LGPD e Ciência

de Dados
Pós Graduação em Ciência de Dados
Prof. Me. Allisson Almeida
REFLEXÃO: Privacidade em
cidades inteligentes
• Londres (2012) – lixeiras inteligentes foram
instaladas pela cidade
• Captavam dados das pessoas que passavam para fins
de publicidade direcionada
• Os dados eram captados dos dispositivos que
estavam com o WiFi ligado
• Os cidadãos não sabiam da funcionalidade das
lixeiras inteligentes, nem que seus dados estavam
sendo coletados para fins publicitários e de marketing
REFLEXÃO: Privacidade em
cidades inteligentes
• Londres (2012) – lixeiras inteligentes foram
instaladas pela cidade
• Captavam dados das pessoas que passavam para fins
de publicidade direcionada
• Os dados eram captados dos dispositivos que
estavam com o WiFi ligado
• Os cidadãos não sabiam da funcionalidade das
lixeiras inteligentes, nem que seus dados estavam
sendo coletados para fins publicitários e de marketing
REFLEXÃO: Privacidade em
cidades inteligentes
• Cerca de 95 mil queixas foram feitas na União Europeia,
junto das autoridades nacionais de proteção dos dados,
após a entrada em vigor do novo regulamento europeu, em
maio, relacionadas com ‘telemarketing’ e ‘e-mails’
promocionais, seguido de videovigilância.
• Foram feitas 255 investigações a empresas, como
redes sociais, por alegado desrespeito ao RGPD (ou
GDPR), processos iniciados a partir de denúncias
individuais ou por iniciativa das autoridades
nacionais competentes.
REFLEXÃO: Privacidade de
dados nas redes sociais

Mark Zuckerberg, CEO

do Facebook,
testemunha diante do
Congresso dos EUA pela
1ª vez para prestar
esclarecimento
REFLEXÃO: Privacidade de
dados nas redes sociais

Unsecured Adobe Server Exposes

Data for 7.5 Million Creative Cloud
Users
LEI Nº 13.709 –
LEI GERAL DE
PROTEÇÃO DE DADOS
DO BRASIL
1) TRANSPARÊNCIA

Todas as informações passadas

pela empresa, em todos os seus
meios de comunicação, devem ser
claras, precisas e verdadeiras.
Além disso, a empresa não pode
compartilhar dados pessoais com
outras pessoas de forma oculta.
Se você repassa dados pessoais
para terceiros, inclusive para
operadores que sejam essenciais
para a execução do serviço, o
titular precisa saber.
2) ADEQUAÇÃO

Os dados pessoais
tratados devem ser
compatíveis com a
finalidade informada
pela empresa. Ou seja,
sua justificativa deve
fazer sentido com o
caráter da informação
que você pede.
3) LIVRE ACESSO

A pessoa física titular dos dados

tem o direito de consultar, de
forma simples e gratuita, todos
os dados que a empresa detenha
a seu respeito.
Além disso, devem ser
especificadas questões como: o
que a empresa faz com as suas
informações, de que forma o
tratamento é realizado e por
quanto tempo.
4) SEGURANÇA

É responsabilidade das empresas

buscar procedimentos, meios e
tecnologias que garantam a
proteção dos dados pessoais de
acessos por terceiros, ainda que
não sejam autorizados, como nos
casos de invasões por hackers.
Além disso, devem ser tomadas
medidas para solucionar situações
acidentais, como destruição,
perda, alteração, comunicação ou
difusão dos dados pessoais de
suas bases.
5) QUALIDADE DE DADOS

Deve ser garantido aos

titulares que as informações
que a empresa tenha sobre
eles sejam verdadeiras e
atualizadas. É necessário
ter atenção à exatidão,
clareza e relevância dos
dados, de acordo com a
necessidade e com a
finalidade de seu tratamento.
6) PREVENÇÃO

O princípio da prevenção
objetiva que as empresas
adotem medidas prévias
para evitar a ocorrência de
danos em virtude do
tratamento de dados
pessoais. Ou seja, as
empresas devem agir antes
dos problemas e não
somente depois.
7) NECESSIDADE
As startups e empresas em geral
devem utilizar apenas os dados
estritamente necessários para
alcançar as suas finalidades.
Deve-se fazer uma ponderação
entre o que é essencial e apenas
conveniente.
Lembre-se que quanto mais
dados você tratar, maior será a
sua responsabilidade, inclusive
em casos de vazamentos e
incidentes de segurança.
8) NÃO DISCRIMINAÇÃO

Os dados pessoais
jamais podem ser
usados para
discriminar ou
promover abusos
contra os seus
titulares.
9) RESPONSABILIDADE E
PRESTAÇÃO DE CONTA

Além de cumprir
integralmente a Lei, e
evidências de todas as
medidas adotadas, para
demonstrarem a sua
boa-fé e a sua diligência.
10) FINALIDADE
A partir da LGPD não será
mais possível tratar dados
pessoais com finalidades
genéricas ou indeterminadas.
O tratamento de cada
informação pessoal deve ser
feito com fins específicos,
legítimos, explícitos e
informados. Ou seja, as
empresas devem explicar para
que usarão cada um dos dados
pessoais.
 Lei nº 8.078 Lei nº 12.965
Código de Defesa do Marco Civil da
Consumidor Internet

Decreto Federal nº Lei nº 13.709 e Medida

7.962 e nº 7.963 Provisória 869
Lei do E-commerce & Lei geral de proteção de
Plano Nacional de dados & Autoridade Nacional
Consumo e Cidadania de Proteção de dados
 Código de Defesa do
Consumidor (LEI - Nº 8.078/90)
• Princípios inaugurados pelo Código de Defesa do Consumidor
• Educação – art. 4º, IV e art. 6º, III
• Informação – art. 6º III; art. 9º; art. 31 e 43
• Transparência – art. 4º, art. 9º; art. 43, § 2º e art. 54, § 4º
• Boa-fé objetiva – art. 4º, III e art. 51, vi
• Segurança – art. 4º, II, (d), V; 6º, I; art. 8º; art. 10 e art. 12, § 1º
• Vulnerabilidade – art. 4º, I
• Facilitação da defesa do consumidor – Art. 6º, VIII
 LEI DO E-COMMERCE x LGPD
LGPD
CDC LEI DO Art. 46.
Art. 6º E-COMMERCE
Art. 4o Os agentes de
São direitos básicos do tratamento devem
consumidor: Para garantir o adotar medidas
I - a proteção da vida, atendimento facilitado ao de segurança, técnicas
saúde e segurança consumidor no comércio e administrativas aptas
contra os riscos eletrônico, o fornecedor a proteger os dados
provocados por deverá: pessoais de acessos
práticas no VII - utilizar mecanismos não autorizados e de
fornecimento de de segurança eficazes situações acidentais ou
produtos e serviços para pagamento e para ilícitas de destruição,
considerados tratamento de dados do perda, alteração,
perigosos ou nocivos. consumidor. comunicação ou
qualquer forma de
tratamento
inadequado ou ilícito.
 CDC x LGPD
CDC
Art. 12.
§ 3° O fabricante, o construtor, o
produtor ou importador só não será
responsabilizado quando provar:
I - que não colocou o produto no
mercado;
II - que, embora haja colocado o
produto no mercado, o defeito
inexiste;
III - a culpa exclusiva do consumidor
ou de terceiro.
LGPD
Art. 43.
Os agentes de tratamento só não serão
responsabilizados quando provarem:
I - que não realizaram o tratamento de
dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o
tratamento de dados pessoais que lhes
é atribuído, não houve violação à
legislação de proteção de dados; ou
III - que o dano é decorrente de culpa
exclusiva do titular dos dados ou de
terceiro.
DADO PESSOAL

• Informação
relacionada a pessoa
natural identificada
ou identificável.
Pontos de atenção

DADOS PESSOAIS
DADOS PESSOAIS
SENSÍVEIS
Pontos de atenção

DADOS PESSOAIS
DADOS PESSOAIS
SENSÍVEIS
Informações que tornam Informações acerca da
possível a identificação individualidade da pessoa;
da pessoa (identifica ou como informações genéticas,
é identificável); como de saúde, sua visão política,
endereço, CPF, nome, orientação religiosa ou
endereço de IP, fotos, expressão de sexualidade,
placa de carro, etc. sindical, biometria.
MATRIZ DE ANÁLISE TÉCNICA-
JURÍDICA DO INVENTÁRIO DE
TRATAMENTO DE DADOS
Os dados pessoais devem ser:

• Adequados;
• Pertinentes;
• Limitados às finalidades para os quais são
tratados.

A LGPD exige a minimização do uso dos dados

pessoais, isso se impacta com o objetivo das
empresas que é a maximização.
E no seu projeto?
Você precisa realmente de
dados pessoais?
DADO ANONIMIZADO
• Dado relativo a titular que não possa ser
identificado, considerando a utilização de meios
técnicos razoáveis e disponíveis na ocasião de seu
tratamento.

• ANONIMIZAÇÃO: utilização de meios técnicos

razoáveis e disponíveis no momento do
tratamento, por meio dos quais um dado perde a
possibilidade de associação, direta ou indireta, a
um indivíduo.
Regulamentação de Proteção
de Dados
• Art. 6º. Tratamento: Deve observar a
boa-fé e os seguintes princípios:
• (i) finalidade do tratamento;
• (ii) compatibilidade do tratamento com as
finalidades informadas ao titular;
• (iii) limitação do tratamento ao mínimo
necessário para a realização de suas
finalidades;
...
Regulamentação de Proteção
de Dados
• Art. 6º. Tratamento: Deve observar a
boa-fé e os seguintes princípios:
• (iv) garantia, aos titulares, de consulta
facilitada e gratuita sobre a forma do
tratamento;
...
Regulamentação de Proteção
de Dados
• Art. 6º. Tratamento: Deve observar a
boa-fé e os seguintes princípios:
• (v) garantia, aos titulares, de exatidão,
clareza, relevância e atualização dos dados,
de acordo com a necessidade e para o
cumprimento da finalidade de seu
tratamento;
...
Regulamentação de Proteção
de Dados
• Art. 6º. Tratamento: Deve observar a
boa-fé e os seguintes princípios:
• (vi) transparência aos titulares; (vii)
utilização de medidas técnicas e
administrativas aptas a proteger os dados
pessoais; (viii) prestação de contas, pelo
agente, da adoção de medidas capazes de
comprovar a proteção de dados pessoais.
TRANSPARÊNCIA É REGRA!

Todos os detalhes sobre os

usos dos dados pessoais
devem ser inseridos na política
de privacidade.
TRANSPARÊNCIA É REGRA!
Sanções:
• Parâmetros e critérios • A cooperação do infrator;

para sua aplicação: • A demonstração de adoção

de mecanismos e
• A gravidade da infração; procedimentos para mitigar
• A boa-fé do infrator; os danos;
• A vantagem auferida; • A adoção de política de boas
práticas e governança;
• A condição econômica do
• A pronta adoção de medidas
infrator;
corretivas;
• A reincidência;
• A proporcionalidade entre a
• O grau de dano causado; gravidade da falta e a
intensidade da sanção.
É preciso compreender os
incidentes:
VIOLAÇÃO DE
SEGURANÇA
“incidente de segurança” Por
exemplo, perda de uma chave
USB ou laptop, hack do sistema.
Envolve comprometimento de
disponibilidade, integridade,
autenticidade de informações
ou relacionado a um perímetro
físico ou lógico de rede ou da
instituição.
VIOLAÇÃO DE
DADOS PESSOAIS
Uma violação de segurança só se
torna uma violação de dados
pessoais quando envolve a perda
de dados pessoais ou se o
processamento ilegal de dados
pessoais não puder ser
razoavelmente excluído. É a perda
do controle sobre a base de dados
pessoais.
O que fazer em caso de
incidente?
• Dever de Notificação (Report) [art. 48, § 1º/ Lei nº
13.709/18]

• O Processador deve notificar o Controlador sem

demora indevida após tomar conhecimento de uma
violação de dados pessoais

• O Controlador também deve notificar a violação dos

dados pessoais à Autoridade Nacional dentro de
prazo razoável (na GDPR o prazo é de 72h).
Dúvidas?
allisson.almeida@undb.edu.br