Escolar Documentos
Profissional Documentos
Cultura Documentos
1 of 8 16/02/2019 16:22
Governo paulista vende serviço com dado sigiloso do RG de 30 milhões ... https://www1.folha.uol.com.br/cotidiano/2018/06/governo-paulista-vend...
2 of 8 16/02/2019 16:22
Governo paulista vende serviço com dado sigiloso do RG de 30 milhões ... https://www1.folha.uol.com.br/cotidiano/2018/06/governo-paulista-vend...
3 of 8 16/02/2019 16:22
Governo paulista vende serviço com dado sigiloso do RG de 30 milhões ... https://www1.folha.uol.com.br/cotidiano/2018/06/governo-paulista-vend...
4 of 8 16/02/2019 16:22
Governo paulista vende serviço com dado sigiloso do RG de 30 milhões ... https://www1.folha.uol.com.br/cotidiano/2018/06/governo-paulista-vend...
5 of 8 16/02/2019 16:22
Governo paulista vende serviço com dado sigiloso do RG de 30 milhões ... https://www1.folha.uol.com.br/cotidiano/2018/06/governo-paulista-vend...
6 of 8 16/02/2019 16:22
Governo paulista vende serviço com dado sigiloso do RG de 30 milhões ... https://www1.folha.uol.com.br/cotidiano/2018/06/governo-paulista-vend...
7 of 8 16/02/2019 16:22
Governo paulista vende serviço com dado sigiloso do RG de 30 milhões ... https://www1.folha.uol.com.br/cotidiano/2018/06/governo-paulista-vend...
8 of 8 16/02/2019 16:22
05/06/2019
Role- Play
Agentes de tratamento:
Autoridade Nacional e DPO Role-play é uma técnica de ensino-
aprendizagem no qual os alunos simulam
(encarregado)
uma situação potencialmente existente
no mundo real.
1
05/06/2019
Cenário do Role-Play
Nesse caso simulado, a denúncia do Idec à Autoridade Nacional de Proteção de
Dados Pessoais envolve a violação de diversos dispositivos da Lei Geral de Proteção
de Dados Pessoais.
Idec MP/SP Está designada audiência de instrução no processo administrativo da Autoridade Nacional de
Proteção de Dados Pessoais em face do Governo do Estado de São Paulo.
Autora da petição e denúncia Parte interessada no processo
1 2
que originou o processo administrativo, em razão do
potencial de lesão a direitos Os grupos possuem funções específicas. É papel dos alunos, nesta atividade, atuar de acordo com
administrativo. Interessada em
coletivos e em razão de acusação as funções designadas no role-play.
criar primeiro precedente de
limitação de políticas de envolver governo do Estado de São
biometria em ofensa à LGPD Paulo Os grupos 1 a 4 terão que realizar uma sustentação oral de 5 minutos, articulando os argumentos
em torno da proteção de dados pessoais em sentido de “ataque” e “defesa”. Os grupos 1 (Idec) e 2
(Ministério Público) deverão mobilizar argumentos pela violação de direitos assegurados na
Lei de Proteção de Dados Pessoais (Lei 13.709/2018). Os grupos 3 (Governo de São Paulo) e 4
Governo SP Fingerprint S. (Fingerprints Solutions) deverão mobilizar argumentos para afastar, preventivamente, as
3
Interessada no teses de violação de direitos assegurados na LGPD.
4
Parte interessada por desenvolver
desenvolvimento do Sistema soluções técnicas que podem ser
de Biometria para geração de utilizadas no sistema de Não é necessário que os grupos 3 e 4 façam “defesas” às teses apresentadas pelo grupo 1 e 2. A
caixa para o Executivo em autenticação a ser ofertado pelo ideia é que as sustentações sejam feitas em audiência pública, sem necessariamente haver
nível estadual IMESP, órgão executor da política de contraditório como em um processo judicial (tese e antítese).
autenticação de dados biométricos
7 8
2
05/06/2019
GRUPO 1 - IDEC
GRUPO 3 - GOVERNO
GRUPO 4 - FINGERPRINT
3
05/06/2019
www.opiceblum.com.br
4
Poder
Executivo
seção I
2017
2015
2019
_direito
_legal
design
M ETODOLOGI A DE AP LI C AÇ ÃO DE TÉC NI C AS DE L E G AL DE S I G N
Visual Law
Adequação das formas de entrega da
Legal Design VISUAL LAW informação jurídica conforme o usuário
e/ou destinatário final de cada projeto
Prototipagem, testes e entrega: design de procedimentos
DESIGN DA (linguagem apropriada, uso de resumos e
internos, de novos serviços jurídicos, de organizações e
SOLUÇÃO esquemas, infográficos, imagens, mapas,
departamentos, para o uso e/ou desenvolvimento de
HQ, etc.)
softwares adequados a cada projeto, entre outras
atividades para prevenir e solucionar o problema com ANALYTICS
foco no destinatário/usuário + BI Analytics + BI
Organização, cruzamento e análise de dados
Dados DADOS para a ”radiologia” do Direito, para um
Obs.
O
u so
de
técnicas de
d esign
d eve acontecer em todas as
fases,
tendo em vista
q ue seus conceitos estão ligados a
n ovas formas de
s olução e
p revenção de
p roblemas jurídicos com
foco no
u suário/destinatário,
assim como
das
atividades correspondentes.
Também podem ser utilizadas metodologias adequadas para
facilitar cada uma dessas etapas,
como design
thinking,
agile,
u x,
scrum,
entre
outras,
q ue não se
confundem com
Legal
Design,
u ma
vez que são apenas modelos criados para
apoiar o
processo de
observação, criação,
prototipagem e
aplicação de
s eus conceitos.
Na
área do
D ireito,
b oa
p arte
d a
observação acontece pela
análise e
cruzamento de
d ados.
não estruturados: leitura e
organização
automação x IA
Atividades humanas podem ser
descritas em cinco níveis
principais:
data
prediction
judgement
action
outcomes
http://br.wsj.com/articles/SB10850883747855923604704581197290371462776
CASES
– Polícia da
Califórnia
(...)
O
computador
faz,
na
verdade,
é
prever
a
probabilidade dos
crimes
acontecerem
em
uma
área
específica,
além
de
mostrarem
qual
a
janela
de
tempo
em
que
os
crimes
podem
ocorrer, analisando
dados
anteriores
de
até
8
anos
atrás,
presentes
no
histórico
da
polícia.
(...)
https://tecnoblog.net/74374/california-‐crime/
CASES
-‐ Tesla
https://tecnoblog.net/197933/tesla-‐model-‐s-‐piloto-‐automatico-‐acidente-‐morte/mento
profiling
data
brokers
aspectos éticos
_
_
_
diversidade
_
_
_
supervisão humana
_
_
_
transparência
_
_
_explicabilidade
_
_
_accountability
-‐ liability
_
_
_
sustentabilidade digital
proteção de dados pessoais
Legal
+
Tech
+
Design _ seguro
_ legal
ANPD
4 _Relatórios
filme
3 _relacionamento B2B | B2C
DPO
2 _ti (evidências)
_ alexandrezavaglia
The
data
privacy
automation approach
looking for
software
that can create evidence of compliance and remediation efforts
m&a
-‐ Six acquisitions reportedly totaling at least $3
billion since 2014
helped make the database company a
big
name
in
the field of advertising software.
-‐ about $500 million of Oracle’s $40 billion in sales last year.
-‐ “What
happened
over
the
past
couple
years
is,
the
nebulous
concerns
people
may
have
had
about
what
companies
were
doing
with
personal
data
all
of
a
sudden
became
very
real,”
says
Blair
Hanley
Frank,
an
analyst
at
ISG,
a
technology
research
and
advisory
firm.
-‐ “The
risk
to
Oracle
in
all
of
this
is what
seemed
like
a
somewhat
ignorable
value-‐add
business
a
few
years
ago
could
all
of
a
sudden
become
a
big
scary
bugbear.”
_direito
_legal
design
chatbot
tax odr
Gestão
jurídica Automação de contratos
LGPD compliance
B.I.
-‐
-‐
Alexandre Zavaglia Coelho
alexandre@futurelaw.com.br
-‐
-‐
-‐
Projeto de Adequação à
Lei Geral de Proteção de Dados - LGPD
atuação em
16 PAÍSES
EDP, LÍDER
MUNDIAL
EM ENERGIAS
RENOVÁVEIS
Entre as principais operadoras
europeias do setor de energia (gás
e eletricidade), e maior geradora,
distribuidora e fornecedora de
energia elétrica em Portugal
mais de 11.900
COLABORADORES
mais de 3.100
COLABORADORES
EDP BRASIL,
MAIS DE 20 ANOS ATUANDO
NO SETOR DE ENERGIA NO
BRASIL, EM TODA A CADEIA
DE VALOR
3,5 MILHÕES
Clientes atendidos R$ 12,86 BI
(Distribuição) Faturamento
EFICIÊNCIA &
INTELIGÊNCIA
ENERGÉTICA
PARCEIRO
NA SOLUÇÃO COMERCIALIZAÇÃO
DE ENERGIA
Soluções inovadoras e
MOBILIDADE
sustentáveis, que permitirão maior ELÉTRICA
eficiência e competitividade aos
clientes B2B e B2C
Impactos da LGPD em Desafios, oportunidades
nossos negócios e benefícios da
adequação à LGPD
SUBMISSÃO DO PROJETO
INAUGURAL AO BOARD
O que enfatizamos?
Projeto de Adequação à LGPD
Por onde começamos?
COMPLIANCE
SEGURANÇA DA
JURÍDICO
INFORMAÇÃO
REGULATÓRIO RH
1ª Etapa - Abordagem adotada
Para atender os objetivos de adequação da EDP, foram
definidas 6 fases para o Projeto
Oferecemos o modelo de
Fase Fase Fase negócio
Fase ideal para suas
Fase Fase
necessidades
Planejamento Inventário de dados Análise dos riscos Elaboração de cláusulas Enquadramento nas Diagnóstico final
contratuais padrão bases legais
Definição de Cronograma Reuniões indivduais com Identificação dos gaps (Controlador x Operador) Próximos passos para
as Áreas para adequação Definição da estratégia fase de implementação
Kick-off Criação de norma e política e programa para
Revisão dos dados de privacidade conformidade com a
Mobilização da equipe inventariados LGPD
Estudo para definição de
Workshops Levantamento dos riscos modelo de governança
Desvendando o
Data Mapping
A partir de LINK encaminhado, foram levantados os
PROCESSOS DE TRATAMENTO DE DADOS PESSOAIS
Etapa A – Identificação do Processo
PROJETO EM
Fases do projeto e prazos
• Diagnóstico de Segurança Cibernética NÚMEROS
• Inventário de dados pessoais (Data
Mapping) e Data Discovery
• Identificação de riscos e ameaças
• Roadmap e plano de ação
• Duração : 20 semanas
FASE 4 - Definição e aplicação dos requisitos de negócio para minimização e anonimização dos
dados.
FASE 9 - Suporte na definição das regras para monitoramento de dados pessoais via DLP (“Data
Loss Prevention”).
FASE 10 - Assessoria jurídica para a revisão dos dados pessoais sob o aspecto de “necessidade” e
adequações jurídicas para transferência internacional.
FASE 11 - Definição da metodologia LIA, execução dos testes de proporcionalidade, elaboração dos
LIA´s e elaboração/revisão dos termo de consentimento.
2
3
AI Winter
5
Lei de Moore: Exponencialidade
6
Digitalização
O momento da foto já foi especial
7
Selfie para checar o look..
8
LEI DE KRYDER
11
12
.
.
16
Algoritmos e tomadas de decisões
Garbage in, garbage out
Perigos da utilização de algoritmos
DIRETIVA 95
29
• Súmula STJ nº 550: A utilização de
escore de crédito, método estatístico
de avaliação de risco que não
constitui banco de dados, dispensa o
consentimento do consumidor, que
terá o direito de solicitar
esclarecimentos sobre as informações
pessoais valoradas e as fontes dos
dados considerados no respectivo
cálculo."
NY: Abertura do Código Fonte?
33
Art. 22 O titular dos dados tem o direito de não ficar
sujeito a nenhuma decisão tomada exclusivamente
com base no tratamento automatizado, incluindo a
definição de perfis, que produza efeitos na sua
esfera jurídica ou que o afete significativamente de
forma similar.
✓ Art. 20. Art. 20. O titular dos dados tem direito a solicitar a
revisão de decisões tomadas unicamente com base em
tratamento automatizado de dados pessoais que afetem seus
interesses, incluídas as decisões destinadas a definir o seu
perfil pessoal, profissional, de consumo e de crédito ou os
aspectos de sua personalidade.
36
ARTIGO 20 LGPD
PONTOS RELEVANTES
37
ARTIGO 20 LGPD
38
ARTIGO 20 LGPD
39
ARTIGO 20 LGPD
40
✓ A França tornou ilegal a publicação de
informações estatísticas sobre as decisões dos
juízes.
43
44
Vamos sugerir bandeiras vermelhas?
45
CASOS
46
CASO TESTEMUNHAS DE JEOVÁ
47
CASOS
Information Commissioner's
Office vs. Honda e Flybe
Tentativa de cumprimento do
GDPR e violação do Privacy
and Electronic Communications
Regulation!
MULTAS & A 95/46/EC
49
MULTAS & GDPR
50
Na Colômbia...
51
Ministério Público is coming!
Portaria nº 716/2018
Investigação sobre o possível
uso e tratamento ilegal dos
dados pessoais dos clientes
Vivo para fins de publicidade
por meio do serviço Vivo Ads.
PEDIDO DE FORNECIMENTO DE DPIA
53
▪ O MPDFT por sua Unidade de Proteção de Dados e Inteligência Artificial –
ESPEC ajuizou AÇÃO CIVIL PÚBLICA com pedido de tutela de urgência em
desfavor de TELEFONICA BRASIL S/A.
54
CASO DECOLAR
55
CASO DECOLAR
56
CASO DROGARIA ARAUJO
57
MULTAS & GDPR
58
MULTAS & GDPR
60
MULTAS & CASOS NO BRASIL
➢ 08190.044813/18-44:
Investigação a respeito das circunstâncias e as causas do incidente de
segurança que comprometeu os dados pessoais dos clientes da
Netshoes (Ns2.Com Internet S.A.), bem como apuração as
responsabilidades pelos danos causados
61
MULTAS & CASOS NO BRASIL
➢ Portaria nº 02/2018:
Investigar as circunstâncias e as causas do provável uso ilegal
dos dados pessoais de brasileiro pelas empresas Cambridge
Analytica e A Ponte Estratégia Planejamento e Pesquisa Ltda.
62
MULTAS & CASOS NO BRASIL
63
MULTAS & CASOS NO BRASIL
64
CURIOSIDADES
• A decisão ratifica a ideia de que a LGPD não cria um novo direito, mas,
sim, regula um novo mercado. Os bens jurídicos ligados à honra, dignidade
e privacidade já são tutelados pelo ordenamento jurídico brasileiro, e o que
a LGPD fará, quando encerrada a vacatio legis, é estabelecer diretrizes
mais claras sobre os conceitos legais das operações que envolvem o
tratamento de dados, os limites de atuação dos players e as sanções
administrativas de descumprimento da norma.
65
• Durante as últimas semanas, o
aplicativo FaceApp voltou a fazer
sucesso nas redes sociais com o filtro
de envelhecimento. No entanto, a
empresa desenvolvedora foi alvo de
acusações envolvendo suposto roubo
de dados e violações
de privacidade dos usuários.
68
69
Imposição de multa no valor de 400.000,00 euros por violação do
princípio da adequação e do direito à exclusão
70
DPA finlandesa ordena que empresa modifique a avaliação
automatizada da capacidade creditícia e melhore as
divulgações
71
72
Daniel Becker
daniel.becker@limafeigelson.com.br
@danielbeckerp
Bruno Feigelson
Bruno.feigelson@limafeigelson.com.br
74
1. DIREITOS DOS TITULARES
DE DADOS PESSOAIS
2. DADOS BIOMÉTRICOS
E PRIVACIDADE
1. Direitos
Lei Geral de
Proteção de Dados
– LGPD
Art. 9º. Requisitos para o tratamento. Acesso facilitado sobre:
▪ Finalidade
▪ Forma e duração
▪ Identificação do controlador
Smart TVs:
rastreamento de hábitos e gravação de vozes
http://fanaru.com/the-lying-game/image/101559/a-little-privacy-gif/
E como isso nos afeta?
In relation to people, the author highlights the fact that tech industry remains
very male-centric and culturally homogeneous.
https://guides.library.ttu.edu/reading/1984
BIAS
When the person in the photo is a white man, the software is right 99 percent of the
time.
But the darker the skin, the more errors arise — up to nearly 35 percent for images
of darker skinned women
https://guides.library.ttu.edu/reading/1984
BIAS
https://www.ted.com/talks/joy_buolamwini_how_
i_m_fighting_bias_in_algorithms
A.I. Ethics, Accountability, Transparency
DANILO DONEDA
FUTURE LAW
SETEMBRO 2019
Lei 13.709/2018
DADOS PESSOAIS
PRIVACIDADE
PRIVACIDADE
DO SEGREDO AO CONTROLE
Carta dos Direitos Fundamentais
da União Europeia
Artigo 7.0
Respeito pela vida privada e familiar
Todas as pessoas têm direito ao respeito pela sua vida privada e familiar, pelo seu domicílio e
pelas suas comunicações.
Artigo 8.o
Protecçao de dados pessoais
Todas as pessoas têm direito à protecçao dos dados de carácter pessoal que lhes digam
respeito.
Esses dados devem ser objecto de um tratamento leal, para fins específicos e com o
consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei. Todas
as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a
respectiva rectificaçao.
3. O cumprimento destas regras fica sujeito a fiscalização por parte de uma autoridade
independente.
Constituição Federal
Título II - Dos Direitos e Garantias Fundamentais
Capítulo I - Dos Direitos e Deveres Individuais e Coletivos
Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos
brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade,
à igualdade, à segurança e à propriedade, nos termos seguintes:
...
X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o
direito a indenização pelo dano material ou moral decorrente de sua violação;
https://www.justice.gov/opcl/docs/rec-com-rights.pdf
CODE OF FAIR INFORMATION PRACTICES
HEW (HEALTH, EDUCATION, WELFARE) ADVISORY COMMITTEE ON
AUTOMATED DATA SYSTEMS.
(1973)
https://www.justice.gov/opcl/docs/rec-com-rights.pdf
LINHAS- GUIA DA OCDE
PRINCÍPIOS BÁSICOS DE PROTEÇÃO DE
DADOS
• Qualidade
•Proteção a categorias
• Base legal
especiais de dados
• Finalidade
•Segurança
• Proporcionalidade
•Transparência
• Qualidade
http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf
CONVENÇÃO 108 DO CONSELHO DA EUROPA
PRINCÍPIOS NACIONAIS DE PROTEÇÃO DE
DADOS
• Limitação da coleta
•Segurança
• Qualidade
•Transparência
• Finalidade
•Acesso (participação
• Limitação do uso individual)
(consentimento e autorização
•Accountability
legal)
https://www.coe.int/en/web/conventions/full-list/-/conventions/rms/0900001680078b37
Europa
• Lei de Hesse (1970)
• Datalagen (1973)
• Diretiva 95/46/CE
• Base legal
• Consentimento
• Autoridade de Garantia
Modelo norte-americano
• Decentralizado
• Tutela a posteriori
• Auto-regulação
Constituição Federal
II - PROTEÇÃO DA PRIVACIDADE;
2018 - Lei 13.709 é aprovada por unanimidade por ambas as casas do Congresso e
sancionada
Dados pessoais/ sensíveis
dado anonimizado: dado relativo a titular que não possa ser identificado,
considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião
de seu tratamento;
titular: pessoa natural a quem se referem os dados pessoais que são objeto de
tratamento;
controlador: pessoa natural ou jurídica, de direito público ou privado, a quem
competem as decisões referentes ao tratamento de dados pessoais;
operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o
tratamento de dados pessoais em nome do controlador;
encarregado: pessoa natural, indicada pelo controlador, que atua como canal
de comunicação entre o controlador e os titulares e a autoridade nacional;
agentes de tratamento: o controlador e o operador;
ESCOPO
Aplicabilidade à internet?
FINALIDADE
SEGURANÇA
ADEQUAÇÃO
PREVENÇÃO
NECESSIDADE
NÃO DISCRIMINAÇÃO
LIVRE ACESSO
RESPONSABILIZAÇÃO E PRESTAÇÃO
QUALIDADE
DE CONTAS
TRANSPARÊNCIA
Princípio da Finalidade
(…)
V - informações acerca do uso compartilhado de dados pelo controlador e a
finalidade;
Princípio da Finalidade e uso secundário
Sujeito a;
• Minimização
• Transparência
• Relatório de impacto
DIREITOS
CONFIRMAÇÃO
ACESSO
RETIFICAÇÃO
CANCELAMENTO
OPOSIÇÃO
PORTABILIDADE
ANONIMIZAÇÃO
INFORMAÇÃO
REVOGAÇÃO DO CONSENTIMENTO
Defesa de direitos perante agente de
tratamento
Art 18.
§ 3o Os direitos previstos neste artigo serão exercidos mediante requerimento
expresso do titular ou de representante legalmente constituído, a agente de
tratamento.
§ 4o Em caso de impossibilidade de adoção imediata da providência de que
trata o § 3o deste artigo, o controlador enviará ao titular resposta em que poderá:
I - comunicar que não é agente de tratamento dos dados e indicar, sempre que
possível, o agente; ou
II - indicar as razões de fato ou de direito que impedem a adoção imediata da
providência.
§ 5o O requerimento referido no § 3o deste artigo será atendido sem custos para
o titular, nos prazos e nos termos previstos em regulamento.
Informação ao titular sobre o
tratamento / Portabilidade
Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante
requisição do titular:
I - em formato simplificado, imediatamente; ou
II - por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de
registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e
industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.
§ 1o Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de
acesso.
§ 2o As informações e os dados poderão ser fornecidos, a critério do titular:
I - por meio eletrônico, seguro e idôneo para esse fim; ou
II - sob forma impressa.
§ 3o Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá
solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e
industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua
utilização subsequente, inclusive em outras operações de tratamento.
§ 4o A autoridade nacional poderá dispor de forma diferenciada acerca dos prazos previstos nos
incisos I e II do caput deste artigo para os setores específicos.
“Direito à explicação”
Art. 20. O titular dos dados tem direito a solicitar revisão, por pessoa
natural, de decisões tomadas unicamente com base em tratamento
automatizado de dados pessoais que afetem seus interesses, inclusive de
decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e
de crédito ou os aspectos de sua personalidade.
§ 1o O controlador deverá fornecer, sempre que solicitadas, informações claras
e adequadas a respeito dos critérios e dos procedimentos utilizados para a
decisão automatizada, observados os segredos comercial e industrial.
§ 2o Em caso de não oferecimento de informações de que trata o § 1o deste
artigo baseado na observância de segredo comercial e industrial, a autoridade
nacional poderá realizar auditoria para verificação de aspectos discriminatórios
em tratamento automatizado de dados pessoais.
SETOR PÚBLICO
• multa diária
• publicização da infração
Difícil se destacar
no mercado
O que é e o que não é a LGPD?
Consultorias “tocando o terror”!
ANPD!!! Multas!!!!
Propostas de soluções mágicas
Definição do escopo do Projeto
Não pode ser:
Explique bem ao cliente o que vai entregar
(fuja dos jargões marketeiros)
Admita
mudanças!
Fujam do
consentimento
quando
possível!!!
Don’t talk the talk if you can’t walk the walk
Leia a Lei Geral de Proteção de Dados
LGPD – Art. 50 – Compliance Digital
§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta
Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem
como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para
os titulares dos dados, poderá:
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle,
independentemente do modo como se realizou sua coleta;
✓ O que eu tenho (algo que só o cliente possua) – token, smart card, celular
6
Open Banking: Gestão de Riscos e
Responsabilidade
Comunicado n° 33.455 de 24/4/2019:
✓ Open Banking é considerado o compartilhamento de dados, produtos e serviços pelas
instituições financeiras e demais instituições autorizadas, a critério de seus clientes
✓ Abrange as instituições financeiras, as instituições de pagamento e as demais instituições
autorizadas a funcionar pelo Banco Central do Brasil
✓ O compartilhamento de dados cadastrais e transacionais dos clientes, bem como de
serviços de pagamento, depende de prévio consentimento do cliente
Cláusulas contratuais específicas para transferência internacional de artigos 15 e 16 (só para uso de serviços de artigo 33 (abrange qualquer transferência internacional com
dados pessoais nuvem) ou sem uso de nuvem)
https://revistaensinosuperior.com.br/informacoes-cibercriminosos/
https://www.theguardian.com/australia-news/2019/jun/04/australian-national-university-hit-by-huge-data-breach
http://archive.news.iu.edu/releases/iu/2014/02/data-exposure-disclosure.shtml
https://www.zdnet.com/article/university-of-wisconsin-hacked-75000-social-security-numbers-student-names-exposed/
http://g1.globo.com/sao-paulo/noticia/2015/03/vazamento-de-fichas-de-alunos-gera-protesto-e-punicao-no-bandeirantes.html
https://thehack.com.br/relatorio-lista-mais-de-15-orgaos-publicos-e-universidades-que-tiveram-sites-invadidos/
https://thehack.com.br/relatorio-lista-mais-de-15-orgaos-publicos-e-universidades-que-tiveram-sites-invadidos/
https://thehack.com.br/exclusivo-falha-em-sistema-de-franquia-de-escolas-expoe-dados-de-alunos-funcionarios-e-franqueados/
https://thehack.com.br/exclusivo-falha-em-sistema-de-franquia-de-escolas-expoe-dados-de-alunos-funcionarios-e-franqueados/
FRAMEWORK LEGAL BRASILEIRO
Lei nº 8.078 Lei nº 12.965
Código de Defesa do Consumidor Entra em vigor
Marco Civil da Internet
Lei nº 13.709
(LGPD)
CF/88 2020
•
Lei nº 13.709 (LGPD) e Lei Complementar nº 166
Decreto Federal nº 7.962 e nº 7.963 Medida Provisória 869 Cadastro Positivo
Lei do E-commerce & Plano Nacional Lei geral de proteção de Lei nº 13.853
de Consumo e Cidadania dados & Autoridade Regulamenta a LGPD
Nacional de Proteção de
dados
Proteção de Dados Pessoais
https://www.theregister.co.uk/2019/07/05/kings_university_breached_gdpr_by_sharing_list_of_activist_students_with_cops/
https://www.computerweekly.com/news/252466281/Kings-College-London-breached-GDPR-by-handing-students-
information-to-police-review-finds
Lei 13.709/18 - LGPD
O que fazer em caso de Dever de Notificação (Report)
[art. 48, § 1º/ Lei nº 13.709/18]
incidente? DEVER DE
REPORTAR! Art. 48. O controlador deverá comunicar à autoridade nacional e ao
titular a ocorrência de incidente de segurança que possa acarretar risco
ou dano relevante aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme definido pela
autoridade nacional, e deverá mencionar, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a
proteção dos dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido
imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar
os efeitos do prejuízo.
Reconhecimento Facial – como usar de forma legal?
https://www.tecmundo.com.br/seguranca/142472-paulo-bloqueia-331-mil-bilhetes-
unicos-reconhecimento-facial.htm
Por que o IDEC tem questionado as empresas?
O Idec (Instituto de Defesa
do Consumidor) questiona
em notificação o uso da
tecnologia de
reconhecimento facial por
companhias e bancos como
Itaú, Quod (birô de crédito
formado pelo Bradesco,
Santander, Caixa, BB, além
do próprio Itaú) e 99.
Segundo a Folha, o Idec
busca entender como essas
empresas obtêm o
consentimento de usuário
para uso de dados
biométricos.
https://www.tecmundo.com.br/seguranca/142100-idec-notifica-itau-quod-99-
uso-reconhecimento-facial.htm
TRATAMENTO LEGITIMO DOS DADOS PESSOAIS E BASES LEGAIS
Lei 13.709/2018 (LGPD)
✓Deve ser fornecido por escrito ou por outro meio que demonstre a
manifestação de vontade do titular.
✓Deve constar de cláusula destacada das demais cláusulas contratuais.
✓Cabe ao controlador o ônus da prova de que o consentimento foi obtido
em conformidade com o disposto nesta Lei.
✓É vedado o tratamento de dados pessoais mediante vício de
consentimento.
✓O consentimento deverá referir-se a finalidades determinadas, e as
autorizações genéricas para o tratamento de dados pessoais serão nulas.
✓Pode ser revogado a qualquer momento.
Consentimento – LGPD - Art. 9
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus
dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre
outras características previstas em regulamentação para o atendimento do princípio do livre
acesso:
I - finalidade específica do tratamento;
II - forma e duração do tratamento, observados os segredos comercial e industrial;
III - identificação do controlador;
IV - informações de contato do controlador;
V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI - responsabilidades dos agentes que realizarão o tratamento; e
VII - direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.
LEI - Nº 13.709/2018
LGPD
Princípios – art. 6º.
ETAPA 1:
ETAPA 2:
Assessment + Plano de
Implementação
Ação
Mapeamento dos Dados Pessoais ( fluxos)
LEI GERAL DE PROTEÇÃO DE DADOS - BRASIL
CAPÍTULO I – DISPOSIÇÕES PRELIMINARES CAPÍTULO VI – DOS AGENTES DE TRATAMENTO
Arts. 1º a 6º DE DADOS PESSOAIS
Arts. 37 a 45
CAPÍTULO II – DO TRATAMENTO DE DADOS CAPÍTULO VII – DA SEGURANÇA E DAS BOAS
PESSOAIS PRÁTICAS
Requisitos para o início e término do Arts. 46 a 51
tratamento
Arts. 7º a 16
CAPÍTULO III – DOS DIREITOS DO TITULAR CAPÍTULO VIII – DA FISCALIZAÇÃO
Arts. 17 a 22 Arts. 52 a 54
CAPÍTULO IV – DO TRATAMENTO DE DADOS PESSOAIS CAPÍTULO IX – DA AUTORIDADE NACIONAL DE PROTEÇÃO
PELO PODER PÚBLICO DE DADOS (ANPD) E DO CONSELHO NACIONAL DE
Arts. 23 a 32 PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE
Arts. 55-A a 59
CAPÍTULO V – DA TRANSFERÊNCIA CAPÍTULO X – DISPOSIÇÕES FINAIS E
INTERNACIONAL DE DADOS TRANSITÓRIAS
Arts. 33 a 36 Arts. 60 a 65
Compliance digital:
1. Conheça a organização (sua empresa) e quem trabalha para você (incluindo seus
terceirizados)
2. Comprometimento da Alta Direção (o exemplo vem de cima)
3. Risk Assessment – relatório de impactos (PIA)
4. Adoção de um Código de Conduta e Ética devidamente formalizado, treinado, praticado,
supervisionado
5. Treinamento Constante e Comunicação Interna e Externa, implementação de uma cultura,
onde todos que compõem a estrutura empresarial compreendam e acreditem naquilo que
devem adotar em seu dia-a-dia, tendo consciência da seriedade e necessidade de tais
procedimentos. Os colaboradores e os terceirizados devem ser constantemente lembrados e
atualizados
6. Due Diligence – responsabilidade solidária quando se diz respeito aos agentes de tratamento
na GDPR e na LGPD (responsável, operador e terceiros). Conhecer com está lidando (lidar
sempre com parceiros confiáveis que se adequem a cultura)
7. Auditoria e Monitoramento Contínuos, – O monitoramento deve adotar uma metodologia
cíclica como o PDCA (Plan, Do, Check, Act)
PDCA COMPLIANCE DIGITAL
Blindagem da Inovação Tecnológica
Vigilância
Regras Claras (algumas
Monitoramento e
precisam ser por lei,
Documentação das
regulamentação de
evidências (guarda
indústria) provas) com ferramentas
41
FLUXO DE ATENDIMENTO
DIPIOU CRIAR
CANAL ESPECÍFICO PROCEDIMENTO
ATENDIMENTO PARA ANPD/ INSERIR DE
AVANÇADO AUTENTICAÇÃO
MSG DISCLAMER
DO TITULAR
(DADOS QUE O
TITULAR DEVE
FORNECER PARA
CANAL DE SUA
CONSUMIDOR/ FALE CONOSCO ATENDIMENTO IDENTIFICAÇÃO
ANPD/
GERAL OU CONTATO)
MÍDIA
MEUS DADOS
SOLICITAÇÕES
REVOGAR GERAR PROTOCOLO/
CONSENTIMENTO ENVIAR MSG
AUTOMÁTICA (MSG
ALTERAR/CORRIGIR/ RECEBIDA + TEMPO
APAGAR DADOS DE RESPOSTA)
INFORMAÇÕES/
DÚVIDAS LGPD REPORTAR UM IDENTIFICADO
INCIDENTE
Canal
FAZER LINK COM ANÔNIMO
PROCEDIMENTO denúncias
DE ENVIO DE
PROVAS
42
ATENDIMENTO VIA CHAT - MESSENGER
43
ATENDIMENTO VIA CHAT - MESSENGER
Mensagens acessíveis
a todos os públicos e
texto amigável!
44
ATENDIMENTO VIA CHAT - MESSENGER
VÍDEOS
EXPLICATIVOS PARA
AUMENTAR A INTERAÇÃO E
TORNAR O ATENDIMENTO
AINDA MAIS SIMPLES E
PRÓXIMO DO SEU
CONSUMIDOR
45
ATENDIMENTO VIA CHAT – CONTROLE
INTERNO
ATENDIMENTO VIA CHAT – CONTROLE
INTERNO
ATENDIMENTO VIA CHAT – CONTROLE
INTERNO
NÚMERO DE
INTERAÇÕES DE
CADA ASSUNTO
Como o Dipiou pode
complementar meu
atendimento ao cliente?
INTEGRAÇÃO
COM OUTRAS
INTERFACES
49
ALPHAVILLE - SP
Al. Rio Negro, 161, 11°andarcjs. 1101 e
1102
Alphaville - Barueri - SP |CEP: 06454-
000
SÃO PAULO - SP
Av. Brig. Faria Lima, 1226, 5ª andar
São Paulo - SP | CEP: 01451-915
❑ Patricia Peck, PhD – Head de Direito Digital
+55 11 3038-3888
patricia.peck@pgadvogados.com.br