Como proteger o capital investido nos negócios de tecnologia e na economia
digital
3
Fonte: ERICLEMERDY disponível em https://openclipart.org/detail/13677/servers, JCARTIER https://openclipart.org/detail/17332/wireless- AUTOR DESCONHECIDO http://www.upcane.org/ sis/en/images/gps.png; http://www.dkrz.de/bilder/bilder-klimarechner/copy_of_TapeLibraryInside400.jpg;
http://s486.photobucket.com/user/PANGARESIM/media/imagens/Upload.png.html JEAN_VICTOR_BALIN https://openclipart.org/detail/22671/graphicsrounded acessado em 19.05.2015. Finalidade educacional.
10101010101011101 01010101010100101 01010110101110101 10101010101010101 01101010101010111 01010101010101001 01010101101011101 01101010101010101 01011010101010101 11010101010101010 01010101011010111 01011010101010101 01010110101010101 01110101010100101 10100101011010100
110101010101010100 101010101101011101 011010101010101010 101101010101010111 010101010101010010 101010110101110101 101010101010101010 110101010101011101 010101010101001010 101011010111010110 101010101010101011 010101010101110101 010100101010101101 010110101010101010 101010
Os dados são o ativo mais valioso
da Sociedade Digital
“If something is free, you’re
paying for it with your data. The
age of privacy is over. ”
5
Qual é a sua estratégia de dados?
Mais de 70% dos funcionários têm acesso a dados aos quais não deveriam ter;
80% do tempo dos analistas é gasto simplesmente descobrindo e preparando dados;
Solução: As empresas precisam de uma estratégia coerente
para atingir o equilíbrio adequado entre dois tipos de gestão
de dados: defensiva, como segurança e governança, e
ofensiva, como análise preditiva.
Espectro da estratégia de dados em diversos setores
7
Defesa
Ataque
Hospitais: Operam em ambientes altamente regulados, onde a qualidade e proteção dos dados são de suma importância. Enfatizam a defesa em vez do ataque.
Bancos: São fortemente regulados e exigem sólida defesa de dados. Como operam em mercados dinâmicos, costumam dedicar igual atenção ao ataque de dados.
Varejistas: São menos regulados.
Trabalham com dados pessoais confidenciais e limitados e devem reagir prontamente à competição e às mudanças de mercado. Em geral preferem o ataque à defesa.
Fonte: Harvard Business Review –Junho 2017
“Dados menores e abstratos que não têm nenhuma importância isoladamente adquirem grande valor quando são cruzados com as ‘curtidas’
no Facebook, por exemplo” .
(Tanya O´Carroll – Anistia Internacional)
É lícito o comércio dos dados?
9
LEI ANTERIOR Necessidade de Consentimento Prévio
NOVA LEI
A regra é a possibilidade da venda. Caso o
usuário não queira, deverá informar o provedor de acesso.
Fonte: El País. Disponível em:
<http://brasil.elpais.com/brasil/2017/03/28/internacional/1490738196_593249.html> Acesso em: 26.06.2017
É lícito o comércio dos dados?
11
Desafios: padronização de conceitos
✓ Até onde vão os direitos comerciais por contratos, termos de uso e políticas de privacidade (propriedade intelectual e outros) e inicia a proteção por conta de direitos humanos?
✓ O que é o legítimo interesse?
✓ O que é anonimização de dados? Como aplicar e demonstrar?
✓ No que consiste na prática o direito a portabilidade de dados?
✓ A exclusão da base de dados solicitada pelo cliente (usuário), envolve excluir o que (tudo, o que ele informou no cadastro, o
que foi enriquecido com informações vindas de outros ambientes,
coletadas a partir de terceiros)
Autoria: Patricia Peck Pinheiro 2017
Tendências para regulamentação de dados
13 Autoria: Patricia Peck Pinheiro 2017
Tendências para regulamentação de dados
Tendência mundial
▪ Caráter protecionista;
▪ Entrada em vigor da Lei Geral de Proteção de Dados em Maio de 2018 para todos os Estados- membros da UE;
▪ Exige o consentimento prévio para utilização dos dados;
▪ Caráter liberal;
▪ Presidente Donald Trump anulou a Lei de Privacidade em 3 de abril de 2017;
▪ Matéria legislada de forma estadual;
▪ Os provedores podem utilizar os dados sem o consentimento.
▪ Matéria contratual;
15
UE
Legislação uniforme GDPR Exige gestão do ciclo de vida
(demanda vários
consentimentos específicos para compartilhar, para enriquecer, para uso de
nuvem fora da UE Requisito de Criptografia
Direito de Portabilidade Aplica Nacionalidade +
Territorialidade
Atrelou tudo a Human Rights
EUA
Legislação por Estado NYC vem discutindo ajustes
na Legislação Safe Harbour (para atender UE) Privacy (está mais relacionado com human rights e freedom of speech), tem tratamento diferente de Data Protection (relacionado
a negócio, questões comerciais, hoje menos
restritivas)
Prevalece o princípio da governança por contratos (tanto para PF como para PJ, mesmo relações consumidor)
BRASIL
Não possui ainda lei específica de proteção de dados (PL 5276/2016 mais
avançado) Pelo MCI exige 1 consentimento prévio e
expresso na Política de Privacidade com cláusula específica (bases coletadas
via web) senão relação é regida pelo CDC (consumidor) ou NCC (relações entre empresas) +
CF/88 e algumas leis específicas (Lei Interceptação, Lei 105 –
sigilo bancário, LAI)
Tendências para regulamentação de dados
What was Safe Harbor?
• The Safe Harbor Framework, which was negotiated between the EU and United States in 2009, was the primary – and often sole – mechanism under which more than 4,400 companies of all sizes, and across all industries, legally transferred data from Europe to the United States for the past 15 years. During that time, the transatlantic trade relationship thrived, creating new jobs and new prosperity in both Europe and the United States.
• On October 6, 2015, the Court of Justice of the European Union (CJEU)
effectively invalidated the Safe Harbor Framework on the basis that the
European Commission had not appropriately evaluated whether the
United States maintains “essentially equivalent” protections of EU citizen
data.
EU-US Privacy Shield
Fonte: http://www.itic.org/safeharbor 17
•Strong Obligations for Companies’ Handling of EU Citizens’ Data
•Clear Safeguards and Transparency Obligations for U.S. Government Agency Access
•New Redress and Complaint Resolution Mechanisms for EU Citizens
Safe Harbour & EU-US Privacy Shield
Fonte:
http://www.europarl.europa.eu/thinktank/en/document.html?reference=EPR
Binding Corporate Rules
• Binding Corporate Rules ("BCR") are internal rules (such as a Code of Conduct) adopted by multinational group of companies which define its global policy with regard to the international transfers of personal data within the same corporate group to entities located in countries which do not provide an adequate level of protection.
19
Mecanismo necessário para permitir a transferência de dados entre empresas multinacionais americanas e europeias.
Fonte: http://ec.europa.eu/justice/data-protection/international- transfers/binding-corporate-rules/index_en.htm
GDPR – General Data Protection Regulation
• Passará a produzir efeitos a partir de 25 de Maio de 2018;
• Previsão de penalidades de 4%
dos lucros anuais do Grupo Econômico ou 20 milhões de Euros (será aplicado o maior valor).
• A regulação também se aplica a companhias fora da UE que processam dados de indivíduos europeus.
Fonte: https://www.itgovernance.co.uk/blog/eu- gdpr-infographic-what-the-new-regulation-means- in-1-minute/
Importância da aprovação brasileira da Lei de Proteção de Dados Pessoais
• Caso não seja aprovada a Lei de Proteção de Dados Pessoais, o Brasil será considerado um país sem o nível de proteção adequado. Isto implicará em:
• Fuga de capital estrangeiro do país – Foreign Direct Investment (FDI);
• Inviabilidade para o processamento de dados de cidadãos europeus;
• Impossibilidade de trazer dados como matéria-prima para os negócios no Brasil.
21
Cenário brasileiro
É equivocado dizer que no Brasil não há normas de proteção de dados.
Falta, contudo, uma lei que regulamente de forma abrangente a proteção dos cidadãos, a fim de extrapolar uma proteção meramente setorial.
Falta, contudo, uma lei que regulamente de forma
abrangente a proteção dos cidadãos, a fim de
extrapolar uma proteção meramente setorial.
23
Exemplos de leis setoriais de proteção de dados:
Leis setoriais brasileiras
Framework legal de Proteção de Dados no Brasil
FRAMEWORKDE PROTEÇÃO DE DADOS PESSOAIS NO BRASIL
Constituição Federal/1988 Art. 5º, inciso X, incisos XI e XII Art. 5º, inciso LXXII
Código Civil –Lei nº 10.406/2002 Art. 20 e 21
Código de Defesa do Consumidor –Lei nº 8.078/1990 Art. 43
Lei do SAC - Decreto nº 6.523/2008 Art. 11
Lei do Cadastro Positivo –Lei nº 12.414/2011 Art. 3º, 5º, 9º
Marco Civil da Internet –Lei nº 12.965/2014
Art. 3º, incisos II e III Art. 7º, incisos I, II, III, VII, VIII
Art. 8º Art. 15 Art. 10 Decreto do Marco Civil da Internet –Decreto nº Art. 13º
Violação da Base de Dados sem consentimento
25 Disponível em: http://www.valor.com.br/empresas/3623962/oi-recebe-multa-de-r-35-milhoes-por-violar-privacidade-de-clientes
PROJETO DE LEI Nº 4060/2012 Nº 330/2013 Nº 5276/2016
Sistema de Adesão
Autorização anterior por qualquer meio que permita a manifestação de vontade (art.12)Consentimento prévio e expresso com
respeito a:
• coleta
• tratar dados sensíveis
• interconexão com banco de dados privados
Consentimento livre, informado e
inequívoco
Tratamento
Enriquecimento
Toda operação ou conjunto de
operações, [...] que permita o
armazenamento, ordenamento [...] de dados pessoais
Qualquer operação ou conjunto de
operações, em um ou mais bancos de dados, independentemente do mecanismo
utilizado (Art.3º III)
Toda operação
realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação,
utilização, [...] difusão
27
PROJETO DE LEI Nº 4060/2012 Nº 330/2013 Nº 5276/2016
Compartilhamento Internacional
Permitido
• empresas do mesmo grupo,
• parceiros comerciais
• terceiros
relacionados no tratamento.
(art.14)
Permitido
• Interesses legítimos dos proprietários (art.12)
• Internacional (acordo prévio)
Permitido
• Condições (Art.33)
• Limitações ao Poder Público (art.26,27,28)
Exclusão
Bloqueio (art.19) Exclusão oudissociação gratuita de dados pessoais;
A exclusão automática (art.7,VIII)
Eliminação a qualquer momento dos dados cujo o tratamento tenha consentido (art.18,VI)
Portabilidade
_ _
Portabilidade,
mediante requisição, de seus dados
pessoais a outro
fornecedor de serviço ou produto (Art.18,V)
PROJETO DE LEI Nº 4060/2012 Nº 330/2013 Nº 5276/2016
Penalidades
Sanções previstas no Código de Defesa do Consumidor, sem prejuízo das demais sanções de natureza civil e penal cabíveis.
(Art.21)
• Multa
• Suspensão temporária de atividade
• Intervenção administrativa
• Interdição, total ou parcial da atividade
• Sanções civis e penais(Art.15)
• Multa simples ou diária
• Publicização da infração
• Anonimização dos dados pessoais
• Bloqueio dos dados pessoais
• Suspensão de operação de tratamento de dados pessoais
• Cancelamento dos dados pessoais
• Suspensão de
funcionamento de banco de dados
Comparativo Projetos de Lei – Artigo 19
29
Pesquisa disponível em: <http://artigo19.org/wp-
content/blogs.dir/24/files/2017/01/Prote%C3%A7%C3%A3o-de-Dados-Pessoais- no-Brasil-ARTIGO-19.pdf> Acesso em: 16 mai.2017
PROTEÇÃO DE DADOS PELA AMÉRICA LATINA
LATAM Proteção de dados pessoais
Argentina Lei nº 25.326/2000 –Lei de Proteção de Dados Pessoais
Chile Projeto de Lei para atualizar a lei (em andamento – desde 2011) Lei 19.628/1999 – Lei de Proteção de Dados Pessoais
Colômbia Lei nº 1581/2012 - Lei Geral de Proteção de Dados Pessoais
Decreto nº 1.377/2013 – Regulamenta a Lei Geral de Proteção de Dados Pessoais
México Lei Federal de Transparência e Acesso à Informação Pública Governamental Lei Federal de Proteção de Dados Pessoais em Poder de Particulares (2010) Panamá Projeto de Lei sobre Proteção de Dados Pessoais (em andamento)
Lei nº 06/2002 – Lei de Transparência e Acesso à Informação Pública Peru Lei nº 29.733/2011 –Lei de Proteção de Dados Pessoais
Uruguai Lei n° 18.331/2008 –Lei de Proteção de Dados Pessoais
Chief Privacy Officer
Responsável por toda a privacidade dos dados de uma organização, bem como por evitar (combater, prevenir, coibir) vazamentos de informação e qualquer utilização inadequada das bases de dados que venham a ferir as regras para os quais foram obtidos ou leis específicas sobre sua guarda (dependendo do segmento em que a empresa esteja atuando).
31
Estudos mostram que 30% dos CPOs são
advogados ou possuem alguma formação jurídica
e 15% deles estão alocados no departamento de
segurança da informação ou de algum modo
possuem relação direta com o Security Officer.
Chief Privacy Officer
Se a sua empresa ainda não tem um CPO, por certo é um cargo que deverá ser criado nos próximos anos.
Objetivo: facilitar que a empresa faça negócios em
países que já possuem leis de proteção de dados
pessoais e que são mais rigorosos nas exigências
sobre privacidade.
SEGURANÇA DIGITAL
33
Ransomware
Fonte: http://www.valor.com.br/internacional/4966934/megaciberataque- derruba-sistemas-de-comunicacao-ao-redor-do-mundo;
http://www.valor.com.br/empresas/4967124/ataque-de-hackers-atinge-o- brasil-inss-do-rio-e-tj-sp-sao-afetados - Acesso em: 16 mai. 2017
Pesquisa IBM, Arxan Technologies e Ponemon Institute
publicada em janeiro/2017
35
1. Empresa precisa fazer realizar um parecer de análise quanto ao Compliance a
Regulamentações de Privacy and Data Protection da sua operação, considerando os seguintes indicadores:
✓ Onde está a matriz da empresa?
✓ Onde está seu principal (ou principais) mercados?
✓ Qual a origem da base de dados principal e secundária (geolocalização dos dados)?
✓ Os dados são de origem PF, PJ, ou mista?
✓ Onde os dados estão sendo armazenados (principal e redundância)?
✓ Qual a nacionalidade dos dados (matriz de nacionalidades)?
2. Com base no diagnóstico, implementar as medidas técnica e legais para ficar em
conformidade com as regras conforme a matriz regulatória a ser montada pela aplicação dos mínimos denominadores comuns entre as legislações (legal cross relations matrix) 3. Para fins de atender GDPR é necessário apresentar este parecer de conformidade
preliminar (a legislação EUA e Brasileira atuais não exigem ainda)
4. Deve ser constituído um comitê para tratar do tema e indicado um CPO (Chief Privacy Officer) para realizar o acompanhamento das implementações e evoluções do tema na empresa
Tendências para regulamentação de dados
Bibliografia – IAPP
Fonte: https://iapp.org/store/books/
37
Bibliografia - IAPP
Fonte: https://iapp.org/store/books/
www.peckadvogados.com.br
@patriciapeckadv PatriciaPeckPinheiro Pppadvogados
PatriciaPeckPinheiro Advogados contato@peckadvogados.com.br +55 11 3068 0777
www.pecksleiman.com.br www.istart.org.br
contato@pecksleiman.com.br +55 11 2678 0188
@istarteticadigi
FamiliaMaisSeguraNaInternet Instituto iStart
@istarteticadigital
coordenacao@istart.org.br +55 11 2678 0188