiza que deverão ser concedidas
“informações claras e adequadas” relativamente ao procedimento
adotado.
40
✓ A França tornou ilegal a publicação de
informações estatísticas sobre as decisões dos
juízes.
"Os dados de identidade dos magistrados e membros do

Registro não podem ser reutilizados com a finalidade ou
efeito de avaliar, analisar, comparar ou prever suas
práticas profissionais reais ou alegadas. A violação desta
proibição é punida com as penalidades previstas nos
artigos 226-18,226-24 e 226-31 do Código Penal, sem
prejuízo das medidas e sanções previstas pela Lei nº 78-
17, de 6 de janeiro de 1978, relativa ao tratamento de
dados, arquivos e liberdades.
43
44
Vamos sugerir bandeiras vermelhas?
45
CASOS
46
CASO TESTEMUNHAS DE JEOVÁ
• O Tribunal Europeu, em junho de 2018, decidiu demanda oriunda da Finlândia na

qual estabeleceu o entendimento de que Testemunhas de Jeová devem também
se adequar à GDPR.
• “Numa comunidade religiosa, como as Testemunhas de Jeová, há uma controladora,

juntamente com os seus membros que participam na pregação, que procede ao
tratamento de dados pessoais recolhidos por estes últimos num contexto de
pregação porta a porta”, explicou a instância.
47
CASOS
Information Commissioner's
Office vs. Honda e Flybe
Tentativa de cumprimento do
GDPR e violação do Privacy
and Electronic Communications
Regulation!
MULTAS & A 95/46/EC
➢ Uma câmera de segurança de uma casa de apostas em Estíria, na

Áustria, gravava grande parte da rua.
➢ No entanto, o monitoramento de áreas públicas em larga escala é

proibido pelo GDPR, o que ocasionou uma multa de €4.800 ao
dono do estabelecimento (Outubro/2018).
49
MULTAS & GDPR
➢ A Comissão Nacional de Proteção de Dados, constatou que o Hospital

Barreiro Montijo violou três parâmetros do GDPR: (i) violação ao princípio de
minimização, ao permitir acesso indiscriminado a um número excessivo de
usuários e aos princípios básicos de processamento. Para esses, a multa foi
de R$ 150.000,00 euros; (ii) violação da integridade e da confidencialidade
em resultado da não aplicação de medidas técnicas e organizacionais para
impedir o acesso ilícito a dados pessoais. A multa também foi de R$
150.000,00 euros e (iii) a incapacidade do réu para garantir a continuação da
confidencialidade, integridade, disponibilidade e resiliência dos sistemas e
serviços de tratamento. A multa foi de R$ 100.000,00 euros.
50
Na Colômbia...
• Pela Resolução 9800 de 2019 •A SIC concluiu que a RAPPI:

da Superintendência de
Indústria e Comércio da •Não respeitou o direito da pessoa de
Colômbia impôs uma multa de suprimir seus dados quando eles são
para RAPPI. A decisão anterior usados pela RAPPI para fins
foi tomada por ocasião de uma publicitários.
queixa do cidadão, na qual ele •Não comprovou a existência da
afirmou que pediu à RAPPI para autorização para coletar e utilizar os
parar de usar suas dados.
informações e que não •Não respondeu de forma adequada,
enviaria e-mails ou visto que demorou 4 meses e 25 dias
mensagens de dados para fins a fazê-lo, quando o prazo máximo é de
comerciais ou de marketing, 15 dias.
mas disse que a empresa não .
respondeu adequadamente às
solicitações.
51
Ministério Público is coming!
Portaria nº 716/2018
Investigação sobre o possível
uso e tratamento ilegal dos
dados pessoais dos clientes
Vivo para fins de publicidade
por meio do serviço Vivo Ads.
PEDIDO DE FORNECIMENTO DE DPIA
Ministério Público do DFT requisita relatório de impacto à

proteção de dados pessoais no Vivo Ads
• O Ministério Público do Distrito Federal e Territórios (MPDFT) enviou ofício

à Vivo requisitando que a operadora elabore um relatório de impacto à
proteção de dados pessoais referente ao serviço de publicidade móvel Vivo
Ads.
• A produção do relatório em questão está prevista na Lei Geral de Proteção

de Dados, que entrará em vigor no ano que vem, e poderá ser solicitado às
empresas pela Autoridade Nacional de Proteção de Dados (ANPD). A ideia
é inspirada no Data Protection Impact Assessment (DPIA), previsto na
lei europeia, GDPR, e na LGPD.
53
▪ O MPDFT por sua Unidade de Proteção de Dados e Inteligência Artificial –
ESPEC ajuizou AÇÃO CIVIL PÚBLICA com pedido de tutela de urgência em
desfavor de TELEFONICA BRASIL S/A.
▪ Pretende a condenação da ré à obrigação de não fazer, consistente em deixar de

comercializar o produto Mídia Geolocalizada do serviço ADS, o qual fornece
publicidade usando dados qualificados dos clientes VIVO tais como perfil,
localização, lugares frequentados e comportamento dos consumidores.
54
CASO DECOLAR
Hospedagens mais caras, hotéis lotados, tarifas maiores: tudo

pode ser manipulado de acordo com suas pegadas digitais.
55
CASO DECOLAR
▪ O Ministério Público do Rio de Janeiro (MPRJ) entrou com ação

civil pública contra a empresa Decolar.com.
▪ A acusação é de que a empresa discriminou consumidores com

base na origem de sua conexão na hora da compra e ofereceu
preços mais caros para consumidores brasileiros do que para
os de outros países, como Argentina e Estados Unidos. Os valores
eram até 40% mais caros para brasileiros.
56
CASO DROGARIA ARAUJO
➢ A Drogaria Araújo foi condenada a

pagar uma multa de R$ 7.930.801,72
por condicionar descontos ao
fornecimento do CPF no ato da compra,
sem dar informações adequadas sobre
a abertura de cadastro.
➢ De acordo com a decisão, a prática

viola o direito do consumidor à
informação clara sobre o serviço
ofertado e sobre os riscos à segurança
de dados, principalmente por colher
informações pessoais sem informação
prévia.
57
MULTAS & GDPR
➢ Safeway vs. Twigger:
A rede de supermercados Safeway

foi penalizada com uma multa de
mais de 10 milhões de libras por
violar normas de concorrência. Sob
o argumento de que os
descumprimentos foram causados
pelos seus diretores, a Safeway
buscou ressarcimento com base na
apólice do seguro “D&O” (directors
and officers).
O Tribunal recusou o argumento

com base no princípio da ex turpi
causa non oritur actio.
58
MULTAS & GDPR
➢ Various Claimants v WM Morrisons

Supermarket plc.
Andrew Skelton, analista sênior da área
de Tecnologia da Informação da
Morrisons, teve acesso, durante uma
auditoria, a um banco de dados com uma
grande quantidade de dados pessoais,
disponibilizando-o em um site de
compartilhamento de conteúdo.
Não obstante sua condenação a oito
anos de prisão, os empregados
ajuizaram, conjuntamente, uma ação de
classe (class action) em que o relator na
Corte Superior da Inglaterra entendeu
pela não responsabilização direta da
Morrisons, mas tão somente pela
responsabilização indireta, uma vez que
as ações do empregado estavam
diretamente relacionadas ao seu cargo.
59
MULTAS & GDPR
• Príncipe Harry e Meghan Markle

são indenizados:
• Acordo em ação ajuizada pelo

Principe Harry contra o tabloide
Splash News, cujo fundamento legal
encontrava-se na LGPD e na
GDPR. De acordo com a GDPR, as
imagens tiradas pelo tabloide
consistem em dados pessoais.
60
MULTAS & CASOS NO BRASIL
➢ 08190.044813/18-44:
Investigação a respeito das circunstâncias e as causas do incidente de
segurança que comprometeu os dados pessoais dos clientes da
Netshoes (Ns2.Com Internet S.A.), bem como apuração as
responsabilidades pelos danos causados
61
➢ Portaria nº 02/2018:
Investigar as circunstâncias e as causas do provável uso ilegal
dos dados pessoais de brasileiro pelas empresas Cambridge
Analytica e A Ponte Estratégia Planejamento e Pesquisa Ltda.
62
➢ Trata-se de ação civil pública ajuizada para cessar a coleta

de dados de forma obrigatória dos consumidores por meio
das “Portas Interativas Digitais”, nas estações da ViaQuatro,
tutelando-se o direito por tratamento de dado biométrico sem
consentimento do consumidor e por imposição de obrigações
excessivas ao consumidor do serviço de transporte público.
63
• Divulgação não autorizada de dados: TJRS distingue dados pessoais

sensíveis de não sensíveis para avaliar pedido de indenização por
dano moral.
• A 9ª Câmara Cível do Tribunal de Justiça do Estado do Rio Grande do

Sul (TJRS) decidiu, nos autos da apelação cível de nº 0296615-
34.2018.8.21.7000, que a divulgação de dados não sensíveis não gera
dever de indenizar.
64
CURIOSIDADES
Divulgação não autorizada de dados: TJRS distingue dados

pessoais sensíveis de não sensíveis para avaliar pedido de
indenização por dano moral
• A decisão ratifica a ideia de que a LGPD não cria um novo direito, mas,
sim, regula um novo mercado. Os bens jurídicos ligados à honra, dignidade
e privacidade já são tutelados pelo ordenamento jurídico brasileiro, e o que
a LGPD fará, quando encerrada a vacatio legis, é estabelecer diretrizes
mais claras sobre os conceitos legais das operações que envolvem o
tratamento de dados, os limites de atuação dos players e as sanções
administrativas de descumprimento da norma.
65
• Durante as últimas semanas, o
aplicativo FaceApp voltou a fazer
sucesso nas redes sociais com o filtro
de envelhecimento. No entanto, a
empresa desenvolvedora foi alvo de
acusações envolvendo suposto roubo
de dados e violações
de privacidade dos usuários.
• Embora não houvessem provas das

acusações, o que se sabe é que a
Política de Privacidade do aplicativo é
muito genérica e formulada sem o
devido cuidado. Procon-SP multou
Apple e Google em valores milionários.
• A OLX deve apresentar à Justiça na Paraíba, em um prazo de 10
dias, mecanismos de compliance, para cumprir a legislação, e de
checagem da autenticidade da identidade do usuário. A decisão em
caráter liminar faz parte de um processo no 6º Juizado Especial Cível
de João Pessoa, do Tribunal de Justiça da Paraíba, publicada nesta
segunda-feira (15).
68
69
Imposição de multa no valor de 400.000,00 euros por violação do
princípio da adequação e do direito à exclusão
• O DPA helênico, em outubro de 2019,

recebeu reclamações de assinantes de
telefone contra Organização Helênica de
Telecomunicações (“OTE”), que, embora
registrados para não receberem chamadas
da OTE (de acordo com o artigo 11 do
GDPR), receberam ligações não solicitadas
de empresas para a promoção de produtos
e serviços.
70
DPA finlandesa ordena que empresa modifique a avaliação
automatizada da capacidade creditícia e melhore as
divulgações
• A Autoridade Finlandesa de Proteção

de Dados ordenou que uma empresa
de crédito modifique suas práticas
automatizadas de decisão para avaliar
a credibilidade de seus clientes.
• A autoridade considerou que o credit

score da empresa é um procedimento
automático de tomada de decisão nos
termos do artigo 22 do GDPR.
71
72
Daniel Becker
daniel.becker@limafeigelson.com.br
@danielbeckerp
Bruno Feigelson
Bruno.feigelson@limafeigelson.com.br
74
1. DIREITOS DOS TITULARES
DE DADOS PESSOAIS
2. DADOS BIOMÉTRICOS
E PRIVACIDADE
1. Direitos
Lei Geral de
Proteção de Dados
– LGPD
Art. 9º. Requisitos para o tratamento. Acesso facilitado sobre:
▪ Finalidade
▪ Forma e duração
▪ Identificação do controlador
▪ Informações de contato do controlador
▪ Compartilhamento? Qual finalidade?
▪ Responsabilidades dos agentes

Categoria especial
• Regras mais rígidas de
processamento
• Métodos específicos de segurança
• Em geral, consentimento específico
Dados e destacado
pessoais
sensíveis São informações capazes de gerar
discriminação, como:
• Informações de saúde
• Vida sexual
• Genéticas ou biométricas
• Posição política
• Posição religiosa
• Posição filosófica
• Origens racial/étnica…
O tratamento
de dados políticas crédito
órgãos
de
públicas
pessoais não é pesquisa
proibido, mas
deve observar
as 10 hipóteses processo consenti execução
de autorização judicial mento de
contrato
previstas na
LGPD:
legítimo obrigação proteção tutela
interesse legal à vida da saúde
Direitos dos
Titulares - Art. 18
Acesso e Informação Se consentido:

• quais, como, duração • eliminação
• correção, atualização • possibilidade de não consentir e
• compartilhamento? finalidade? consequências da negativa
• definição de perfil (profiling) • revogação do consentimento (opt-out)
• portabilidade • cópia eletrônica integral
• anonimização, bloqueio, eliminação
• revisão de decisões automatizadas
Exercício dos Resposta do
direitos: controlador
• Requerimento expresso • adoção imediata, ou
• Peticionamento à ANPD ou (i) não é agente
órgãos (Procon, IDEC, (ii) razões impeditivas
Proteste)
• Formato simplificado imediato,
• Em juízo, coletiva ou ou até 15 dias detalhado
individualmente (critérios, finalidades)
2. Dados Biométricos
• dados sensíveis se utilizados para identificação

• Ex.: fotografia, digitais, íris, traços da face, câmeras
de vigilância...
• Recital (51) GDPR:

“only when processed through a specific technical
means allowing the unique identification or
authentication of a natural person.”
EDPB
Guidelines for Acesso, portabilidade - pode levar à
vídeo devices
identificação de terceiros
Eliminação - como obedecer sem
prejudicar todo o conteúdo
Legítimo interesse: necessidade; LIA

(ponderação de interesses do controlador X
direitos e liberdades do indivíduo); razoável
expectativa;
chega de
letrinhas e juridiquês...
A.I. + Biometria por toda parte...
Até na intimidade...
Localização, mensagens, chamadas,

som ambiente.
Smart TVs:
rastreamento de hábitos e gravação de vozes
http://fanaru.com/the-lying-game/image/101559/a-little-privacy-gif/
E como isso nos afeta?
“A empresa de mobilidade urbana

deverá usar selfies tiradas pelos
profissionais para compará-las com
uma base de dados fornecida pelo
Departamento Nacional de Trânsito
(Denatran).”
“a Uber e a estatal tecnológica

federal Serpro (Serviço Federal de
Processamento de Dados) firmaram
uma parceria com o intuito de
monitorar e checar, em tempo real,
a veracidade das informações de
motoristas, automóveis e
candidatos a motoristas para o
aplicativo de transporte (…)”
“Using the public web photos, the researchers

were able to trick four of the systems with success
rates from 55 percent up to 85 percent.”
Anderstorp's High School's trial
“There were less intrusive ways that their

attendance could have been detected
without involving camera surveillance.”
“The regulator noted that although some

parts of the school could be deemed to be
‘public’, students had a certain
expectation of privacy when they entered
a classroom.”
Gol lança embarque com reconhecimento facial

mai.2019
“A taxa de acerto do Sistema á de 96%”
Inferências de idade, personalidade, saúde, estado

emocional?
Facial Recognition algorithms used by law enforcement
E como isso nos afeta? Score para pedidos de fiança nos EUA
BIAS
According to Kriti Sharma, who wrote an article published in the Harvard

Business Review, one of the biggest problems involving artificial
intelligence systems is that many of them don’t reflect the diversity of
the users they serve. (…)
In relation to people, the author highlights the fact that tech industry remains
very male-centric and culturally homogeneous.
In relation to technology, he states that there is a lack of testing when it

comes to AI products in order to detect potential harm they may cause to
humans (socially, ethically, or emotionally) once they hit the market.
https://guides.library.ttu.edu/reading/1984
BIAS
When the person in the photo is a white man, the software is right 99 percent of the
time.
But the darker the skin, the more errors arise — up to nearly 35 percent for images
of darker skinned women
https://guides.library.ttu.edu/reading/1984
BIAS
https://www.ted.com/talks/joy_buolamwini_how_
i_m_fighting_bias_in_algorithms
A.I. Ethics, Accountability, Transparency
Fórum Econômico Mundial:
1) Inclua humanos em cenários sensíveis (human-in-the-loop – HITL)
2) Inclua proteções para que as máquinas possam se auto-corrigir
3) Crie um código de ética

A.I. Ethics
Fórum Econômico Mundial:
1) Inclua humanos em cenários sensíveis (human-in-the-loop – HITL)
2) Inclua proteções para que as máquinas possam se auto-corrigir
3) Crie um código de ética

A.I. Ethics
A.I. Ethics
Clarissa Luz
• Sócia do Felsberg Advogados.
• Head de Privacy e Tech Law
• University of California, Berkeley - Proteção

de dados, Cibersegurança, Tech Law,
Propriedade Intelectual
• Legal fellow no California Lawyers for the

Arts, EUA
• Berkeley Global Society: Diretora Executiva
• Membro Comissão de Direito e Tecnologia

do IBDEE
A LEI GERAL DE PROTEÇÃO DE
DADOS PESSOAIS
DANILO DONEDA
FUTURE LAW
SETEMBRO 2019
Lei 13.709/2018
DADOS PESSOAIS
Informações referentes a uma pessoa identificada ou

identificável
PROTEÇÃO DE DADOS
PRIVACIDADE
PRIVACIDADE
“L’IMPOSSIBLE DÉFINITION’” “TALISMANIC WORD”

François Rigaux Ken Gormley
“DÉFINITION INTROUVABLE” “THE OBSCURITY OF PRIVACY”

André Vitalis Raymond Wacks
ASSIMETRIA INFORMACIONAL
A TRANSPARÊNCIA DEVE SER DIRETAMENTE PROPORCIONAL AO PODER
A PRIVACIDADE DEVE SER INVERSAMENTE PROPORCIONAL AO PODER

PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
DO SEGREDO AO CONTROLE
Carta dos Direitos Fundamentais
da União Europeia
Artigo 7.0
Respeito pela vida privada e familiar
Todas as pessoas têm direito ao respeito pela sua vida privada e familiar, pelo seu domicílio e
pelas suas comunicações.
Artigo 8.o
Protecçao de dados pessoais
Todas as pessoas têm direito à protecçao dos dados de carácter pessoal que lhes digam
respeito.  
Esses dados devem ser objecto de um tratamento leal, para fins específicos e com o
consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei. Todas
as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a
respectiva rectificaçao.
3. O cumprimento destas regras fica sujeito a fiscalização por parte de uma autoridade
independente.
Constituição Federal
Título II - Dos Direitos e Garantias Fundamentais
Capítulo I - Dos Direitos e Deveres Individuais e Coletivos
Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos
brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade,
à igualdade, à segurança e à propriedade, nos termos seguintes:
...
X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o
direito a indenização pelo dano material ou moral decorrente de sua violação;
XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das

comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma
que a lei estabelecer para fins de investigação criminal ou instrução processual penal;
Estruturas normativas e regulatórias
Proteção de dados pessoais
THE CODE OF FAIR INFORMATION PRACTICES
HEW (HEALTH, EDUCATION, WELFARE) ADVISORY COMMITTEE ON AUTOMATED DATA
SYSTEMS.
(1973)
https://www.justice.gov/opcl/docs/rec-com-rights.pdf
CODE OF FAIR INFORMATION PRACTICES
HEW (HEALTH, EDUCATION, WELFARE) ADVISORY COMMITTEE ON
AUTOMATED DATA SYSTEMS.
(1973)
1. Não devem existir bancos de dados pessoais que sejam secretos

2. Todo cidadão deve poder ter acesso à própria informação pessoal e a saber
com ela é usada
3. A informação pessoal obtida para uma finalidade não poderá ser utilizada para
outra finalidade sem o consentimento do titular
4. Devem existir meios para o titular corrigir ou complementar a sua informação
pessoal
5. Toda entidade que utilize dados pessoais deve garantir a sua qualidade e
segurança
https://www.justice.gov/opcl/docs/rec-com-rights.pdf
LINHAS- GUIA DA OCDE
PRINCÍPIOS BÁSICOS DE PROTEÇÃO DE
DADOS
• Qualidade
•Proteção a categorias
• Base legal
especiais de dados
• Finalidade
•Segurança
• Proporcionalidade
•Transparência
• Qualidade
http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf
CONVENÇÃO 108 DO CONSELHO DA EUROPA
PRINCÍPIOS NACIONAIS DE PROTEÇÃO DE
DADOS
• Limitação da coleta
•Segurança
• Qualidade
•Transparência
• Finalidade
•Acesso (participação
• Limitação do uso individual)
(consentimento e autorização
•Accountability
legal)
https://www.coe.int/en/web/conventions/full-list/-/conventions/rms/0900001680078b37
Europa
• Lei de Hesse (1970)
• Datalagen (1973)
• Convenção 108 do Conselho da Europa (1981)
• Diretiva 95/46/CE
• Carta dos Direitos Fundamentais da União Europeia

(2000)
• Regulamento Geral de Proteção de Dados (2018)

Modelo europeu
• Base legal
• Consentimento
• Livre fluxo de dados
• Autoridade de Garantia
Modelo norte-americano
• Decentralizado
• Tutela a posteriori
• Auto-regulação
• Federal Trade Commission

Brasil
Marco normativo da Sociedade da
Informação
Constituição Federal
Código de Defesa do Consumidor
Lei de históricos de crédito (Lei 12.414/2011)
Lei de acesso à informação (Lei 12.527/2011)
Marco Civil da Internet (Lei 12.965/2014)
Lei Geral de Proteção de Dados (Lei 13/709/2018)

MARCO CIVIL DA INTERNET
LEI 12.965/2014
O Marco Civil da Internet não garante a privacidade e a proteção de

dados de forma abrangente, completa e estruturada.
Nem todas as disposições sobre proteção de dados são de natureza

protetiva
O Marco Civil da Internet não é uma normativa geral sobre proteção de

dados pessoais
CAPÍTULO II 
DOS DIREITOS E GARANTIAS DOS USUÁRIOS
ART. 7O O ACESSO À INTERNET É ESSENCIAL AO EXERCÍCIO DA CIDADANIA, E AO USUÁRIO SÃO ASSEGURADOS OS SEGUINTES
DIREITOS:
I - INVIOLABILIDADE DA INTIMIDADE E DA VIDA PRIVADA, SUA PROTEÇÃO E INDENIZAÇÃO PELO DANO MATERIAL OU MORAL
DECORRENTE DE SUA VIOLAÇÃO;
II - INVIOLABILIDADE E SIGILO DO FLUXO DE SUAS COMUNICAÇÕES PELA INTERNET, SALVO POR ORDEM JUDICIAL, NA FORMA DA
LEI;
III - INVIOLABILIDADE E SIGILO DE SUAS COMUNICAÇÕES PRIVADAS ARMAZENADAS, SALVO POR ORDEM JUDICIAL;
IV - NÃO SUSPENSÃO DA CONEXÃO À INTERNET, SALVO POR DÉBITO DIRETAMENTE DECORRENTE DE SUA UTILIZAÇÃO;
V - MANUTENÇÃO DA QUALIDADE CONTRATADA DA CONEXÃO À INTERNET;
VI - INFORMAÇÕES CLARAS E COMPLETAS CONSTANTES DOS CONTRATOS DE PRESTAÇÃO DE SERVIÇOS, COM DETALHAMENTO
SOBRE O REGIME DE PROTEÇÃO AOS REGISTROS DE CONEXÃO E AOS REGISTROS DE ACESSO A APLICAÇÕES DE INTERNET, BEM
COMO SOBRE PRÁTICAS DE GERENCIAMENTO DA REDE QUE POSSAM AFETAR SUA QUALIDADE;
VII - NÃO FORNECIMENTO A TERCEIROS DE SEUS DADOS PESSOAIS, INCLUSIVE REGISTROS DE CONEXÃO, E DE ACESSO A
APLICAÇÕES DE INTERNET, SALVO MEDIANTE CONSENTIMENTO LIVRE, EXPRESSO E INFORMADO OU NAS HIPÓTESES PREVISTAS EM
LEI;
VIII - INFORMAÇÕES CLARAS E COMPLETAS SOBRE COLETA, USO, ARMAZENAMENTO, TRATAMENTO E PROTEÇÃO DE SEUS DADOS
PESSOAIS, QUE SOMENTE PODERÃO SER UTILIZADOS PARA FINALIDADES QUE:
A) JUSTIFIQUEM SUA COLETA;
B) NÃO SEJAM VEDADAS PELA LEGISLAÇÃO; E
C) ESTEJAM ESPECIFICADAS NOS CONTRATOS DE PRESTAÇÃO DE SERVIÇOS OU EM TERMOS DE USO DE APLICAÇÕES DE INTERNET;
IX - CONSENTIMENTO EXPRESSO SOBRE COLETA, USO, ARMAZENAMENTO E TRATAMENTO DE DADOS PESSOAIS, QUE DEVERÁ
OCORRER DE FORMA DESTACADA DAS DEMAIS CLÁUSULAS CONTRATUAIS;
X - EXCLUSÃO DEFINITIVA DOS DADOS PESSOAIS QUE TIVER FORNECIDO A DETERMINADA APLICAÇÃO DE INTERNET, A SEU
REQUERIMENTO, AO TÉRMINO DA RELAÇÃO ENTRE AS PARTES, RESSALVADAS AS HIPÓTESES DE GUARDA OBRIGATÓRIA DE
REGISTROS PREVISTAS NESTA LEI;
XI - PUBLICIDADE E CLAREZA DE EVENTUAIS POLÍTICAS DE USO DOS PROVEDORES DE CONEXÃO À INTERNET E DE APLICAÇÕES DE
INTERNET;
XII - ACESSIBILIDADE, CONSIDERADAS AS CARACTERÍSTICAS FÍSICO-MOTORAS, PERCEPTIVAS, SENSORIAIS, INTELECTUAIS E
MENTAIS DO USUÁRIO, NOS TERMOS DA LEI; E
XIII - APLICAÇÃO DAS NORMAS DE PROTEÇÃO E DEFESA DO CONSUMIDOR NAS RELAÇÕES DE CONSUMO REALIZADAS NA
INTERNET.
CAPÍTULO II 
DOS DIREITOS E GARANTIAS DOS USUÁRIOS
ART. 7O O ACESSO À INTERNET É ESSENCIAL AO EXERCÍCIO DA CIDADANIA, E AO USUÁRIO SÃO ASSEGURADOS OS SEGUINTES
DIREITOS:
I - INVIOLABILIDADE DA INTIMIDADE E DA VIDA PRIVADA, SUA PROTEÇÃO E INDENIZAÇÃO PELO DANO MATERIAL OU MORAL
DECORRENTE DE SUA VIOLAÇÃO;
II - INVIOLABILIDADE E SIGILO DO FLUXO DE SUAS COMUNICAÇÕES PELA INTERNET, SALVO POR ORDEM JUDICIAL, NA FORMA DA
LEI;
III - INVIOLABILIDADE E SIGILO DE SUAS COMUNICAÇÕES PRIVADAS ARMAZENADAS, SALVO POR ORDEM JUDICIAL;
IV - NÃO SUSPENSÃO DA CONEXÃO À INTERNET, SALVO POR DÉBITO DIRETAMENTE DECORRENTE DE SUA UTILIZAÇÃO;
V - MANUTENÇÃO DA QUALIDADE CONTRATADA DA CONEXÃO À INTERNET;
VI - INFORMAÇÕES CLARAS E COMPLETAS CONSTANTES DOS CONTRATOS DE PRESTAÇÃO DE SERVIÇOS, COM DETALHAMENTO
SOBRE O REGIME DE PROTEÇÃO AOS REGISTROS DE CONEXÃO E AOS REGISTROS DE ACESSO A APLICAÇÕES DE INTERNET, BEM
COMO SOBRE PRÁTICAS DE GERENCIAMENTO DA REDE QUE POSSAM AFETAR SUA QUALIDADE;
VII - NÃO FORNECIMENTO A TERCEIROS DE SEUS DADOS PESSOAIS, INCLUSIVE REGISTROS DE CONEXÃO, E DE ACESSO A
APLICAÇÕES DE INTERNET, SALVO MEDIANTE CONSENTIMENTO LIVRE, EXPRESSO E INFORMADO OU NAS HIPÓTESES PREVISTAS EM
LEI;
VIII - INFORMAÇÕES CLARAS E COMPLETAS SOBRE COLETA, USO, ARMAZENAMENTO, TRATAMENTO E PROTEÇÃO DE SEUS DADOS
PESSOAIS, QUE SOMENTE PODERÃO SER UTILIZADOS PARA FINALIDADES QUE:
C) ESTEJAM ESPECIFICADAS NOS CONTRATOS DE PRESTAÇÃO DE SERVIÇOS OU EM TERMOS DE USO DE APLICAÇÕES DE INTERNET;
IX - CONSENTIMENTO EXPRESSO SOBRE COLETA, USO, ARMAZENAMENTO E TRATAMENTO DE DADOS PESSOAIS, QUE DEVERÁ
OCORRER DE FORMA DESTACADA DAS DEMAIS CLÁUSULAS CONTRATUAIS;
X - EXCLUSÃO DEFINITIVA DOS DADOS PESSOAIS QUE TIVER FORNECIDO A DETERMINADA APLICAÇÃO DE INTERNET, A SEU
REQUERIMENTO, AO TÉRMINO DA RELAÇÃO ENTRE AS PARTES, RESSALVADAS AS HIPÓTESES DE GUARDA OBRIGATÓRIA DE
REGISTROS PREVISTAS NESTA LEI;
XI - PUBLICIDADE E CLAREZA DE EVENTUAIS POLÍTICAS DE USO DOS PROVEDORES DE CONEXÃO À INTERNET E DE APLICAÇÕES DE
INTERNET;
XII - ACESSIBILIDADE, CONSIDERADAS AS CARACTERÍSTICAS FÍSICO-MOTORAS, PERCEPTIVAS, SENSORIAIS, INTELECTUAIS E
MENTAIS DO USUÁRIO, NOS TERMOS DA LEI; E
XIII - APLICAÇÃO DAS NORMAS DE PROTEÇÃO E DEFESA DO CONSUMIDOR NAS RELAÇÕES DE CONSUMO REALIZADAS NA
INTERNET.
ART. 3º A DISCIPLINA DO USO DA INTERNET NO BRASIL TEM OS

SEGUINTES PRINCÍPIOS:
II - PROTEÇÃO DA PRIVACIDADE;
III - PROTEÇÃO DOS DADOS PESSOAIS, NA FORMA DA LEI;

ART. 7º O ACESSO À INTERNET É ESSENCIAL AO EXERCÍCIO DA

CIDADANIA, E AO USUÁRIO SÃO ASSEGURADOS OS SEGUINTES DIREITOS:
I - INVIOLABILIDADE DA INTIMIDADE E DA VIDA PRIVADA, SUA PROTEÇÃO E

INDENIZAÇÃO PELO DANO MATERIAL OU MORAL DECORRENTE DE SUA
VIOLAÇÃO;
II - INVIOLABILIDADE E SIGILO DO FLUXO DE SUAS COMUNICAÇÕES PELA

INTERNET, SALVO POR ORDEM JUDICIAL, NA FORMA DA LEI;
III - INVIOLABILIDADE E SIGILO DE SUAS COMUNICAÇÕES PRIVADAS

ARMAZENADAS, SALVO POR ORDEM JUDICIAL;
VII - NÃO FORNECIMENTO A TERCEIROS DE SEUS DADOS

PESSOAIS, INCLUSIVE REGISTROS DE CONEXÃO, E DE ACESSO
A APLICAÇÕES DE INTERNET, SALVO MEDIANTE
CONSENTIMENTO LIVRE, EXPRESSO E INFORMADO OU NAS
HIPÓTESES PREVISTAS EM LEI;
…
IX - CONSENTIMENTO EXPRESSO SOBRE COLETA, USO,
ARMAZENAMENTO E TRATAMENTO DE DADOS PESSOAIS, QUE
DEVERÁ OCORRER DE FORMA DESTACADA DAS DEMAIS
CLÁUSULAS CONTRATUAIS;
VIII - INFORMAÇÕES CLARAS E COMPLETAS SOBRE COLETA,

USO, ARMAZENAMENTO, TRATAMENTO E PROTEÇÃO DE SEUS
DADOS PESSOAIS, QUE SOMENTE PODERÃO SER UTILIZADOS
PARA FINALIDADES QUE:
C) ESTEJAM ESPECIFICADAS NOS CONTRATOS DE PRESTAÇÃO
DE SERVIÇOS OU EM TERMOS DE USO DE APLICAÇÕES DE
INTERNET;
LGPD
histórico
2005 - resposta a iniciativa argentina de harmonizar a proteção de dados pessoais no

Mercosul
2005-2010 - Debates internos no Ministério da Justiça, Ministério do Desenvolvimento,

Indústria e Comércio Exterior e Ministério da Ciência, Tecnologia e Inovação
2010 - Ministério da Justiça elabora Anteprojeto de lei que é submetido a debate

público
2011-2014 - Avança a legislação setorial sobre proteção de dados pessoais no Brasil
2015 - nova versão do Anteprojeto de lei é submetida a debate público
2016 - Projeto de Lei enviado pelo governo ao Congresso Nacional
2018 - Lei 13.709 é aprovada por unanimidade por ambas as casas do Congresso e
sancionada
Dados pessoais/ sensíveis
dado pessoal: informação relacionada a pessoa natural identificada ou

identificável;
dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção
religiosa, opinião política, filiação a sindicato ou a organização de caráter
religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado
genético ou biométrico, quando vinculado a uma pessoa natural;
Dados anônimos
dado anonimizado: dado relativo a titular que não possa ser identificado,
considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião
de seu tratamento;
anonimização: utilização de meios técnicos razoáveis e disponíveis no momento

do tratamento, por meio dos quais um dado perde a possibilidade de
associação, direta ou indireta, a um indivíduo;
Dados anonimizados
Serão considerados dados pessoais quando
- o processo de anonimização ao qual foram submetidos for revertido

ou quando, com esforços razoáveis, puder ser revertido.
- Se forem utilizados para a formação do perfil comportamental de uma

determinada pessoa natural, ainda que não identificada.
órgão competente poderá dispor sobre padrões e técnicas utilizadas

em processos de anonimização
Tratamento
tratamento: toda operação realizada com dados pessoais, como as que se

referem a coleta, produção, recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração;
Consentimento
consentimento: manifestação livre, informada e inequívoca pela qual o titular

concorda com o tratamento de seus dados pessoais para uma finalidade
determinada;
Agentes de tratamento
titular: pessoa natural a quem se referem os dados pessoais que são objeto de
tratamento;
controlador: pessoa natural ou jurídica, de direito público ou privado, a quem
competem as decisões referentes ao tratamento de dados pessoais;
operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o
tratamento de dados pessoais em nome do controlador;
encarregado: pessoa natural, indicada pelo controlador, que atua como canal
de comunicação entre o controlador e os titulares e a autoridade nacional;
agentes de tratamento: o controlador e o operador;
ESCOPO
Aplicabilidade à internet?
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive

nos meios digitais, por pessoa natural ou por pessoa jurídica de direito
público ou privado, com o objetivo de proteger os direitos
fundamentais de liberdade e de privacidade e o livre desenvolvimento
da personalidade da pessoa natural.
ESCOPO
Não se aplica em:
- tratamentos por pessoa natural para fins exclusivamente pessoais;
- Tratamentos para fins exclusivamente jornalísticos, literários ou

acadêmicos;
ESCOPO
- Não se aplica para tratamentos para fins exclusivos de segurança

pública, defesa nacional, segurança do Estado, ou atividades de
investigação e repressão de infrações penais.
Neste caso o tratamento será regido por legislação específica, que

deverá prever medidas proporcionais e estritamente necessárias ao
atendimento do interesse público, observados o devido processo
legal, os princípios gerais de proteção e os direitos do titular previstos
nesta Lei.
DEFINIÇÕES
Dado pessoal: dado relacionado à pessoa natural identificada ou

identificável
Dado anonimizado: dado relativo a um titular que não possa ser

identificado, considerando a utilização de meios técnicos razoáveis e
disponíveis na ocasião de seu tratamento;
DEFINIÇÕES
Titular: a pessoa natural a quem se referem os dados pessoais que são

objeto de tratamento;
Controlador: a pessoa natural ou jurídica, de direito público ou privado, a

quem competem as decisões referentes ao tratamento de dados pessoais;
Operador: a pessoa natural ou jurídica, de direito público ou privado, que

realiza o tratamento de dados pessoais em nome do controlador;
Encarregado: pessoa natural, indicada pelo controlador, que atua como

canal de comunicação entre o controlador e os titulares e a autoridade
nacional;
CONSENTIMENTO
Livre, Informado, Inequívoco

DADOS ANONIMIZADOS
Serão considerados dados pessoais quando
- o processo de anonimização ao qual foram submetidos for revertido

ou quando, com esforços razoáveis, puder ser revertido.
- Se forem utilizados para a formação do perfil comportamental de

uma determinada pessoa natural, ainda que não identificada.
órgão competente poderá dispor sobre padrões e técnicas utilizadas

em processos de anonimização
PRINCÍPIOS
FINALIDADE
SEGURANÇA
ADEQUAÇÃO
PREVENÇÃO
NECESSIDADE
NÃO DISCRIMINAÇÃO
LIVRE ACESSO
RESPONSABILIZAÇÃO E PRESTAÇÃO
QUALIDADE
DE CONTAS
TRANSPARÊNCIA
Princípio da Finalidade
Lei 12.965/2014 (Marco Civil da Internet)
Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário

são assegurados os seguintes direitos:
(..)
VIII - informações claras e completas sobre coleta, uso, armazenamento,
tratamento e proteção de seus dados pessoais, que somente poderão ser
utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em termos
de uso de aplicações de internet;
Lei 12.414/2011 - Lei do Cadastro Positivo
Art. 5º São direitos do cadastrado:

(..)
VII - ter os seus dados pessoais utilizados somente de acordo com a finalidade
para a qual eles foram coletados.
I - finalidade: realização do tratamento para propósitos legítimos, específicos,

explícitos e informados ao titular, sem possibilidade de tratamento posterior de
forma incompatível com essas finalidades;
• Transparência e legitimidade da finalidade

• Controle de uso secundário
Princípio da Finalidade e Consentimento
Art. 8º O consentimento previsto no inciso I do art. 7o desta Lei deverá ser

fornecido por escrito ou por outro meio que demonstre a manifestação de
vontade do titular.
§ 4º O consentimento deverá referir-se a finalidades determinadas, e as

autorizações genéricas para o tratamento de dados pessoais serão nulas.
Princípio da Finalidade e Dever de
Informação
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o

tratamento de seus dados, que deverão ser disponibilizadas de forma clara,
adequada e ostensiva acerca de, entre outras características previstas em
regulamentação para o atendimento do princípio do livre acesso:
I - finalidade específica do tratamento; 
(…)
 
V - informações acerca do uso compartilhado de dados pelo controlador e a
finalidade;
Princípio da Finalidade e uso secundário
§ 2º Na hipótese em que o consentimento é requerido, se houver mudanças da

finalidade para o tratamento de dados pessoais não compatíveis com o
consentimento original, o controlador deverá informar previamente o titular
sobre as mudanças de finalidade, podendo o titular revogar o consentimento,
caso discorde das alterações.
Princípio da Finalidade e tratamento de
dados pessoais pelo setor público
Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito

público referidas no parágrafo único do art. 1o da Lei no 12.527, de 18 de
novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o
atendimento de sua finalidade pública, na persecução do interesse público, com
o objetivo de executar as competências legais ou cumprir as atribuições legais
do serviço público, desde que:
I - sejam informadas as hipóteses em que, no exercício de suas competências,
realizam o tratamento de dados pessoais, fornecendo informações claras e
atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas
utilizadas para a execução dessas atividades, em veículos de fácil acesso,
preferencialmente em seus sítios eletrônicos;
Princípio da Responsabilização e
Prestação de Contas -
Programa de governança em privacidade
Art. 50. (…)

§ 2o Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6o desta
Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem
como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para
os titulares dos dados, poderá:
I - implementar programa de governança em privacidade que, no mínimo:
a) demonstre o comprometimento do controlador em adotar processos e políticas internas

que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas
à proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle,
independentemente do modo como se realizou sua coleta;
c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à
sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação
sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação
transparente e que assegure mecanismos de participação do titular;
f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos

de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e
h) seja atualizado constantemente com base em informações obtidas a partir de
monitoramento contínuo e avaliações periódicas;
II - demonstrar a efetividade de seu programa de governança em privacidade quando
apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade
responsável por promover o cumprimento de boas práticas ou códigos de conduta, os
quais, de forma independente, promovam o cumprimento desta Lei.
§ 3o As regras de boas práticas e de governança deverão ser publicadas e atualizadas
periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.
LEGITIMAÇÃO PARA O
TRATAMENTO DE DADOS
consentimento livre e inequívoco;

cumprimento de uma obrigação legal ou regulatória pelo responsável;
Realização de estudos por órgão de pesquisa;
pela administração pública exercício de direitos ou deveres;
para a proteção da vida e tutela da saúde;
necessário para a execução de um contrato;
exercício regular de direitos em processo judicial ou administrativo;
se necessário para atender aos interesses legítimos do responsável
Para a proteção do crédito
LEGÍTIMO INTERESSE
Para finalidades legítimas do controlador

Em situações concretas
Teste de proporcionalidade
Sujeito a;
• Minimização
• Transparência
• Relatório de impacto
DIREITOS
CONFIRMAÇÃO
ACESSO
RETIFICAÇÃO
CANCELAMENTO
OPOSIÇÃO
PORTABILIDADE
ANONIMIZAÇÃO
INFORMAÇÃO
REVOGAÇÃO DO CONSENTIMENTO
Defesa de direitos perante agente de
tratamento
Art 18.
§ 3o Os direitos previstos neste artigo serão exercidos mediante requerimento
expresso do titular ou de representante legalmente constituído, a agente de
tratamento.
§ 4o Em caso de impossibilidade de adoção imediata da providência de que
trata o § 3o deste artigo, o controlador enviará ao titular resposta em que poderá:
I - comunicar que não é agente de tratamento dos dados e indicar, sempre que
possível, o agente; ou
II - indicar as razões de fato ou de direito que impedem a adoção imediata da
providência.
§ 5o O requerimento referido no § 3o deste artigo será atendido sem custos para
o titular, nos prazos e nos termos previstos em regulamento.
Informação ao titular sobre o
tratamento / Portabilidade
Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante
requisição do titular:
I - em formato simplificado, imediatamente; ou
II - por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de
registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e
industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.
§ 1o Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de
acesso.
§ 2o As informações e os dados poderão ser fornecidos, a critério do titular: 
I - por meio eletrônico, seguro e idôneo para esse fim; ou 
II - sob forma impressa.
§ 3o Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá
solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e
industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua
utilização subsequente, inclusive em outras operações de tratamento.
§ 4o A autoridade nacional poderá dispor de forma diferenciada acerca dos prazos previstos nos
incisos I e II do caput deste artigo para os setores específicos.
“Direito à explicação”
Art. 20. O titular dos dados tem direito a solicitar revisão, por pessoa
natural, de decisões tomadas unicamente com base em tratamento
automatizado de dados pessoais que afetem seus interesses, inclusive de
decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e
de crédito ou os aspectos de sua personalidade.
§ 1o O controlador deverá fornecer, sempre que solicitadas, informações claras
e adequadas a respeito dos critérios e dos procedimentos utilizados para a
decisão automatizada, observados os segredos comercial e industrial.
§ 2o Em caso de não oferecimento de informações de que trata o § 1o deste
artigo baseado na observância de segredo comercial e industrial, a autoridade
nacional poderá realizar auditoria para verificação de aspectos discriminatórios
em tratamento automatizado de dados pessoais.
SETOR PÚBLICO
Não há tratamento diferenciado, apenas algumas especificações:

- Em diversos casos não é necessário o consentimento;
- A transparência é reforçada;
- regras sobre fluxo de dados entre diferentes sujeitos públicos e/ou
privados.
SEGURANÇA DA INFORMAÇÃO
Devem ser adoradas medidas adequadas

- O órgão competente poderá dispor sobre padrões técnicos e
organizacionais
- Desde a concepção
INCIDENTES DE SEGURANÇA
Devem ser comunicados ao órgão competente

- será verificada a potencial extensão do dano
- medidas preventivas (utilização de criptografia) são levadas em
consideração
- pode haver a determinação de comunicação aos titulares ou pública
TRANSFERÊNCIA INTERNACIONAL
DE DADOS PESSOAIS
É possível com:
- Adequação;
- Consentimento;
- Autorização da Autoridade;
- Acordos Internacionais
- Cláusulas corporativas globais;
- Cláusulas-padrão;
- Cláusulas contratuais para determinada transferência;
- Selos, Certificados e Códigos de Conduta
SANÇÕES
• advertência
• multa simples, de até 2% do faturamento da pessoa jurídica de direito privado,

grupo ou conglomerado no Brasil limitada, no total, a R$ 50.000.000,00 por infração;
• multa diária
• publicização da infração
• proibição parcial ou total do exercício de atividades relacionadas a tratamento de

dados;
• Bloqueio dos dados pessoais;
• Eliminação dos dados pessoais;
• Suspensão parcial ou total do funcionamento do banco de dados
• Suspensão do exercício da atividade de tratamento dos dados pessoais

ENFORCEMENT
ANPD - Agência Nacional de Proteção de Dados
Conselho Nacional de Proteção de Dados Pessoais e da Privacidade

Desafios nos
projetos LGPD
Marcelo Crespo, PhD, CCEP-I

marcelocrespo@pgadvogados.com.br
Muitas
consultorias!
Difícil se destacar
no mercado
O que é e o que não é a LGPD?
Consultorias “tocando o terror”!
ANPD!!! Multas!!!!
Propostas de soluções mágicas
Definição do escopo do Projeto
Não pode ser:
Explique bem ao cliente o que vai entregar
(fuja dos jargões marketeiros)
Admita
mudanças!
Fujam do
consentimento
quando
possível!!!
Don’t talk the talk if you can’t walk the walk
Leia a Lei Geral de Proteção de Dados
LGPD – Art. 50 – Compliance Digital
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo

tratamento de dados pessoais, individualmente ou por meio de associações, poderão
formular regras de boas práticas e de governança que estabeleçam as condições de
organização, o regime de funcionamento, os procedimentos, incluindo reclamações e
petições de titulares, as normas de segurança, os padrões técnicos, as obrigações
específicas para os diversos envolvidos no tratamento, as ações educativas, os
mecanismos internos de supervisão e de mitigação de riscos e outros aspectos
relacionados ao tratamento de dados pessoais.
§1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em

consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a
finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de
tratamento de dados do titular.
LGPD – Art. 50 – Compliance Digital
§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta
Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem
como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para
os titulares dos dados, poderá:
I - implementar programa de governança em privacidade que, no mínimo:
a) demonstre o comprometimento do controlador em adotar processos e políticas

internas que assegurem o cumprimento, de forma abrangente, de normas e boas
práticas relativas à proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle,
independentemente do modo como se realizou sua coleta;
c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à

sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação
sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de

atuação transparente e que assegure mecanismos de participação do titular;
f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique

mecanismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e
h) seja atualizado constantemente com base em informações obtidas a partir de

monitoramento contínuo e avaliações periódicas;
II - demonstrar a efetividade de seu programa de governança em privacidade quando
apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade
responsável por promover o cumprimento de boas práticas ou códigos de conduta,
os quais, de forma independente, promovam o cumprimento desta Lei.
§3º As regras de boas práticas e de governança deverão ser publicadas e atualizadas

periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.
OS 11 PILARES DO COMPLIANCE
1. Tone from the top
2. Risk Assessment
3. Códigos de Conduta
4. Políticas
5. Controles Internos
6. Treinamento
7. Comunicação
8. Canal de Denúncia
9. Investigações
10. Due Diligence
11. Auditoria
Marcelo Crespo, PhD, CCEP-I
marcelocrespo@pgadvogados.com.br
+55 11 971 248 678
Desafios:
1. Permitir o livre fluxo de
dados
2. Evitar interpretações
excessivas da
regulamentação que
possam se tornar
barreira para inovação
OPEN SOCIETY E OPEN DATA
Como combinar OPEN com SEGURANÇA?
Como limitar a responsabilidade?
VAZAMENTO DE
DADOS
https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks
Multas Bancos GDPR $ 643.560 euros
Multas altas = Falta de controles de Segurança da

Informação
SCA – Strong Customer Authentication
A regra do PSD2 impõe ao Payment Service Provider a implementação de medidas

rigorosas de autenticação segura (forte) do usuário, precisam estar baseadas em
um método de dupla autenticação:
✓ O que eu sei (algo que só o cliente saiba) – senha ou PIN
✓ O que eu tenho (algo que só o cliente possua) – token, smart card, celular
✓ O que eu sou (algo que só o cliente seja) – digital ou reconhecimento facial ou

por voz
As autenticações devem ser independentes, assim, alguma brecha ou falha em

uma não vai comprometer a outra e o processo não se completará.
6
Open Banking: Gestão de Riscos e
Responsabilidade
Comunicado n° 33.455 de 24/4/2019:
✓ Open Banking é considerado o compartilhamento de dados, produtos e serviços pelas
instituições financeiras e demais instituições autorizadas, a critério de seus clientes
✓ Abrange as instituições financeiras, as instituições de pagamento e as demais instituições
autorizadas a funcionar pelo Banco Central do Brasil
✓ O compartilhamento de dados cadastrais e transacionais dos clientes, bem como de
serviços de pagamento, depende de prévio consentimento do cliente
Res. Res. Res. Res.

3380 3694 4557 4658
GDPR LGPD Lei Cadastro Positivo

679 Lei 13.709 LC 166 Legal
framework
Convergência 4658 + LGPD
Itens de Conformidade Res. 4658 Lei 13.709
Ter uma Política clara e transparente de proteção de dados artigo 3º (cibersegurança) artigos 4º, 5º, 6º (proteção de dados pessoais)
Registro das operações e trilhas de auditoria artigo 3º (cibersegurança) artigo 6º
Relatórios de impacto (risco, privacidade) artigo 8, 9 e 10 artigo 41, § 2º, III, 46, 50
Dever de coleta através de procedimento formalizado e implementado

para obtenção de consentimento válido do Titular do Dado Pessoal não exige artigos 7º, 8º, 9º, §§ 1º e 2º, 11, I, 14
Medidas técnicas e administrativas para proteção dos dados artigos 11 e 12 artigo 6º, inc. Vii e VIII
Controle de Acesso às bases de dados artigos 19, 20 e 21 artigos 49 e 50
Dever de Report e comunicação artigo 22 artigo 48, § 1º e § 2º
Boas práticas de governança e segurança de dados artigos 11, 12, 19, 20, 21 artigo 46
Processos de tratamento de dados pessoais devem assegurar
disponibilidade, integridade e confidencialidade artigo 12 artigo 46 e 50
Requisitos específicos para tratamento de dados com uso de serviços na
nuvem (país que for receber os dados deve garantir mesmo grau de
proteção e há uma análise pela Autoridade Nacional) artigos 11, 12, 13, 14,, 15, 16, 17 e 18 artigos 33 e 34
Cláusulas contratuais específicas para transferência internacional de artigos 15 e 16 (só para uso de serviços de artigo 33 (abrange qualquer transferência internacional com
dados pessoais nuvem) ou sem uso de nuvem)
artigo 7º Diretor Responsável pela Política de

Dever de ter um responsável específico Segurança Cibernética artigos 5º, 41 e 46 ( Encarregado de Dados Pessoais ou DPO)
Plano de Ação e resposta à incidente artigo 8º artigos 46 e 47
“Os dados pessoais das pessoas são exatamente isso – pessoais. Quando uma organização falha em protegê-los de
perdas, danos ou roubo, isso é mais do que um mero inconveniente. É por isso que a lei é clara – quando dados
pessoais lhe são confiados, você deve cuidar deles. Aqueles que não o fizerem enfrentarão o escrutínio de meu
escritório, que vai averiguar se eles tomaram as medidas apropriadas para proteger esses direitos fundamentais à
privacidade”, disse Elizabeth Denham, do ICO, em um comunicado à imprensa do Reino Unido.
https://canaltech.com.br/seguranca/gdpr-pede-a-maior-multa-da-historia-para-a-british-airways-por-vazamento-de-
2018-143553/
AS INSTITUIÇÕES DE
ENSINO ESTÃO
PREPARADAS?
As instituições de ensino são os novos alvos
preferidos de ataques cibernéticos
• Segundo relatório da CISCO, em maio de 2018, a área educacional tem se

tornado o alvo preferido de ataques cibernéticos. Dentre as razões, estão
a baixa maturidade em TI e, por consequência, segurança da informação.
• “A frequência global de ataques de ransomware (sequestro e resgate de

dadso) a instituições de ensino já é considerada maior do que o registrado
em qualquer outra indústria, de acordo com relatório Segurança
cibernética em educação, produzido pela Cisco com base em
levantamentos internacionais.”
https://revistaensinosuperior.com.br/informacoes-cibercriminosos/
https://www.theguardian.com/australia-news/2019/jun/04/australian-national-university-hit-by-huge-data-breach
http://archive.news.iu.edu/releases/iu/2014/02/data-exposure-disclosure.shtml
https://www.zdnet.com/article/university-of-wisconsin-hacked-75000-social-security-numbers-student-names-exposed/
http://g1.globo.com/sao-paulo/noticia/2015/03/vazamento-de-fichas-de-alunos-gera-protesto-e-punicao-no-bandeirantes.html
https://thehack.com.br/relatorio-lista-mais-de-15-orgaos-publicos-e-universidades-que-tiveram-sites-invadidos/
https://thehack.com.br/relatorio-lista-mais-de-15-orgaos-publicos-e-universidades-que-tiveram-sites-invadidos/
https://thehack.com.br/exclusivo-falha-em-sistema-de-franquia-de-escolas-expoe-dados-de-alunos-funcionarios-e-franqueados/
https://thehack.com.br/exclusivo-falha-em-sistema-de-franquia-de-escolas-expoe-dados-de-alunos-funcionarios-e-franqueados/
FRAMEWORK LEGAL BRASILEIRO
Lei nº 8.078 Lei nº 12.965
Código de Defesa do Consumidor Entra em vigor
Marco Civil da Internet
Lei nº 13.709
(LGPD)
CF/88 2020
•
Lei nº 13.709 (LGPD) e Lei Complementar nº 166
Decreto Federal nº 7.962 e nº 7.963 Medida Provisória 869 Cadastro Positivo
Lei do E-commerce & Plano Nacional Lei geral de proteção de Lei nº 13.853
de Consumo e Cidadania dados & Autoridade Regulamenta a LGPD
Nacional de Proteção de
dados
Proteção de Dados Pessoais
Pessoas Dados Governança Impactos

Física e digital Sanções (ex: GDRP 4% do faturamento
Clientes / Ciclo de vida do limitada até 20 milhões de Euros por
Consentimento
Empregados / dado pessoal infração e LGPD 2% do faturamento
ou exceções de limitada até 50 milhões por infração);
Terceiros / Transparência
consentimento Licitação pública (prejudica)
Sócios /
(tais como Controle Reputação (prejudica)
Investidores/
legítimo interesse Perda de dados (penalidades de
Visitantes/ Proteção bloqueio e eliminação)
/ Contrato /
Prospects (Segurança) Ações de indenização
obrigação legal/
Direitos dos (consumidor e trabalhista)
proteção do
crédito) Titulares
Fonte:
https://www1.folha.uol.com.br/mercado
/2019/10/governo-cria-base-de-dados-
unificada-de-todos-os-
brasileiros.shtml?utm_source=whatsapp
&utm_medium=social&utm_campaign=c
ompwa
Fonte: https://thehack.com.br/exclusivo-empresa-deixa-vazar-33-mil-exames-medicos-de-funcionarios-da-vale-prosegur-e-outras/
A The Hack apurou, com exclusividade, que um ambiente vulnerável de uma prestadora de serviços
deixou exposto mais de 2,3 milhões de registros sensíveis da rede McDonald's Brasil — desse total, mais
de 1 milhão de registros eram informações pessoais de funcionários. A denúncia partiu do pesquisador
Enzo, da firma de segurança francesa OnlineProtek. A investigação perdura desde o dia 17 de setembro,
quando fomos contatados a respeito da brecha.
Fonte: https://thehack.com.br/exclusivo-mcdonalds-deixa-vazar-dados-de-mais-de-1-milhao-de-funcionarios-brasileiros/
LGPD cuidados com os
parceiros e terceirizados
Fonte imagens: Pixabay

CDC x LGPD
Lei nº 8.078/90 e CDC LGPD
Lei nº 13.709/18 Art. 12. Art. 43. Os agentes de
§ 3° O fabricante, o tratamento só não serão
EXCEÇÃO DA construtor, o produtor ou

importador só não será
responsabilizado quando
responsabilizados quando
provarem:
I - que não realizaram o
RESPONSABILIDADE provar:
I - que não colocou o
tratamento de dados pessoais
que lhes é atribuído;
produto no mercado; II - que, embora tenham
realizado o tratamento de
Para atender LGPD e deixar claro os II - que, embora haja dados pessoais que lhes é
colocado o produto no
limites de responsabilidade é mercado, o defeito inexiste;
atribuído, não houve violação
à legislação de proteção de
fundamental ter bons contratos entre III - a culpa exclusiva do dados; ou
Controladores e Operadores (cuidado consumidor ou de terceiro. III - que o dano é decorrente
de culpa exclusiva do titular
com art. 42 - responsabilidade dos dados ou de terceiro.
objetiva e solidária do Controlador)
BOAS PRÁTICAS E
GOVERNANÇA
• A King’s College London, através de uma auditoria interna, descobriu
ter descumprido disposições da GDPR (General Data Protection
Regulation) e a sua própria Política ao revelar dados pessoais
sensíveis de alunos ativistas à Polícia, além de barrar a entrada destes
em uma visita da Rainha à Universidade.
https://www.theregister.co.uk/2019/07/05/kings_university_breached_gdpr_by_sharing_list_of_activist_students_with_cops/
https://www.computerweekly.com/news/252466281/Kings-College-London-breached-GDPR-by-handing-students-
information-to-police-review-finds
Lei 13.709/18 - LGPD
O que fazer em caso de Dever de Notificação (Report)
[art. 48, § 1º/ Lei nº 13.709/18]
incidente? DEVER DE
REPORTAR! Art. 48. O controlador deverá comunicar à autoridade nacional e ao
titular a ocorrência de incidente de segurança que possa acarretar risco
ou dano relevante aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme definido pela
autoridade nacional, e deverá mencionar, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a
proteção dos dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido
imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar
os efeitos do prejuízo.
Reconhecimento Facial – como usar de forma legal?
A Prefeitura de São Paulo

bloqueou 331.641 cartões
de Bilhete Único nos
últimos dois anos por
meio da tecnologia de
reconhecimento facial. A
tecnologia é empregada
para encontrar cartões
que sejam utilizados por
terceiros, dessa maneira,
evitando fraude.
https://www.tecmundo.com.br/seguranca/142472-paulo-bloqueia-331-mil-bilhetes-
unicos-reconhecimento-facial.htm
Por que o IDEC tem questionado as empresas?
O Idec (Instituto de Defesa
do Consumidor) questiona
em notificação o uso da
tecnologia de
reconhecimento facial por
companhias e bancos como
Itaú, Quod (birô de crédito
formado pelo Bradesco,
Santander, Caixa, BB, além
do próprio Itaú) e 99.
Segundo a Folha, o Idec
busca entender como essas
empresas obtêm o
consentimento de usuário
para uso de dados
biométricos.
https://www.tecmundo.com.br/seguranca/142100-idec-notifica-itau-quod-99-
uso-reconhecimento-facial.htm
TRATAMENTO LEGITIMO DOS DADOS PESSOAIS E BASES LEGAIS
Lei 13.709/2018 (LGPD)
✓ Consentimento – art. 7, I; arts. 8, 9, 11, I; art. 14 (menor)

✓ Segurança Pública, Defesa Nacional, Segurança do Estado, atividades de
investigação e repressão de infrações penais – art. 4, a, b, c, d
✓ Cumprir Obrigação Legal – art. 7, II; art. 11, II, a
✓ Pela Administração Pública para atender políticas públicas (inclui uso
compartilhado) – art. 7, III; art. 11, II, b; art. 26 1º. Verificar se é
✓ Execução de Contrato – art. 7, V; art. 11, II, d uma das hipóteses
✓ Processo Judicial, Administrativo ou Arbitral – art. 7, VI; 11,II,d de Exceções de
✓ Proteção da Vida e Tutela da Saúde – art. 7, VII e VIII; 11, II, f Consentimentodo
contrário precisa
✓ Legítimo Interesse – art. 7, XI, art. 10, § 3º (precisa fazer o relatório de impacto do Consentimento
de privacidade art. 5, XVII)
✓ Proteção do Crédito – art. 7, X
✓ Prevenção à fraude e à segurança do titular nos processos de identificação e
autenticação de cadastro em sistemas eletrônicos – art. 11, g
Consentimento – LGPD - Art. 8
✓Deve ser fornecido por escrito ou por outro meio que demonstre a
manifestação de vontade do titular.
✓Deve constar de cláusula destacada das demais cláusulas contratuais.
✓Cabe ao controlador o ônus da prova de que o consentimento foi obtido
em conformidade com o disposto nesta Lei.
✓É vedado o tratamento de dados pessoais mediante vício de
consentimento.
✓O consentimento deverá referir-se a finalidades determinadas, e as
autorizações genéricas para o tratamento de dados pessoais serão nulas.
✓Pode ser revogado a qualquer momento.
Consentimento – LGPD - Art. 9
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus
dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre
outras características previstas em regulamentação para o atendimento do princípio do livre
acesso:
I - finalidade específica do tratamento;
II - forma e duração do tratamento, observados os segredos comercial e industrial;
III - identificação do controlador;
IV - informações de contato do controlador;
V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI - responsabilidades dos agentes que realizarão o tratamento; e
VII - direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.
LEI - Nº 13.709/2018
LGPD
Princípios – art. 6º.
ALÉM DOS 4 PILARES JÁ MENCIONADOS:
▪ FINALIDADE – propósitos legítimos, específicos, explícitos e informados

▪ ADEQUAÇÃO – compatibilidade com a finalidade informada
▪ NECESSIDADE – limitação ao mínimo necessário
▪ LIVRE ACESSO– garantir consulta facilitada e gratuita
▪ QUALIDADE DOS DADOS – garantir exatidão, clareza, relevância e atualização
▪ PREVENÇÃO – adotar medidas para evitar ocorrência de danos
▪ NÃO DISCRIMINAÇÃO – não tratar para fins discriminatórios, ilícitos ou abusivos
▪ RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS – demonstrar a adoção de
medidas eficazes e capazes de comprovar o cumprimento das normas de proteção
Apenas um dispositivo do texto estava pendente de confirmação, já que os demais já haviam sido
decididos na sessão anterior, feita na quarta-feira (25). Foi mantido o veto (VET 24/2019) à exigência
de que a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados
pessoais —quando solicitada pelo titular dos dados — teria de ser feita por uma pessoa e não por uma
máquina. Para o Executivo, essa exigência inviabilizaria os modelos atuais de planos de negócios de
muitas empresas, especialmente das startups.
Bolsonaro afirmou que as novas sanções impossibilitariam o funcionamento de bancos de dados
essenciais a diversas atividades públicas e privadas, como os utilizados por instituições financeiras.
Atualmente a Lei Geral de Proteção de Dados (LGPD) prevê, como sanção administrativa, advertência
e multa de até 2% do faturamento da organização.
FONTE: https://www12.senado.leg.br/noticias/materias/2019/10/02/congresso-conclui-analise-de-vetos-sobre-protecao-de-dados
LEI 13.709: CAPÍTULO VIII – DA FISCALIZAÇÃO
ART. 52: atualizado pela Lei 13.853/2019
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou
conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00
(cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
VII - suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração pelo período
máximo de 6 (seis) meses, prorrogável por igual período até a regularização da atividade de tratamento pelo
controlador;
VIII - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo
período máximo de 6 (seis) meses, prorrogável por igual período;
ATUALIZAÇÃO:
IX - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. https://www12.senado.leg.br/no
X - vetado; ticias/materias/2019/10/02/cong
resso-conclui-analise-de-vetos-
XI - vetado; sobre-protecao-de-dados
XII - vetado.
(...) § 2º O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas na
Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica.
Critérios para aplicar sanções
Art. 52..As sanções presentes na LGPD seguem parâmetros e critérios para sua aplicação, como:
• A gravidade da infração;
• A boa-fé do infrator;
• A vantagem auferida;
• A condição econômica do infrator;
• A reincidência;
• O grau de dano causado;
• A cooperação do infrator;
• A demonstração de adoção de mecanismos e procedimentos para mitigar os danos;
• A adoção de política de boas práticas e governança;
• A pronta adoção de medidas corretivas;
• A proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Etapas do Projeto
ETAPA 1:
ETAPA 2:
Assessment + Plano de
Implementação
Ação
Mapeamento dos Dados Pessoais ( fluxos)
LEI GERAL DE PROTEÇÃO DE DADOS - BRASIL
CAPÍTULO I – DISPOSIÇÕES PRELIMINARES CAPÍTULO VI – DOS AGENTES DE TRATAMENTO
Arts. 1º a 6º DE DADOS PESSOAIS
Arts. 37 a 45
CAPÍTULO II – DO TRATAMENTO DE DADOS CAPÍTULO VII – DA SEGURANÇA E DAS BOAS
PESSOAIS PRÁTICAS
Requisitos para o início e término do Arts. 46 a 51
tratamento
Arts. 7º a 16
CAPÍTULO III – DOS DIREITOS DO TITULAR CAPÍTULO VIII – DA FISCALIZAÇÃO
Arts. 17 a 22 Arts. 52 a 54
CAPÍTULO IV – DO TRATAMENTO DE DADOS PESSOAIS CAPÍTULO IX – DA AUTORIDADE NACIONAL DE PROTEÇÃO
PELO PODER PÚBLICO DE DADOS (ANPD) E DO CONSELHO NACIONAL DE
Arts. 23 a 32 PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE
Arts. 55-A a 59
CAPÍTULO V – DA TRANSFERÊNCIA CAPÍTULO X – DISPOSIÇÕES FINAIS E
INTERNACIONAL DE DADOS TRANSITÓRIAS
Arts. 33 a 36 Arts. 60 a 65
Compliance digital:
1. Conheça a organização (sua empresa) e quem trabalha para você (incluindo seus
terceirizados)
2. Comprometimento da Alta Direção (o exemplo vem de cima)
3. Risk Assessment – relatório de impactos (PIA)
4. Adoção de um Código de Conduta e Ética devidamente formalizado, treinado, praticado,
supervisionado
5. Treinamento Constante e Comunicação Interna e Externa, implementação de uma cultura,
onde todos que compõem a estrutura empresarial compreendam e acreditem naquilo que
devem adotar em seu dia-a-dia, tendo consciência da seriedade e necessidade de tais
procedimentos. Os colaboradores e os terceirizados devem ser constantemente lembrados e
atualizados
6. Due Diligence – responsabilidade solidária quando se diz respeito aos agentes de tratamento
na GDPR e na LGPD (responsável, operador e terceiros). Conhecer com está lidando (lidar
sempre com parceiros confiáveis que se adequem a cultura)
7. Auditoria e Monitoramento Contínuos, – O monitoramento deve adotar uma metodologia
cíclica como o PDCA (Plan, Do, Check, Act)
PDCA COMPLIANCE DIGITAL
Blindagem da Inovação Tecnológica
Vigilância
Regras Claras (algumas
Monitoramento e
precisam ser por lei,
Documentação das
regulamentação de
evidências (guarda
indústria) provas) com ferramentas
Resposta a Incidentes Educação Digital

(rápida e com rigor) e (Campanhas Públicas e
Penalização (combate Privadas) finalidade
impunidade) preventiva
ATENDIMENTO DPO
O objetivo central do projeto é oferecer
um DPO automatizado para o mercado
41
FLUXO DE ATENDIMENTO
DIPIOU CRIAR
CANAL ESPECÍFICO PROCEDIMENTO
ATENDIMENTO PARA ANPD/ INSERIR DE
AVANÇADO AUTENTICAÇÃO
MSG DISCLAMER
DO TITULAR
(DADOS QUE O
TITULAR DEVE
FORNECER PARA
CANAL DE SUA
CONSUMIDOR/ FALE CONOSCO ATENDIMENTO IDENTIFICAÇÃO
ANPD/
GERAL OU CONTATO)
MÍDIA
MEUS DADOS
SOLICITAÇÕES
REVOGAR GERAR PROTOCOLO/
CONSENTIMENTO ENVIAR MSG
AUTOMÁTICA (MSG
ALTERAR/CORRIGIR/ RECEBIDA + TEMPO
APAGAR DADOS DE RESPOSTA)
INFORMAÇÕES/
DÚVIDAS LGPD REPORTAR UM IDENTIFICADO
INCIDENTE
Canal
FAZER LINK COM ANÔNIMO
PROCEDIMENTO denúncias
DE ENVIO DE
PROVAS
42
ATENDIMENTO VIA CHAT - MESSENGER
43
Mensagens acessíveis
a todos os públicos e
texto amigável!
44
VÍDEOS
EXPLICATIVOS PARA
AUMENTAR A INTERAÇÃO E
TORNAR O ATENDIMENTO
AINDA MAIS SIMPLES E
PRÓXIMO DO SEU
CONSUMIDOR
45
ATENDIMENTO VIA CHAT – CONTROLE
INTERNO
INTERNO
INTERNO
NÚMERO DE
INTERAÇÕES DE
CADA ASSUNTO
Como o Dipiou pode
complementar meu
atendimento ao cliente?
INTEGRAÇÃO
COM OUTRAS
INTERFACES
49
ALPHAVILLE - SP
Al. Rio Negro, 161, 11°andarcjs. 1101 e
1102
Alphaville - Barueri - SP |CEP: 06454-
000
SÃO PAULO - SP
Av. Brig. Faria Lima, 1226, 5ª andar
São Paulo - SP | CEP: 01451-915
❑ Patricia Peck, PhD – Head de Direito Digital
+55 11 3038-3888
patricia.peck@pgadvogados.com.br

Material de Dados 360º Outubro

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Material de Dados 360º Outubro

Enviado por

Direitos autorais:

Formatos disponíveis

Governo paulista vende serviço com dado sigiloso do RG de 30 milhões ... https://www1.folha.uol.com.br/cotidiano/2018/06/governo-paulista-vend...

No role-play no ensino jurídico, os alunos são

Caso a ser simulado: Materiais de leitura

Para a realização da simulação, os alunos deverão considerar os seguintes fatores:

Divisão dos grupos interessados Audiência Pública – Regras de Atuação

Autoridade Nacional de Proteção de

Divisão dos Grupos

Art. 26. O uso compartilhado de dados pessoais

Estado de São Paulo Geraldo Alckmin - Governador

Novo Sistema Biométrico facilita

Estadual de Coleta e Identificação

A IMPRENSA OFICIAL DO ESTADO SA garante a autenticidade deste documento

_automação e ciência de dados

Ciência de Dados e Design no Direito

Observação: Levantamento de dados do contencioso exame com evidências e precisão para

e do consultivo interno, de tribunais, de órgãos entender o problema e orientar os próximos

regularadores e demais dados hexónegos passos

(RH, SAC, gerenciais, etc)

@futurelaw @legalscore @visuallawstudio

Ajay Agrawal, Joshua Gans e Avi Goldfarb

(...) Pesquisadores da Universidade Carnegie Mellon que examinaram o sistema de

IA -­‐ Computador da polícia da Califórnia prevê crimes

Motorista morre após acidente com carro da Tesla no piloto automático

1 _ legal _data mapping

Map their data

_automação e ciência de dados

Serviços jurídicos entregues em plataformas

GERAÇÃO TRANSMISSÃO DISTRIBUIÇÃO EFICIÊNCIA SOLAR COMERCIALIZAÇÃO

6 Estados 5 Estados 2 Estados 6 plantas de vapor 30 MWp vendidos 337 Clientes

Contextualização do Experiência europeia Definição da Estrutura

Jan/2018 Maio/2018 Ago/2018 Set/2018

Mobilização e Mapeamento de GAP Analysis com Políticas, Cláusulas e Desenho do Diagnóstico e

Etapa B – Inventário de Dados Pessoais

Privacy champions e treinamentos

Workshops de Privacidade Riscos identificados

Entrevistas realizadas e escopo

Elaboração da RFP para a 2ª Etapa em 12 fases

FASE 2 - Implementação do processo de incidentes de privacidade adequado à política de

FASE 3 - Revisão e implementação de políticas e processos para proteção dos dados

FASE 5 - Processo de Gestão de Petições de Titulares & Opt-In.

FASE 6 - Definição e Implantação do DPIA global e do Privacy by Design global.

FASE 7 - Definição e implantação de processo de proteção de dados em prestadores de serviço.

FASE 8 – Elaboração do Processo de Governança de Dados.

FASE 12 - Acompanhamento das ações/prazos para conformidade dos processos de proteção de

Cynthia Fernandes Ana Rita Bibá

50 - Can machines think? (Alan Turing)

o Enquanto em 1981, um dispositivo de um gigabyte de

• Das 3,5 trilhões de fotos tiradas

• Para se ter uma ideia do arsenal

Art. 20. O titular dos dados tem direito a solicitar a

Direito à Revisão de Decisões Automatizadas

✓ A GDPR, no seu artigo 22 (1), permite que o usuário se recuse a ser

✓ O artigo 22º, (2), do GDPR, determina que o titular pode pedir a

✓ “Direito a uma intervenção humana" e a opinião divergente entre

✓ A Lei nº 13.853, de 2019 excluiu o trecho “por pessoal natural” da

Direito à Explicação de Decisões

ARTIGO 20, LGPD

§ 1º O controlador deverá fornecer, sempre que solicitadas,

§ 2º Em caso de não oferecimento de informações de que trata o §

✓ No direito à explicação de decisões

✓ A primeira aparição do direito à

✓ A verdadeira previsão de um direito à explicação – inspirada na

"o controlador deverá fornecer, sempre que solicitadas,

✓ Difícil definir, já que existe uma incerteza em ambas as legislações,

IA -‐ Computador da polícia da Califórnia prevê crimes