Introducing 

Prezi AI.

Your new presentation assistant.

Refine, enhance, and tailor your content, source relevant images, and edit visuals quicker than ever before.

Loading…
Transcript

LEI GERAL DE PROTEÇÃO DE DADOS

CONFORMIDADE, INOVAÇÃO E DIFERENCIAL COMPETITIVO

PDK ADVOGADOS

3.

MOTIVOS PARA SE ADEQUAR À LEI

1.

PROTEÇÃO DE DADOS

5.

EQUIPE

4.

PLANO DE ADEQUAÇÃO PERSONALIZADO

2.

OBRIGAÇÕES NO TRATAMENTO DE DADOS

MUDANÇA DE PARADIGMAS:

Estudo realizado com 12.500 pessoas em 14 países avaliou a reação dos consumidores para com as empresas nas quais confiam seus dados:

  • 59% gastariam mais dinheiro em organizações confiáveis no tratamento de dados.

  • 27% estariam dispostos a gastar 25% mais em organizações que tratam seus dados com seriedade.

Marcas envolvidas em incidentes de dados/despreocupadas com a proteção de dados:

  • 62% dos consumidores deixariam de comprar.

  • 48% abandonariam a lealdade dessa marca e buscariam um concorrente.

  • 65% postariam comentários negativos na Internet.

  • 81% avisariam amigos e familiares para que também boicotassem a organização.

  • 74% buscariam denunciar o negócio a órgãos reguladores.

Fonte: Veritas Global Data Privacy Consumer Study, 2018.

O Brasil é o país mais propenso a sofrer violações de segurança no mundo. O risco é de 43% em uma empresa brasileira sofrer um ataque, muito acima de países com cultura de segurança cibernética estabelecida, como Alemanha (com 14%) e Austrália (17%).

Fonte: IBM Security e Instituto Ponemon.

*

Toda informação relacionada a pessoa natural identificada ou identificável.

DADO PESSOAL

Art. 5º, I

Dado pessoal de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou vida sexual, dado genético ou biométrico, quando vinculado a pessoa natural.

DADO SENSÍVEL

Art. 5º, II

TRATAMENTO

Art. 5º, X

Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

*

Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

TITULAR

Art. 5º, V

Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

CONTROLADOR

Art. 5º, VI

Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

OPERADOR

Art. 5º, VII

OBRIGAÇÕES TRAZIDAS

PELA LGPD

BASE LEGAL DE TRATAMENTO

RESPEITO AOS DIREITOS DO TITULAR DE DADOS

OUTRAS OBRIGAÇÕES LEGAIS

BASE LEGAL DE TRATAMENTO - Art. 7º

Para que a empresa possa tratar o dado ela precisa sustentar esse tratamento em uma das dez hipóteses estabelecidas na lei, são elas:

6. POLÍTICAS PÚBLICAS

7. PROTEÇÃO DA VIDA

8. TUTELA DA SAÚDE

9. PESQUISA

10. PROTEÇÃO DO CRÉDITO

1. CONSENTIMENTO

2. OBRIGAÇÃO LEGAL OU REGULATÓRIA

3. EXERCÍCIO REGULAR DO DIREITO EM PROCESSO JUDICIAL, ADMINISTRATIVO OU ARBITRAL

4. EXECUÇÃO DE CONTRATO

5. LEGÍTIMO INTERESSE

A ALMA DOS CONSUMIDORES PERTENCE À GAMESTATION

Loja de games colocou nos termos e condições uma cláusula que lhes dá direito a alma dos clientes.

"Ao fazer uma encomenda através deste website, concorda em conceder-nos uma opção não transferível para reclamar, por agora e para sempre, a sua alma imortal. Caso desejemos exercer esta opção, concorda em entregar a sua alma imortal, e qualquer reclamação que possa ter sobre ela, no prazo de 5 (cinco) dias úteis após receber notificação por escrito do gamesation.co.uk ou de um dos seus lacaios devidamente autorizados".

O formulário da GameStation indica também que "reservamo-nos o direito de servir tal notificação em letras de fogo de 6 (seis) pés de altura, contudo não podemos aceitar qualquer responsabilidade por qualquer perda ou dano causado por tal ato. Se a) não acreditar que tem uma alma imortal, b) já a deu a outra parte, ou c) não desejar conceder-nos tal licença, por favor clique no link abaixo para anular esta sub-cláusula e prosseguir com a sua transação".

Mais de 7,5 mil clientes (88%) deixaram de clicar uma simples caixa de seleção que revertia a cláusula.

*

DIREITOS DO TITULAR DE DADOS

  • DIREITO DE INFORMAÇÃO (LIVRE ACESSO)

  • DIREITO À SEGURANÇA QUANTO AOS SEUS DADOS

  • DIREITO À RETIFICAÇÃO (QUALIDADE DOS DADOS) OU ELIMINAÇÃO DOS DADOS

  • RESPONSABILIDADE DOS AGENTES DE TRATAMENTO

OBRIGAÇÕES LEGAIS

  • Data Protection Officer (DPO).

  • Canal de reclamações e comunicações para titulares.

  • Treinamentos internos garantindo técnicas e processos seguros.
  • Provar bases legais e manter registro de todos os processos.

  • Adoção de medidas de prevenção contra incidente de dados.

  • Comprovação de segurança e eficácia.

Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

IMPORTÂNCIA DA ADEQUAÇÃO:

MAIS QUE UMA SIMPLES OBRIGAÇÃO LEGAL

  • Penalidades administrativas
  • Tripla fiscalização
  • Licitações
  • Diferencial competitivo
  • Grandes players
  • Compliance trabalhista

PENALIDADES ADMINISTRATIVAS

  • Advertência.

  • Multa de até 2% do faturamento da pessoa jurídica no seu último ano de exercício (com uma limitação de 50 milhões de reais por infração).

  • Multa diária observando a limitação citada acima.

  • Bloqueio dos dados pessoais.

  • Eliminação desses dados pessoais da base de dados da instituição.

  • Suspensão ou proibição da atividade de tratamento desses estados.

  • Publicação da infração.

Início previsto:

1º de agosto de 2021

TRIPLA FISCALIZAÇÃO

ANPD

Multa de 6,6 milhões de reais aplicada pelo Ministério da Justiça e Segurança Pública brasileiro frente ao Facebook (caso “Cambridge Analytica”).

Multa de 10 milhões de reais pode ser imposta à Telefônica (VIVO) pelo Procon-SP, em razão da exposição de dados pessoais de clientes em seu site.

Multa de 1,5 milhão de reais pelo vazamento de dados de mais de 19 mil correntistas paga pelo Banco Inter após acordo com o MPDFT, que pedia 10 milhões de reais.

Multa de 10 milhões de reais pelo vazamento de dados de mais de 260 mil clientes pedida pelo MPDFT em ação contra a Atlas Quantum.

ORGÃOS DE DEFESA

CONSUMIDORES

*

Art. 52, § 2º - As sanções administrativas trazidas na LGPD não substituem a aplicação de sanções administrativas, civis ou penais definidas no Código de Defesa do Consumidor e em legislação específica.

CASO CYRELA

- Divulgação de dados pessoais para parceiros, estes foram informados sobre cliente da Cyrela que adquiriu determinado imóvel e o abordaram para oferecer seus próprios serviços, utilizando o produto imobiliário como referência das ofertas.

- O titular recebeu dezenas de abordagens (arquitetos, corretores imobiliários e de seguros, lojas de móveis etc).

- Liminar: multa diária de R$ 300,00 limitada ao total de R$ 100.000,00, em caso de descumprimento.

- Sentença: Cyrela condenada em R$ 10.000,00 por dano moral e R$ 300,00 por cada contato indevidamente realizado por seus parceiros.

SECRETARIA NACIONAL DO CONSUMIDOR - SENACON:

- "Ilícitos de consumo no âmbito digital"

- O órgão integrante do Ministério da Justiça possui 34 processos administrativos em andamento envolvendo uso indevido de dados pessoais de titulares em plataformas digitais.

- Algumas ações envolvem comércio ilegal de banco de dados pessoais, disfarçados de aquisições de empresas e o compartilhamento em massa de dados de localização, IP, idade e sexo dos usuários.

CASO BIOMETRIA FACIAL

- Estudante X CONSORCIO DE TRANSPORTES DA REGIAO METROPOLITANA DO RECIFE LTDA e URBANA-PE - SINDICATO DAS EMPRESAS DE TRANSPORTES DE PASSAGEIROS NO ESTADO DE PERNAMBUCO.

- Solicitação de fornecimento de dado pessoal sensível sem disponibilização de política de privacidade e tratamento dos dados pessoais da empresa.

- O amparo em base legal não exime o agente de garantir os direitos do titular: no caso houve desconformidade com os princípios de livre acesso, informação e prestação de contas, além de tratamento incorreto do dado pessoal sensível.

- Sem o fornecimento do dado não foi possível realizar a recarga e atualização do bilhete eletrônico, havendo limitação da locomoção do estudante por meio do transporte público.

LICITAÇÕES

  • Tendência: exigência de LGPD como critério de habilitação jurídica.

  • Lei 12.846 - estimula, mas não obriga, a implantação de compliance anti corrupção

  • Estados que já exigem programas de integridade: Amazonas, Distrito Federal, Espírito Santo, Goiás, Mato Grosso, Rio de Janeiro e Rio Grande do Sul.

  • Estados com Projetos de Lei no mesmo sentido: São Paulo, Tocantins e Bahia.

CONTRATAÇÃO PÚBLICA

IMPOSIÇÃO LEGAL

Lei de Licitações

(Lei nº 8.666/93)

Nova Lei de Licitações

(PL 1292/95)

Previsão de obrigatoriedade do licitante vencedor implantar programa de integridade, no caso de licitações de obras, serviços e de fornecimento de

grande vulto.

Defasagem dos modelos de integridade.

Surgimento da Lei nº 12.846/13 (Lei Anticorrupção) e a

exigência do compliance para as

contratações pública.

Compliance como determinação legal.

DIFERENCIAL COMPETITIVO

CUIDADO NA ESCOLHA DE FORNECEDORES E PARCEIROS

RISCO: Responsabilidade solidária entre controlador e operador na indenização ao titular dos dados.

SOLUÇÃO: Mitigação de riscos.

  • Diligência prévia de compliance com a LGPD no momento da contratação de fornecedores e parceiros.

  • Contratos com cláusulas de segurança de dados, evidenciando a diligência realizada e estabelecendo obrigações de fiscalização e prestação de contas.

  • Políticas internas de proteção de dados bem definidas.

GRANDES PLAYERS

LGPD NAS RELAÇÕES DE TRABALHO

Pré-contratual

1. Seleção e recrutamento passam a demandar consentimento inequívoco do candidato.

2. Inclusão em banco de dados e participação em processos seletivos para outros cargos

3. Finalidade de utilização dos dados.

4. Período de guarda dos dados. “right to be forgotten”.

Durante o contrato de trabalho

1. Tratamento de dados exigidos por leis e dados necessários na atividade da empresa.

2. Mapeamento dos dados sensíveis e das bases legais possíveis.

3. Consentimento pode ser considerado coação – necessário utilizar uma diversidade maior de bases legais.

A legislação determina a guarda de documentos e dados trabalhistas:

  • Rescisão de contrato: 2 anos.
  • Aviso prévio: 2 anos.
  • Pedido de demissão: 2 anos.
  • Cadastro Geral de Empregados e Desempregados (Caged): 3 anos.
  • Recibos diversos (salários, 13º salário, férias): 5 anos.
  • Controle de ponto: 5 anos.
  • Guia da Previdência Social: 5 anos.
  • Folha de pagamento: 10 anos.
  • RAIS: 10 anos.
  • Exames médicos: 20 anos.
  • FGTS: 30 anos.
  • Contrato de trabalho: prazo indeterminado.

Pós-contratual

MANUTENÇÃO DE DADOS DE CANDIDATOS NÃO SELECIONADOS

Os dados serão utilizados só por aquela empresa ou pelo grupo empresarial (descrever quais empresas terão acesso).

Descarte: perda de finalidade (quando os dados foram enviados para uma vaga específica e não há qualquer coleta prévia de consentimento para manutenção dos dados

Que os dados só serão utilizados para processos seletivos que correspondam a vagas relacionadas com o perfil do candidato.

Dados de candidatos não selecionados

O prazo máximo de manutenção do currículo na base de dados da empresa.

Coletar o consentimento do titular previamente para manutenção dos dados em banco de currículos. É imprescindível que fique claro.

Que o candidato pode, a qualquer momento, solicitar que deseja excluir seu currículo daquele banco (bem como haja cessamento de utilização ou apagamento de suas informações.

CUIDADOS PRÉ-CONTRATUAIS

ANÁLISE DE ANTECEDENTES CRIMINAIS

BACKGROUND

CHECK

TRATAMENTO DE DADOS

ANÁLISE

FINANCEIRA

COMO É REALIZADO O PROCESSO SELETIVO

- Análise de crédito do empregado.

- Relacionar com a finalidade específica para o cargo.

- Jurisprudência do TST; quando a função ou as condições do trabalho exigem a fidúcia específica.

- O empregador deverá adotar formas para tratamento dos dados sensíveis e não sensíveis.

- Dados da vida regressa do empregado.

- Carta de recomendação.

- Análise dos dados selecionados para cada função dentro da empresa.

- Hipóteses legítimas para utilização dos dados.

ELABORAÇÃO DE "POLÍTICAS"

Os colaboradores devem ter ciência e anuir o teor das políticas no contrato de trabalho ou em seus aditivos.

No cenário instaurado pela LGPD é fundamental que as empresas elaborem suas "políticas" (de segurança de informação, de uso de e-mails corporativos, de uso de rede interna, de governança corporativa, etc).

FASE 1 - DIAGNOSTICO, DATA MAPPING

E ANÁLISE DE RISCO

• Data Dilligence e Diagnóstico (mensuração de exposição da empresa à LGPD): Identificação dos dados, departamentos, meios (físico ou digital), operadores internos e externos realizando tratamento

• Data mapping - classificação do tipo de dado, base legal, tratamento sofrido, designação e finalidade;

• Auditoria de tratamento de dados;

• Planejamento e cronograma adaptados ao modelo de negócio;

• Planos de ação (roadmaps).

DIAGNÓSTICO, DATA MAPPING E ANÁLISE DE RISCO

FASE 2 - PLANO DE AÇÃO PERSONALIZADO, GOVERNANÇA E TREINAMENTOS

PLANO DE AÇÃO PERSONALIZADO, GOVERNANÇA E TREINAMENTOS

  • Nomeação do DPO - Data Protection Officer (Encarregado de Dados)

  • Criação de portal e/ou banco de dados para controle dos pedidos dos titulares dos dados (acesso, confirmação, consentimento, portabilidade etc.)

  • Procedimentos de segurança dos dados pessoais - revisão e criação de documentos (contratos, termos, políticas) para uso interno e externo

  • Capacitação da liderança interna.

  • Atualização do data mapping corrigindo possíveis gaps.

Presenting data

EXECUÇÃO DO PLANO E IMPLEMENTAÇÃO DAS POLÍTICAS

FASE 3 - EXECUÇÃO DO PLANO E IMPLEMENTAÇÃO DAS POLÍTICAS

  • Relatório matriz de riscos e plano de resposta em episódio de vazamento;

  • Implementação do roadmap;

  • Elaboração de contratos, documentos e termos necessários;

  • Prevenção de Conflitos de Dados - Cláusula compromissória de mediação (Art. 52, §7º);

  • Avaliação da TI/Segurança de dados com Pentest - teste de intrusão para evitar ataques cibernético, e adoção das medidas de segurança da informação aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas;

TECNOLOGIAS EM EVIDÊNCIA

  • Criptografia de documentos.

  • VPN ("Servidor" em um canal criptografado).

  • Transferência de arquivos com senha (ex: ZIP, Office...).

  • Wi-fi seguro.

  • Filtragem e registro de acessos à pastas e documentos contendo dados pessoais.

  • Anonimização de dados.

FASE 4 - MANUTENÇÃO

• Fiscalização interna e preparação para fiscalização externa;

• Conexão DPO, controlador/administração e ANPD;

• Treinamentos em Governança de Tratamento - engajamento em boas práticas e governança com procedimentos, normas de segurança, ações educativas e mitigação de riscos no tratamento de dados pessoais;

• Mapeamento estratégico permanente.

MANUTENÇÃO

"Compliance é um processo, não um estado."

EQUIPE ESPECIALISTA EM LGPD

Monique Macedo

Raphael Araujo

Ted Pontes

Ilo Igo Marques

Raul Amaral

Marcus Souza

monique.macedo@ramaral.com

raphael.araujo@ramaral.com

ted.pontes@ramaral.com

ilo.marques@ramaral.com

raul.amaral@ramaral.com

marcus.souza@ramaral.com

Av. Santos Dumont, 2456 | 16º e 17º andares | Aldeota | Fortaleza-CE | CEP: 60.150-162 | Tel.: +55 85 3311-9199

Learn more about creating dynamic, engaging presentations with Prezi