Escolar Documentos
Profissional Documentos
Cultura Documentos
GESTOR DE
PRIVACIDADE
ADEQUAÇÃO
UM PROGRAMA
ESTRUTURADO PARA
ADEQUAÇÃO À LGPD E GDPR
Realização
Conteúdo atualizado em
11/09/2020
Apresentação do Instrutor
Slide 2
Conteúdo da Aula de Nivelamento
Slide 3
Contextualização da proteção de dados no mundo e
principais leis
Fonte: IAPP, Privacy Program Management – Tools for Managing Privacy Within Your Organization, Second Edition, 2019. Slide 5
Contextualização da proteção de dados no mundo e
principais leis
• Estados Unidos:
• Health Insurance Portability and Accountability Act (HIPAA) de 1996.
• Children’s Online Privacy Protection Act (COPPA) de 1998.
• California Consumer Privacy Act (CCPA) de 2018.
• Japão: Act on the Protection of Personal Information (“APPI”)
• Canadá: Personal Information Protection and Electronic Documents Act
(“PIPEDA”)
• China: PRC Cybersecurity Law
• África do Sul: Protection of Personal Information Act
Slide 6
Contextualização da proteção de dados no mundo e
principais leis
Slide 7
Contextualização da proteção de dados no mundo e
principais leis
• Argentina: Ley de Protección de los Datos Personales Nº 25.326 (PDPL)
• Chile: Ley Nº 19.628 – Protección de datos de carácter personal
• Colômbia: Ley 1.266 de 2008 (Habeas Data) e Ley 1.581 de 2012
• Costa Rica: Ley Nº 8.968, Protección de la persona frente al tratamiento de
sus datos personales
• México: Ley federal de protección de datos personales en posesión de los
particulares
• Peru: Ley N° 29.733 – Ley de Protección de Datos Personales
• Uruguai: Ley N° 18.331 – Ley de Protección de Datos Personales y Acción de
Habeas Data
Slide 8
Contextualização da proteção de dados no mundo e
principais leis
Fonte: IAPP, Privacy Program Management – Tools for Managing Privacy Within Your Organization, Second Edition, 2019. Slide 9
Entendendo o que é privacidade e sua diferença para
segurança da informação
Fonte: IAPP, Privacy Program Management – Tools for Managing Privacy Within Your Organization, Second Edition, 2019. Slide 10
Entendendo o que é privacidade e sua diferença para
segurança da informação
• A segurança da informação envolve um conjunto contínuo e permanente
de práticas aplicadas ao longo do ciclo de vida dos dados – desde a
criação/coleta até sua destruição.
• Atenção especial se a organização decidir pela anonimização.
• A segurança da informação define risco como a combinação da
probabilidade de um evento e suas consequências.
• A segurança da informação se baseia em práticas de gerenciamento de
risco para fornecer:
• Identificação do risco;
• Seleção e implementação de controles e medidas para mitigar riscos;
• Rastreamento e avaliação de risco para validar as duas primeiras partes.
Fonte: IAPP, Privacy Program Management – Tools for Managing Privacy Within Your Organization, Second Edition, 2019. Slide 11
Entendendo o que é privacidade e sua diferença para
segurança da informação
Fonte: IAPP, Privacy Program Management – Tools for Managing Privacy Within Your Organization, Second Edition, 2019. Slide 12
Entendendo o que é privacidade e sua diferença para
segurança da informação
• Pontos convergentes:
• O foco da segurança da informação na integridade dos dados se relaciona
ao requisito de precisão da privacidade, pois ambos visam garantir que os
dados não sejam alterados sem autorização.
• O requisito de disponibilidade da segurança da informação suporta o
requisito de acesso à privacidade: se os dados não estiverem disponíveis,
não poderão ser acessados.
• As ideias de segurança da informação e de privacidade exigem que as
organizações sejam responsáveis por proteger os dados de acordo com o
respectivo regime de proteção, que é uma forma de prestação de contas.
Fonte: IAPP, Privacy Program Management – Tools for Managing Privacy Within Your Organization, Second Edition, 2019. Slide 13
Entendendo o que é privacidade e sua diferença para
segurança da informação
• Pontos convergentes:
• Quando as informações são não públicas e pessoais, a confidencialidade
oferece suporte à privacidade, pois dados não públicos precisam ser
mantidos não públicos.
• Ambos estão interessados em impulsionar a minimização de dados, ter
bons mapas e inventários de dados e garantir que os controles e medidas
corretos estejam em vigor e sejam corretamente utilizados.
• Frequentemente, os processos de análise e avaliação de privacidade foram
incorporados a processos seguros do ciclo de vida do desenvolvimento do
programa de privacidade.
Fonte: IAPP, Privacy Program Management – Tools for Managing Privacy Within Your Organization, Second Edition, 2019. Slide 14
Entendendo o que é privacidade e sua diferença para
segurança da informação
• Pontos divergentes:
• A privacidade tem um conjunto mais amplo de obrigações e
responsabilidades do que a segurança da informação.
• Significa dizer que existem questões que a ideia de privacidade aborda e
que a segurança da informação não aborda, tais como:
• Limitação de coleta;
• Transparência;
• Relevância;
• Limitação no uso.
Fonte: IAPP, Privacy Program Management – Tools for Managing Privacy Within Your Organization, Second Edition, 2019. Slide 15
Entendendo o que é privacidade e sua diferença para
segurança da informação
• Pontos divergentes:
• A privacidade classifica os dados pessoais em duas categorias: dados
pessoais “normais” e dados pessoais sensíveis.
• A segurança da informação protege os dados de maneira diferente,
geralmente de acordo com o grau de confidencialidade: público,
confidencial, altamente confidencial e restrito ou extremamente secreto.
• Talvez o mais importante: embora as técnicas de segurança da informação
possam ser tecnologias que permitem a privacidade (privacy-enabling
technologies ou PETs) e são frequentemente necessárias, essas PETs
também podem se tornar “problemáticas” se aplicadas incorretamente (ou
seja, de maneira invasiva aos dados pessoais).
Fonte: IAPP, Privacy Program Management – Tools for Managing Privacy Within Your Organization, Second Edition, 2019. Slide 16
Apresentação comparada GDPR x LGPD: visão geral
Slide 17
Aplicação territorial da GDPR
• O Regulamento é
aplicável nos 27
Estados-Membros da
União Europeia (azul) e
ainda em Liechtenstein,
na Noruega e na Islândia
(verde).
Slide 18
Atenção: aplicação extraterritorial da GDPR
Slide 19
Atenção: aplicação extraterritorial da GDPR
Agência de viagens BR
Oferece pacotes em português, inglês,
Aplica-se o RGPD
francês e espanhol
Aceita pagamentos em euros
Agência de viagens BR
Oferece pacotes em português, inglês, Não se aplica o RGPD
francês e espanhol
Slide 20
Apresentação comparada GDPR x LGPD: visão geral
Slide 21
Aplicação (extra)territorial da LGPD
Slide 22
O que é dado pessoal?
Slide 23
Apresentação comparada GDPR x LGPD: dado pessoal
Slide 24
Apresentação comparada GDPR x LGPD: os dados
sensíveis
• Artigo 9.º, n.º 1 do RGPD: “dados pessoais que revelem a origem racial ou
étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a
filiação sindical, bem como o tratamento de dados genéticos, dados
biométricos para identificar uma pessoa de forma inequívoca, dados
relativos à saúde ou dados relativos à vida sexual ou orientação sexual de
uma pessoa”.
• Art. 5º, inciso II da LGPD: “dado pessoal sobre origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, dado referente à saúde ou à vida
sexual, dado genético ou biométrico, quando vinculado a uma pessoa
natural”.
Slide 25
Apresentação comparada GDPR x LGPD: os dados
sensíveis
• Na LGPD não há proibição, mas algumas bases legais não podem ser
utilizadas para o tratamento deste tipo de dado (especialmente, legítimo
interesse).
Slide 26
Apresentação comparada GDPR x LGPD:
dados pseudonimizados x dados anonimizados
• Artigo 4.º, n.º 5 do RGPD: “«Pseudonimização», o tratamento de dados
pessoais de forma que deixem de poder ser atribuídos a um titular de
dados específico sem recorrer a informações suplementares, desde que
essas informações suplementares sejam mantidas separadamente e
sujeitas a medidas técnicas e organizativas para assegurar que os dados
pessoais não possam ser atribuídos a uma pessoa singular identificada ou
identificável.”
• Art. 13, § 4º da LGPD: “Para os efeitos deste artigo, a pseudonimização é o
tratamento por meio do qual um dado perde a possibilidade de associação,
direta ou indireta, a um indivíduo, senão pelo uso de informação adicional
mantida separadamente pelo controlador em ambiente controlado e
seguro.”
Slide 27
Apresentação comparada GDPR x LGPD:
dados pseudonimizados x dados anonimizados
Slide 28
Apresentação comparada GDPR x LGPD:
dados pseudonimizados
Slide 29
Apresentação comparada GDPR x LGPD:
dados anonimizados
Os dados pessoais que foram anonimizados não estão sujeitos
às leis de proteção de dados.
Slide 30
Apresentação comparada GDPR x LGPD: titular
Slide 31
O que é atividade de tratamento?
Slide 32
Apresentação comparada GDPR x LGPD: atividade de
tratamento
• Artigo 4.º, n.º 2 do RGPD: “uma operação ou um conjunto de operações
efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por
meios automatizados ou não automatizados, tais como a recolha, o registo, a
organização, a estruturação, a conservação, a adaptação ou alteração, a
recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou
qualquer outra forma de disponibilização, a comparação ou interconexão, a
limitação, o apagamento ou a destruição”.
• Art. 5º, inciso X da LGPD: “toda operação realizada com dados pessoais,
como as que se referem a coleta, produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração”.
Slide 33
Apresentação comparada GDPR x LGPD: controlador
Slide 34
Apresentação comparada GDPR x LGPD: operador
• Art. 5º, inciso VII da LGPD: “pessoa natural ou jurídica, de direito público
ou privado, que realiza o tratamento de dados pessoais em nome do
controlador”.
Slide 35
Apresentação comparada GDPR x LGPD: identificando o
controlador e o operador
Slide 36
Apresentação comparada GDPR x LGPD: direitos do titular
RGPD LGPD
Direito à informação e comunicação transparentes Informação das entidades públicas e privadas com as quais o controlador realizou
uso compartilhado de dados; Informação sobre a possibilidade de não fornecer
consentimento e sobre as consequências da negativa; Direito à informação e
comunicação transparentes
Direito de acesso Confirmação da existência de tratamento; Acesso aos dados
Direito de retificação Correção de dados incompletos, inexatos ou desatualizados
Direito ao apagamento (o controlador deve informar a terceiros) Eliminação dos dados pessoais tratados com o consentimento do titular, exceto
nas hipóteses previstas no art. 16 da Lei
Direito à limitação do tratamento Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou
tratados em desconformidade com o disposto na Lei
Direito de portabilidade Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante
requisição expressa do titular
Direito de oposição (especialmente ao legítimo interesse do controlador) Opor-se a tratamento realizado com fundamento em uma das hipóteses de
dispensa de consentimento, em caso de descumprimento ao disposto na LGPD
Direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com Solicitar a revisão de decisões tomadas unicamente com base em tratamento
base no tratamento automatizado, incluindo a definição de perfis, que produza automatizado de dados pessoais que afetem seus interesses, incluídas as
efeitos na sua esfera jurídica ou que o afete significativamente de forma similar decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de
crédito ou os aspectos de sua personalidade
Revogação do consentimento
Peticionar em relação aos seus dados contra o controlador perante a ANPD
Slide 37
Apresentação comparada GDPR x LGPD: princípios
RGPD LGPD
Livre acesso
Não discriminação
Slide 38
Apresentação comparada GDPR x LGPD: bases legais
RGPD LGPD
Consentimento Consentimento
Cumprimento de uma obrigação jurídica a que o controlador esteja sujeito Cumprimento de obrigação legal ou regulatória pelo controlador
Execução de um contrato no qual o titular dos dados é parte, ou para Execução de contrato ou de procedimentos preliminares a pedido do titular
diligências pré-contratuais a pedido do titular dos dados dos dados
Exercício regular de direitos em processo judicial, administrativo ou arbitral
Defesa de interesses vitais do titular dos dados ou de outra pessoa singular Proteção da vida ou da incolumidade física do titular ou de terceiro
Proteção do crédito
Slide 39
Apresentação comparada GDPR x LGPD: o DPO
• Art. 5º, inciso VIII da LGPD: “pessoa indicada pelo controlador e operador
para atuar como canal de comunicação entre o controlador, os titulares
dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
Slide 40
Apresentação comparada GDPR x LGPD: nomeação do DPO
RGPD
• Autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;
• As atividades principais do controlador ou do operador exigem controle regular e sistemático dos titulares em grande escala;
• As atividades principais do controlador ou do operador consistam em operações de tratamento em grande escala de
categorias especiais de dados ou de dados pessoais relacionados com condenações penais e infrações (artigo 10.º do RGPD).
Na LGPD (até o momento – 12 de setembro de 2020): “Art. 41. O controlador deverá indicar
encarregado pelo tratamento de dados pessoais” → todas as empresas.
Slide 41
Apresentação comparada GDPR x LGPD: o DPO
Informa e aconselha o controlador ou o operador, bem como os trabalhadores que tratem os dados, a respeito
das suas obrigações nos termos do RGPD e de outras disposições de proteção de dados da União ou dos
Estados-Membros;
Controla a conformidade com o RGPD, com outras disposições de proteção de dados da União ou dos Estados-
Membros e com as políticas do controlador ou do operador relativas à proteção de dados pessoais, incluindo a
repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento
de dados, e as auditorias correspondentes;
• Funções do DPO Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção
no RGPD: de dados e controla a sua realização nos termos do artigo 35.º do RGPD;
Ponto de contato para a autoridade de controle sobre questões relacionadas com o tratamento, incluindo a
consulta prévia a que se refere o artigo 36.º do RGPD, e consulta, sendo caso disso, esta autoridade sobre
qualquer outro assunto.
Slide 42
Apresentação comparada GDPR x LGPD: o DPO
Aceitar reclamações e
Receber
comunicações dos
comunicações da
titulares, prestar
autoridade nacional e
esclarecimentos e
adotar providências;
adotar providências;
Slide 43
O DPO e o Gestor de Privacidade
Slide 45
FORMAÇÃO
GESTOR DE
PRIVACIDADE
ADEQUAÇÃO
UM PROGRAMA
ESTRUTURADO PARA
ADEQUAÇÃO À LGPD E GDPR
Realização
Conteúdo atualizado em
11/09/2020
Conteúdo do Gestor de Privacidade
NIVELAMENTO Contextualização, conceitos básicos, visão geral LGPD e GDPR.
ESTRUTURA
0 PROGRAMA Visão da organização, estabelecimento de programa de privacidade, criando uma
PRIVACIDADE equipe de privacidade, nomeação do DPO.
1
Criação e revisão de políticas e avisos de privacidade.
POLÍTICAS
Visão geral de outras políticas de apoio.
2
Diagnóstico inicial, mapeamento de processos, mapeamento de dados, registro
Formação ETAPA AVALIAR de atividades tratamento, bases legais, modelo LIA, relatório de impacto (DPIA).
3
Gestor de Práticas de segurança da informação, Privacy by design, adequação de cookies,
Privacidade ETAPA PROTEGER revisão de termos em serviços/produtos, revisão de contratos, criação de código
4 de conduta, adequação de transferência de dados e plano de treinamento.
Processo para responder ao exercício dos direitos dos titulares, plano de resposta
6 ETAPA RESPONDER a incidentes de privacidade, processo de notificação de titulares e de autoridade.
Serão 6 encontros:
Aula 1 3 Out das 14h00 às 17h00
Aula 2 10 Out das 09h30 às 16h30
33 horas Aula 3 17 Out das 09h30 às 16h30
ao vivo Aula 4 24 Out das 09h30 às 16h30
Aula 5 31 Out das 09h30 às 16h30
Aula 6 7 Nov das 09h30 às 16h30
Slide 49
Certificação Gestor de Privacidade TIEXAMES
• Requer:
Slide 50
Opcional: Certificação internacional CIPM da IAPP
Slide 51
Investimento
R$ 1.990,00 BÔNUS
50% de desconto até dia 15/09 • Ingresso para assistir ao vivo as
Fica por apenas R$ 995,00 oficinas de privacidade oferecidas
pelo Prof. Matheus.
• Aula extra sobre ISO/IEC 27701 que
será oferecida no dia 26/09/2020.
• Acesso a grupo exclusivo para
networking e para tirar dúvidas.
Slide 52
Obrigado!
Redes: @profmatheuspassos
https://www.linkedin.com/company/tiexames
Slide 53