dados pessoais como insumo - peckadvogados.com.br · comércio eletrônico » legislação brasil ....

28
1

Upload: trandiep

Post on 18-Jan-2019

220 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

1

Page 2: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

Dados pessoais como insumo

Sociedade orientada por dados

(Data-Driven-Society)

2

Page 3: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

Data mining e Credit Score

3

Page 4: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

4

Page 5: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

5

A guerra dos Dados no Mundo

Caráter protecionista; Entrada em vigor da Lei Geral de

Proteção de Dados em Maio de 2018 para todos os Estados-membros da UE;

Exige o consentimento prévio para utilização dos dados;

Caráter liberal; Presidente Donald Trump anulou a Lei

de Privacidade em 3 de abril de 2017; Matéria legislada de forma estadual; Os provedores podem utilizar os dados

sem o consentimento. Matéria contratual;

Page 6: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

6 http://www.eugdpr.org/

192 dias

Page 7: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

GDPR – General Data Protection Regulation • Passará a produzir efeitos a partir

de 25 de Maio de 2018.

7

• Previsão de penalidades de 4% dos lucros anuais do Grupo Econômico ou 20 milhões de Euros (será aplicado o maior valor).

• A regulação também se aplica a companhias fora da UE que processam dados de indivíduos europeus (princípio da nacionalidade dos dados).

Fonte: https://www.itgovernance.co.uk/blog/eu-gdpr-infographic-what-the-new-regulation-means-in-1-minute/

MERCADO UE

PIB US$ 16 trilhões 509 milhões de pessoas 7% população mundial 1/5 riqueza mundial

Page 8: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

Check-list aplicabilidade GDPR 1. A empresa possui operações em quaisquer dos países integrantes da

União Européia?

2. A empresa coleta e/ou armazena dados coletados diretamente de cidadãos da União Européia em sua base (princípio da nacionalidade)?

3. A empresa faz parte do mesmo grupo econômico de empresas que possuem dados coletados e/ou armazenados de cidadãos da União Européia e compartilha dados (há integração destas bases de dados de alguma forma)?

4. A empresa possui sua base de dados localizada em território de um dos Estados membros da União Européia ou utiliza uma solução internacional contratada por sua matriz ou grupo econômico que esteja localizada em território da União Européia – princípio da territorialidade?

5. A empresa pretende estabelecer operações na União Européia em 2018 ou ofertar produtos e serviços que envolvam a coleta ou armazenamento de dados de cidadãos da União Européia?

8

Page 9: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

• Lei nº 8.078 de 1990 - Código de Defesa do Consumidor

• Decreto nº 7.962 de 2013 – Regulamenta o Comércio Eletrônico;

• Lei nº 12.965 de 2014, Marco Civil da Internet;

• Decreto nº 8.771 de 2016 – Regulamenta o Marco Civil.

«Comércio Eletrônico»

Legislação Brasil

Page 10: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

CONSENTIMENTO - MCI

Art. 7o O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:

(...)

IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;

10

Page 11: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

Termos de Uso

Política de Privacidade

BLINDAGEM LEGAL DO COMÉRCIO ELETRÔNICO

«Comércio Eletrônico»

Page 12: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

12 Fonte: https://privacy.uber.com/policy Acessado em: 29.10.17

Page 13: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

iCarros

13

Compra e venda de carros

Fonte: ICarros. Site: http://www.icarros.com.br/principal/index.jsp - Acesso em: 05 jul. 2017.

Política de Privacidade

Page 14: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

«Proteção de Dados Pessoais»

Exemplo de Atuação dos Órgãos de Proteção do Consumidor frente ao MCI

Page 15: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

15

NORMA INFRINGIDA SANÇÃO/CONSEQUÊNCIAS LEGAIS

Decreto nº 7.962/2013 Multa e/ou demais sanções previstas no artigo 56 do CDC

Lei nº 12.965/2014 e Decreto 8.771/2016

Multa de até 10% sobre o faturamento do grupo econômico no Brasil no seu último exercício, suspensão temporária ou proibição de exercício das atividades previstas no art. 11; bem como indenização pelo não cumprimento

UE Regulamento nº 679/2016 - GDPR

Multa de 20.000.000 EU ou 4% do faturamento anual (o que for maior), indenização; demais sanções a serem definidas pelos estados membros

Projeto de Lei nº 5.276/2016 (Proteção de Dados Pessoais)

Multa; publicização da infração; anonimização, bloqueio, suspensão de operação de tratamento e cancelamento dos dados pessoais; suspensão de funcionamento de banco de dados; bem como, demais sanções administrativas, civis e penais (art. 52)

Page 16: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

16

Pontos fundamentais de Proteção de dados pessoais

Até onde vão os direitos comerciais por contratos, termos de uso e políticas de privacidade (propriedade intelectual e outros) e inicia a proteção dos dados pessoais?

O que é o legítimo interesse (justificativa jurídica de finalidade)?

O que é anonimização de dados? Como aplicar e demonstrar?

No que consiste na prática o direito a portabilidade de dados?

A exclusão da base de dados solicitada pelo cliente (usuário), envolve excluir o que ? (tudo, o que ele informou no cadastro, o que foi enriquecido com informações vindas de outros ambientes, coletadas a partir de terceiros)

Page 17: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

PROTEÇÃO DE DADOS PELA AMÉRICA LATINA

17

LATAM Proteção de dados pessoais

Argentina Lei nº 25.326/2000 – Lei de Proteção de Dados Pessoais

Brasil Projetos de Lei 5276/16, 330/2013, 4060/2012 (não possui lei específica)

Chile Projeto de Lei para atualizar a lei (em andamento – desde 2010 com nova proposta feita em 2017) Lei 19.628/1999 – Lei de Proteção de Dados Pessoais

Colômbia Lei nº 1581/2012 - Lei Geral de Proteção de Dados Pessoais Decreto nº 1.377/2013 – Regulamenta a Lei Geral de Proteção de Dados Pessoais

México Lei Federal de Transparência e Acesso à Informação Pública Governamental Lei Federal de Proteção de Dados Pessoais em Poder de Particulares (2010)

Panamá Projeto de Lei sobre Proteção de Dados Pessoais (em andamento) Lei nº 06/2002 – Lei de Transparência e Acesso à Informação Pública

Peru Lei nº 29.733/2011 – Lei de Proteção de Dados Pessoais

Uruguai Lei n° 18.331/2008 – Lei de Proteção de Dados Pessoais

*útlimo atualização em 11.09.2017

Page 18: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

TRANSFORMAÇÃO DIGITAL

18

INOVAÇÃO TECNOLÓGICA ÉTICA E SUSTENTÁVEL

Page 19: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

SUSTENTÁVEL é

Ser Ético (falar a verdade)

Ser Transparente (informação certa e clara)

Ter Governança (controles)

Estar Compliance (conformidade legal)

19

Page 20: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

20

Autoria: Patricia Peck Pinheiro 2017

Tendências para regulamentação de dados

Page 21: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

21

Autoria: Patricia Peck Pinheiro 2017

Tendências para regulamentação de dados

Page 22: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

A empresa e seus fornecedores de TI estão compliance as novas

regulamentações?

Já fez o Privacy Risk Assessment e Due Dilligence para Compliance Digital?

22

Page 23: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

Solução PIA: Privacy Impact Assessment

23

Etapa 1: Levantamento Inicial Consiste na verificação e mapeamento do ambiente de dados da empresa. Quantidade de bases de dados (com sua nacionalidade e territorialidade) Quantidade de tratamentos das bases de dados (finalidades) Quantidade de soluções de informação (determinar processos) Quantidade de documentos legais existente relevantes de consentimento e/ou coleta

de dados (ex: guidelines internos, políticas e normas relacionadas, contratos de trabalho e/ou prestação de serviço, políticas de privacidade e outros documentos).

Page 24: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

Solução PIA: Privacy Impact Assessment

24

Etapa 1: Levantamento Inicial Consiste na verificação e mapeamento do ambiente de dados da empresa. Quantidade de bases de dados (com sua nacionalidade e territorialidade) Quantidade de tratamentos das bases de dados (finalidades) Quantidade de soluções de informação (determinar processos) Quantidade de documentos legais existente relevantes de consentimento e/ou coleta

de dados (ex: guidelines internos, políticas e normas relacionadas, contratos de trabalho e/ou prestação de serviço, políticas de privacidade e outros documentos).

Page 25: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

Solução PIA: Privacy Impact Assessment

25

Etapa 2: Assessment e Diagnóstico de Conformidade Abrange a análise do grau de conformidade com as novas regulamentações de privacidade e proteção de dados, bem como nos aspectos de cibersegurança que devam ser implementados por exigências das novas leis. Análise e diagnóstico: Das nacionalidades das bases de dados e suas localizações geográficas (territorialidade)

para fins de aplicação legal Dos tipos de tratamento recebidos pelas bases de dados Das justificativas jurídicas para os tratamentos das bases de dados (legitimidade) Do nível de sensibilidade das bases de dados (princípio da minimização) Do nível de anonimização das bases de dados (se é ou não necessário) Do nível de cibersegurança aplicável às bases de dados (por requisitos legais) Do nível de adequação das soluções terceirizadas de gestão da informação Doss requisitos para a adequada gestão das bases de dados (gestão de consentimentos) Do risco de eventual penalização por infração a alguma regulamentação aplicável às bases

de dados (no estado em que se encontram) Do nível de adequação da documentação (Política de Privacidade, termos de uso, contratos

com fornecedores)

Page 26: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

Solução PIA: Privacy Impact Assessment

26

Etapa 3: Assessoria para implementação do Plano de Ação e Treinamento Nesta etapa é realizada a assessoria especializada para acompanhar a implementação das medidas recomendadas. Pode ser solicitado o apoio na obtenção do selo de conformidade junto ao Organismo de Certificação. É executada uma capacitação para as equipes envolvidas da empresa. Implementar ferramentas protetivas e metodologia para gestão de consentimento (ferramenta de

gestão de logs, criptografia, duplo fator de autenticação)

Atualizar a documentação da empresa para estar em conformidade com as novas regulamentações (Brasil, EUA, Europa, Amércia Latina):

- Contratos (cliente, fornecedor, parceiro, funcionário, SLAs, NDAs) - Termos de Uso - Política de Privacidade e Proteção de Dados Pessoais - Código de Ética - Política de Segurança da Informação

Page 27: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

ESTUDO DE CASO

E

DEBATE

27

Page 28: Dados pessoais como insumo - peckadvogados.com.br · Comércio Eletrônico » Legislação Brasil . CONSENTIMENTO - MCI ... - Política de Privacidade e Proteção de Dados Pessoais

28

www.pppadvogados.com.br

@patriciapeckadv PatriciaPeckPinheiro pppadvogados [email protected] +55 11 3068 0777