proteção de dados pessoais - capital aberto · proteção a dados pessoais: proibição de...
TRANSCRIPT
Compliance em Proteção de Dados e Segurança da Informação
Proteção de Dados PessoaisConformidade com a LGPD
Compliance em Proteção de Dados e Segurança da Informação
Electronic Numerical Integrator and Computer -ENIAC
Compliance em Proeção de Dados e Segurança da Informação Compliance em Proteção de Dados e Segurança da Informação
Compliance em Proteção de Dados e Segurança da Informação
Privacidade vs. Proteção de Dados PessoaisAmplitude muito maior da proteção de dados pessoais em relação ao direito à privacidade
Privacidade Informacional
Privacidade:
Respeito à vida privada, vida familiar, recato do lar e de sua correspondência
Proteção a Dados Pessoais:
Proibição de processamento inapropriado de informações. Protege os direitos afetados pelofluxo de informações, tais como, direito ao emprego, à família, à liberdade de expressão e avida econômica.
Compliance em Proeção de Dados e Segurança da Informação Compliance em Proteção de Dados e Segurança da Informação
Compliance em Proteção de Dados e Segurança da Informação
Possíveis problemas decorrentes do tratamento de dados ou da violação ao direito à privacidade
Atividade de RiscoTratamento de Dados
Inibição decorrente de observação e monitoramento;
Profiling e predestinação: A partir da agragação e processamento de informações;
Possível distorção da realidade: Imprecisão das ferramentas de analytics;
Discriminação;
Exclusão (redlining);
Perda de controle sobre o fluxo de informação que diz respeito ao titular dos dados;
Limitações à escolha, ensimesmamento.
Compliance em Proteção de Dados e Segurança da Informação Compliance em Proteção de Dados e Segurança da Informação
Compliance em Proteção de Dados e Segurança da Informação Compliance em Proeção de Dados e Segurança da Informação
Regulação em Tensão
Desenvolvimentoda Sociedade
Direito à Privacidade
Soluções Criativas Baseadas em Dados
Proteção dos Titulares de Dados
NOVO PARADIGMA
Compliance em Proteção de Dados e Segurança da Informação Compliance em Proeção de Dados e Segurança da Informação
As leis protegem os dados para proteger as pessoas...
E como uma norma dessa natureza, faz isso?
Por onde as normas começam?
COMPLIANCE SOB MEDIDA
Compliance em Proteção de Dados e Segurança da Informação
O que as normasprotegem?
I. Dado pessoal - dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dadoslocacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa;
Personal Data or PII – data pertaining to a identified or identifiable natural person, including by means ofregistration numbers, locational data or electronic identifiers, whenever those relate to a person;
II. Tratamento de dados pessoais - toda operação realizada com dados pessoais, como as que se referem a coleta,produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento,arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação,transferência, difusão ou extração.
DADO ANÔNIMO - ANONIMIZADO OU DE-IDENTIFICADO
DADO PESSOAL
DADO SENSÍVEL
Compliance em Proteção de Dados e Segurança da Informação
Compliance em Proteção de Dados e Segurança da Informação Compliance em Proeção de Dados e Segurança da Informação
O NÃO VOCÊ JÁ TEM
O tratamento de dados pessoais é uma atividade de risco.
Há tensão entre o desenvolvimento tecnológico/econômico e os direitos dos titulares de dados.
A legislação de proteção de dados limita o tratamento para buscar equilibrar interesses e direitosenvolvidos.
A restrição ao tratamento torna-se a regra.
Compliance em Proteção de Dados e Segurança da Informação Compliance em Proeção de Dados e Segurança da Informação
COM CHEGAR AO SIM?
A LGPD traz condições para que seja possível o tratamento de dados
pessoais:
Requisitos (bases de legitimação);
Princípios;
Direitos dos Titulares;
Controles e Governança.
Compliance em Proteção de Dados e Segurança da Informação
A LGPD autoriza o tratamento de dados pessoais nas seguintes hipóteses:
Bases de Legitimação de Tratamento (Requisitos)
Consentimento do titular;
Cumprimento de obrigação legal ou regulatória pelo controlador;
Execução de políticas públicas pela Administração Pública;
Realização de estudos por órgão de pesquisa (anonimização sempre que possível);
Execução de contrato ou de procedimentos preliminares relacionados a contrato do qualseja parte o titular, a pedido do titular dos dados;
Compliance em Proteção de Dados e Segurança da Informação
Compliance em Proteção de Dados e Segurança da Informação
A LGPD autoriza o tratamento de dados pessoais nas seguintes hipóteses:
Bases de Legitimação de Tratamento (Requisitos)
Exercício regular de direitos em processo judicial, administrativo ou arbitral;
Proteção da vida ou da incolumidade física do titular ou de terceiro;
Tutela da saúde, em procedimento realizado por profissionais da área da saúde ou porentidades sanitárias;
Interesses legítimos do controlador ou de terceiro, exceto no caso de prevaleceremdireitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
Proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Compliance em Proteção de Dados e Segurança da Informação
Compliance em Proteção de Dados e Segurança da Informação
Confirmação da existência de tratamento;
Acesso aos dados;
Correção de dados incompletos, inexatos ou desatualizados;
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou em desacordocom a LGPD;
Portabilidade dos dados;
Eliminação dos dados pessoais tratados com o consentimento do titular;
Informação das entidades com as quais o controlador realizou uso compartilhado de dados;
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências danegativa;
Revogação do consentimento;
Revisão de decisões automatizadas.
Direitos dos Titulares de Dados
Compliance em Proteção de Dados e Segurança da Informação
Compliance em Proteção de Dados e Segurança da Informação
FinalidadeRealização do tratamento para propósitos legítimos, específicos, explícitos e informados aotitular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
AdequaçãoCompatibilidade do tratamento com as finalidades informadas ao titular, de acordo com ocontexto do tratamento;
NecessidadeLimitação do tratamento ao mínimo necessário para a realização de suas finalidades, comabrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidadesdo tratamento de dados;
Livre acessoGarantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração dotratamento, bem como sobre a integralidade de seus dados pessoais;
Qualidade dos dadosgarantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordocom a necessidade e para o cumprimento da finalidade de seu tratamento;
Princípios
Compliance em Proteção de Dados e Segurança da Informação
Compliance em Proteção de Dados e Segurança da Informação
TransparênciaGarantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre arealização do tratamento e os respectivos agentes de tratamento, observados os segredoscomercial e industrial;
SegurançaUtilização de medidas técnicas e administrativas aptas a proteger os dados pessoais deacessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração,comunicação ou difusão;
PrevençãoAdoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dadospessoais;
Não discriminaçãoImpossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
Responsabilização e prestação de contasDemonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar aobservância e o cumprimento das normas de proteção de dados pessoais e, inclusive, daeficácia dessas medidas.
Princípios
Compliance em Proteção de Dados e Segurança da Informação
Compliance em Proteção de Dados e Segurança da Informação
Segurança desde a Concepção e Sigilo;
Boas Práticas e Governança;
Nomeação de Encarregado (DPO);
Relatórios de Impacto à Proteção de Dados (DPIA);
Comunicação de Incidentes que Envolvam Dados Pessoais;
Limitação ao Uso de Dados Pessoais Sensíveis;
Requisitos para transferência internacional (e.g Normas Corporativas
Globais/Cláusulas-Padrão).
Controles para o Tratamento de Dados Pessoais
Compliance em Proteção de Dados e Segurança da Informação
Compliance em Proteção de Dados e Segurança da Informação
Controles e Governança
Direiro dos TitularesPrincípios
Requisitos para Tratamento
CONFORMIDADE EM QUATRO CAMADAS
NãoSim
Compliance em Proteção de Dados e Segurança da Informação
Desmistificando o GDPR
DIRETIVA 95
Compliance em Proeção de Dados e Segurança da Informação GDPR: COMPLIANCE SOB MEDIDA
GDPR
Compliance em Proteção de Dados e Segurança da Informação
OUTBOUND (Você afeta a Europa)
Compliance em Proeção de Dados e Segurança da Informação
Processador/Controlador Estabelecidos na UE.
Oferta de bens e serviços intencional a titulares de dadosque se encontrem na UE.
Monitoramento de sujeitos de dados que se encontrem naUE.
Escopo Territorial do
GDPR
GDPR: COMPLIANCE SOB MEDIDA
Efeitos no Brasil
Compliance em Proteção de Dados e Segurança da Informação
Manter Inventário e Fluxos de Dados (Data Mapping)Manter e gerir inventário de dados pessoais, com a devida classificação destes, bem como o controle de seusfluxos nos sistemas e processos das organizações;
Manter Estrutura de GovernançaAtribuir responsabilidades (verticais e horizontais) no que respeita ao cumprimento das obrigações estabelecidaspelo MCI;
Manter Política Interna de PrivacidadePolítica que aponta para os colaboradores as práticas da companhia;
Manter Política de PrivacidadeExterna. Revisada periodicamente. Voltada a clientes;
Manter Programa de Treinamento e AwarenessColaboradores treinados de acordo com a Política Interna de Privacidade.
Compliance em Proteção de Dados Pessoais – Sob Medida
Compliance sob Medida
Compliance em Proteção de Dados e Segurança da Informação
DPIAElaboração de Relatório de Impacto à Privacidade (“RIP”);
Os chamados relatórios de impacto a privacidade são previsto tanto da GDPR, quanto na LGPD. Relatórios(pretéritos) poderão ser solicitados pelo regulador a qualquer tempo (em casos de data breach ou outro tipo deinvestigação).
O RIP levará em conta a natureza, forma, contexto e finalidades do tratamento de dados pessoais realizado noUH com relação aos hóspedes e produzirá relatório descritivo-analítico que indicará: (i) as operações detratamento; (ii) as fontes e inventários de dados; (iii) proporcionalidade entre operação e os dados coletados; (iv)avaliação de riscos e sugestão de tratamento ideal e mitigação.
Segurança da InformaçãoEspecífica para Proteção de Dados
Compliance em Proteção de Dados Pessoais – Sob Medida
Compliance sob Medida
Compliance em Proteção de Dados e Segurança da Informação
Alcance
Compliance em Proeção de Dados e Segurança da Informação
Regulação que tem efeitos em
cadeia.
Compliance em Proteção de Dados e Segurança da Informação Compliance em Proeção de Dados e Segurança da Informação
Leis de Proteção de Dados
são, em geral, a bit....
E é o regulador quem faz a
modulação....
COMPLIANCE SOB MEDIDA
Monitoramento e Relacionamento
Compliance em Proteção de Dados e Segurança da Informação
Confiança
Compliance em Proteção de Dados e Segurança da Informação
Muito mais do que regras...
Muito mais do que uma
lei...
NOVO PARADIGMA
Compliance em Proteção de Dados e Segurança da Informação Compliance em Proeção de Dados e Segurança da Informação
COLOCANDO A REPONSABILIDADE PELA CONFIANÇA EM QUEM PROVOCA O RISCO
"an obligation or willingness to accept responsibility or to account for one's actions". -
www.merriam-webster.com/dictionary/accountability
"the obligation of an individual or organization to account for its activities, accept responsibility
for them, and to disclose the results in a transparent manner” -
www.businessdictionary.com/definition/accountability.html
NOVO PARADIGMA
Compliance em Proteção de Dados e Segurança da Informação
The Paper Chase
Compliance em Proteção de Dados e Segurança da Informação
Disclose Results...
COMPLIANCE SOB MEDIDA