direito de acesso, portabilidade e eliminação de dados pessoais: … · 2020-02-16 ·...
TRANSCRIPT
REALIZAÇÃO
Direito de acesso, portabilidade e eliminação de dados pessoais:
como dar efetividade aos direitos dos titulares
Pedro Nachbar Sanches
Sociedade da informação e o valor dos dados
Privacidade
https://teachprivacy.com/privacy-cartoon-know-your-data/
Casos
https://www.nytimes.com/interactive/2018/06/21/opinion/sunday/facebook-patents-privacy.html
Autodeterminação informativa
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
II - a autodeterminação informativa;
Finalidades(art. 9º, I)
Forma e duração(art. 9º, II)
Identidade e ContatoControlador(art. 9º, III e IV)
Uso Compartilhado de Dados(art. 9º, V e art. 18 VII)
Responsabilidades(art. 9º, VI)
Direitos dos Titulares(art. 9º, VII)
Informações mínimas
Consequências do não fornecimento do consentimento (art. 18 VIII).
Case
Limitação
Nenhum direito trazido pela LGPD é absoluto
Confirmação de existência
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:I - confirmação da existência de tratamento;
Acesso
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: II - acesso aos dados;
Qual o limite do acesso?
Artigo 18 § 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.
Recital 63 – GDPR - Where the controller processes a large quantity of information concerning the data subject, the controller should be able to request that, before the information is delivered, the data subject specify the information or processing activities to which the request relates.
Confirmação + Acesso
Mediante Requisição(art. 19)
Simples: ImediatamenteCompleta: 15 dias(art. 19, I e II)
Formato que favoreça o acesso(art. 19, §1º)
A critério do titular:- Meio eletrônico- Impresso(art. 19, §2º)
Prazos sujeitos à regulamentação(art. 19, §4º)
Formato e Prazo
SIMPLES COMPLETA
• Conteúdo não definido
Prazo: imediato
• Origem dos dados
• Inexistência de registro
• Critérios utilizados
• Finalidade do tratamento
Prazo: 15 dias
Retificação
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: III - correção de dados incompletos, inexatos ou desatualizados;
Características essenciais
A importância dos dados dita o nível de esforço visando a qualidade – dados
Informar agentes com quem os dados foram compartilhados(art. 18, §6º) - (impossível ou esforço desproporcional)
Considerado o contexto (ex.: diagnóstico médico inicial equivocado) -
Incompletos, inexatos e desatualizados
Eliminação
Artigo 18 - IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
Artigo 18 - VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
Características
Tratados com consentimento(art. 18, VI)
Desnecessários, excessivos ou em desconformidade(art. 18, IV)
Obs.: anonimização ou bloqueio
Exceções:(art. 16)
• Obrigação legal• Estudo por órgão de pesquisa• Transferência a terceiro
(motivação)• Uso exclusivo do controlador –
conflito anonimização
Informar agentes com quem os dados foram compartilhados(art. 18, §6º) – (impossível ou esforço desproporcional)
Backups x Direito a eliminação
Backups:
- informação que, se deletada, implicará a deleção de outras pertencentes ao mesmo “lote”
Como Fazer?
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasure/
Soluções:
• Se não for possível a eliminação imediata, se certificar de tecnicamente colocar os dados dos backups sujeitos à eliminação “beyond use” (paralelo com papel picado)
• Condições:
- Não utilizar as informações para quaisquer propósitos;
- Não compartilhar/permitir acesso;- Garantir a segurança;- Eliminar, assim que possível.
blockchain
CNIL observes that it is technically impossible to grant the request for erasure made by a data subject when data is registered on a blockchain.
However, when the data recorded on the blockchain is a commitment, a hash generated by a keyed-hash function “state of the art”, the data controller can make the data practically inaccessible, and therefore move closer to the effects of data erasure.
https://www.cnil.fr/en/blockchain-and-gdpr-solutions-responsible-use-blockchain-context-personal-data
Portabilidade
Artigo 18 - V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial.
Condições gerais
Tratamento embasado em consentimento ou execução de contrato(art. 19, §3º) Tratamento realizado em
meios eletrônicos
Dados fornecidos pelo titular
Incluem dados oriundos de atividades do titular (ao usar dispositivo ou serviço)
Ex.: histórico de navegação, dados locacionais, dados de consumo advindos de smart meters
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-data-portability/
Condições gerais
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-data-portability/
Não atinge dados adicionais (ex.: perfil)
obs.: direito de acesso
Considerar informações sobre terceiros (ex.: conta bancária conjunta)
“whether transmitting that data would adversely affect the rights and freedoms
of those third parties.”
“you may have to seek agreement from all the parties involved”
Limites
Segredo comercial e industrial(art. 18, V)
Dados anonimizados(art. 18, §7º)
Regulamentação sobre padrões de interoperabilidade(art. 40)
Responsabilidades
Medidas adequadas à assegurar a transmissão segura e a correta destinação dos dados
Alertar sobre a queda de segurança (ex.: ao prover dados ao titular)
Ao receber dados por meio de portabilidade, avaliar a necessidade e a existência de dados de terceiros
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-data-portability/
Revogação do consentimento
Art. 8 - § 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.
Condições gerais
Mediante Requisição(art. 8º §5º)
A qualquer momento(art. 8º §5º)
Mudanças da finalidade, forma, (art. 8º, §6º)
Sem custos(art. 8º §5º)
Oposição
Artigo 18 - § 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
Decisões Automatizadas
Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
Condições gerais
Decisões que afetem interesses(art. 20)
Limites:
Segredo comercial e industrial(art. 20, §1º)
Auditoria para aspectos discriminatórios(art. 20, §2º)
Definição de perfil pessoal, profissional, de consumo e de crédito etc.(art. 20)
Transparência:
Critérios e procedimentos utilizados(art. 20, §1º)
Exemplos
Decisões automatizadas de concessão de empréstimo
Teste de aptidão de recrutamento, que utiliza algoritmos e critérios pré-programados
Recomendações
Relatório de Impacto à Proteção de Dados:(art. 5º, XVII) - medidas para evitar erros, preconceito e discriminação
• Fornecer informações significativas sobre a lógica envolvida no processo de tomada de decisão, bem como as consequências;
• Utilizar procedimentos matemáticos ou estatísticos apropriados
• Garantir aos titulares:- Expressão de seus pontos de vista;- Explicação da decisão.
• Proteção aos dados proporcional ao risco
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/rights-related-to-automated-decision-making-including-profiling/
Case
https://www1.folha.uol.com.br/tec/2018/10/amazon-desiste-de-ferramenta-de-recrutamento-que-penalizava-mulheres.shtml
Case
The Black Box Society
O que é a “caixa preta dos algoritmos”?
Como entender, investigar ou regular mercados sobre os quais muito pouco – ou mesmo nada – é conhecido?
E se essa ignorância não for uma característica do mercado, mas sim uma estratégia deliberada para evitar qualquer tipo de regulação?
Condições Gerais
Requerimento expressoRepresentante legal(art. 18, §3º)
Direito de petição à ANPD e órgãos de defesa do consumidor(art. 18, §1º e §8º)
Impossibilidade imediata:
- Informar o agente- Razões de fato e de direito(art. 18, §4º)
Sem custos ao titular(art. 18, §5º)
Responsável deve informar imediatamente outros agentes - (impossível ou esforço desproporcional)(art. 18, §6º)
Judicialização (individual ou coletiva) - (art. 22)
Desafios
Validação da identidade
https://iapp.org/news/a/how-to-verify-identity-of-data-subjects-for-dsars-under-the-gdpr/
Validação da identidade – Como Fazer?
Prefira:
• Utilizar o mesmo método que inicialmente serviu à verificação de identidade (ex.: e-mail). Mesma regra aplicável à revogação do consentimento.
• Quanto maior a sensibilidade dos dados, maior deve ser o cuidado com a autenticação.
• Medir o conhecimento do titular sobre os dados relacionados à solicitação.
Se impossível confirmar a partir dos dados fornecidos:
• Informar imediatamente o titular.
• É preferível negar a solicitação, com base no princípio da necessidade, do que agir com excesso de zelo e coletar informações excessivas, visando a autenticação.
Desafios – gerando solicitações
Como fazer?
https://www.bbva.com/en/personal-data-protection-policy/
Encarregado
Como fazer?
https://www.commerzbank.de/portal/en/footer1/datenschutzhinweise/Datenschutzhinweise.html
Encarregado
https://www1.caixabank.es/apl/particulares/gdpr/index_pt.html
Como fazer?
Desafios – gerindo solicitações
MUITO OBRIGADO!