desafios técnicos para a aplicação da lei: a lgpd na prática · tratou de forma detalhada a...

REALIZAÇÃO

Gileno Barreto

Desafios Técnicos para a Aplicação da Lei: A LGPD na

Prática

1. Os Desafios de uma empresa de TI

No Serpro - Desenvolvemos e Processamos:

2. Os Desafios do Serpro: LGPD na prática

Políticas Públicas Baseadas em Evidências - GovData


Políticas Públicas Baseadas em Evidências - Seguro Defeso

Políticas Públicas

baseadas em evidências


Protagonismo e Referência no setor público e benchmark para o privado:

3. Desafios Técnicos e Jurídicos da LGPD

Adequação à LGPD: Diferença entre “Dados” e “Informações”

Art. 5º Para os fins desta Lei, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

I - o respeito à privacidade;

II - a autodeterminação informativa;

III - a liberdade de expressão, de informação, de comunicação e de opinião;

IV - a inviolabilidade da intimidade, da honra e da imagem;

V - o desenvolvimento econômico e tecnológico e a inovação;

VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e

(...)

X


Adequação à LGPD: Diferença entre “Dados” e “Informações”

Base de Distinção Dados Informação

DefiniçãoOs dados são números brutos ou outros achados que, por si só, são de valor limitado.

A informação é um dado que foi convertido em um contexto útil e útil.

SignificadoOs dados por si só não são significativos.

A informação é significativa por si só.

Etimologia

Os dados são um plural do datum, que é originalmente um substantivo latino que significa “algo dado”.

A palavra “informação” tem sua origem na língua da antiga Roma, o Latim. É derivado de INFORMARE, que significava “dar forma”. Este termo latinio é composto pelos radicais IN-, que significa “em” e FORMA, que pode ser traduzido como “forma” ou “aspecto”.


Desafios para a Implementação: Aspectos Técnicos


Macroestrutura do Projeto

Preparação

RELATÓRIO DE CONFORMIDADE

RELATÓRIO DE RISCO

MANUAL JURÍDICO ATUALIZÁVEL

ESCRITÓRIO DE GOVERNANÇA DADOS

INVENTÁRIO DADOS / FLUXO

POLÍTICA DE PROTEÇÃO DE DADOS

PROGRAMA DE PROTEÇÃO DE DADOS

ORÇAMENTO – CUSTOS LGPD

Implementação

ESTRATÉGIA, PLANOS E POLÍTICAS DEFINIDAS

SISTEMA DE CLASSIFICAÇÃO DE DADOS

PROCEDIMENTO APROVAÇÃO TRATAMENTO DE DADOS.

REGISTRO BASES DE DADOS

TRATAMENTO INTERNACIONAL DADOS AVALIADO

INTEGRAÇÃO PRIVACIDADE

PLANO DE TREINAMENTO EM EXECUÇÃO


Macroestrutura do Projeto

GOVERNANÇA

POLÍTICA ATUALIZADA E ESTRATÉGIA DEFINIDA

PROCEDIMENTOS AVISO AO TITULAR

PLANO DE ATENDIMENTO A SOLICITAÇÕES E RECLAMAÇÕES

PROCESSO AVALIAÇÃO DE RISCO

RELATÓRIOS DE PRIVACIDADE / DPIA

DOCUMENTAÇÃO ATUALIZADA AUTOMATICAMENTE

PLANO DE RESPOSTAS A VIOLAÇÕES

PDCA*

RELATÓRIO DE CONFORMIDADE

RELATÓRIO AUDITORIA EXTERNA

BENCHMARKING

DPIA**

RELATÓRIO DE RISCO PERIÓDICO

REL ANÁLISE DE RESULTADO RISCO

MONITORAÇÃO MANUAL JURÍDICO

* Plan Do Check Action ** Data Proctection Impact Assessment


“Os dados são o novo Óleo”Segurança e LGPD

R 1 R 2 R 3 SERPRORefn

PP PP PP PP

Origem dos Bancos de Dados

API 1 API 2 API 3

Mercado Mercado Mercado Mercado

ANPD

BD 1 BD 2 BD 3

BD 4 BD 5 BD 6

Autorização / Homologação

Caso Prático: O Futuro dos Dados


Caso Prático: API’s

A API - “Application Programming Interface“. Uma forma de integrar sistemas, possibilitando benefícios como a segurança dos dados, facilidade no intercâmbio entre informações com diferentes linguagens de programação e a monetização de acessos.

3. Desafios Jurídicos da LGPD

Desafios para a Implementação: Estrutura Legal

Diferenças entre o direito à privacidade e o direito à proteção de dados pessoais: “direitos autônomos”

Aspectos Relevantes:

(i) a sua origem;(ii) o seu objeto; (iii) o tipo de esfera de proteção que oferecem ao titular; (iv) a comunicação com outros direitos; e (v) a previsão no ordenamento jurídico brasileiro.


Desafios para a Implementação: Dados coletados no Brasil

Necessidade de adequação plena à Lei brasileira por aqueles que queiram operar no Brasil, ou mesmo no exterior e que mantenham dados de brasileiros:

Art. 3º Esta Lei aplica-se (...) independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:I - a operação de tratamento seja realizada no território nacional;II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ouIII - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

§ 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.§ 2º Excetua-se do disposto no inciso I deste artigo o tratamento de dados previsto no inciso IV do caput do art. 4º desta Lei.


Aspectos Controversos – “Design” Jurídico

• O direito à proteção de dados pessoais no País encontra-se tutelado Constituição da República, a partir da interpretação conjunta dos artigos 1º, III; 3º, I e IV, 5º, X, XII e LXXII.

• A Lei nº 12.965, ao definir os direitos e deveres relativos à utilização dos meios digitais não tratou de forma detalhada a questão da proteção de dados pessoais.

“ Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros. ”


Aspectos Controversos – “Design” Jurídico• A PEC nº 17, de 2019, constitucionaliza a Lei nº 12.965/2014 c/c a Lei 13.709/2018 que

estabeleceram princípios, garantias, deveres e direitos para o uso da internet no País:

“Art. 7o O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos (...)”

“Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:I - o respeito à privacidade;...................................................III - a liberdade de expressão, de informação, de comunicação e de opinião;IV - a inviolabilidade da intimidade, da honra e da imagem;...................................................VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais (...)”



PEC 17-A – O Direito à proteção aos dados pessoais seria um direito “autônomo” ?

“Art. 5º ........................................................................................................................

XII – é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal, bem como é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais;”



PEC 17-A - A Questão da Competência Privativa da União para Legislar

Art. 2º O caput do art. 22 da Constituição Federal passa a vigorar acrescido do seguinte inciso XXX:

“Art. 22. .........................................................................................................................

XXX – proteção e tratamento de dados pessoais. ”

“A multiplicação da publicação de leis pelos Estados e Municípios dificultar a uniformização do entendimento dos Operadores do Direito !!”


Aspectos Controversos – Caso Whatsapp

Decisão Judicial no MS que manteve a Decisão a quo: 03 fundamentos:

1. Pelo critério de interpretação pela “ponderação”, a segurança coletiva seria mais importante:

Art. 144, CF: “a segurança pública, dever do Estado, direito e responsabilidade de todos, é exercida para a preservação da ordem pública e da incolumidade das pessoas e do patrimônio. (...) o direito a segurança é prerrogativa constitucional indisponível (RE 559.646-AgR)”

XArt. 5º, X da CF: “Ora, o uso do aplicativo por quem quer que seja e para qualquer fim não pode ser tolerado sem ressalvas. Deve, sim, sofrer restrição quando atinge outros direitos constitucionalmente garantidos, como no caso em comento.”




2. Quanto à inexistência de base legal para a suspensão, estaria fundamentada no art. 11

“A Lei nº 12.965, Art. 12 prevê a suspensão temporária das atividades que envolvam os atos previstos no art. 11, segundo o qual, “em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros.”




3. Quanto à impossibilidade técnica – haveria sim a possibilidade:

“Segundo informativo Técnico da Polícia Federal, n. 31/2016 – SRCC/DICOR/DPF, fl. 18. elaborado após suposta implantação da criptografia ‘end to end’ ou ponta a ponta’, ‘... não há nenhum indicativo de qual protocolo de criptografia utilizado, como é feita a gestão das chaves, tampouco se esta encriptação é realmente fim-a-fim ou se é apenas entre cliente e o servidor (...) Recursos adicionais, com o whatsapp Web e o serviço de notificações teoricamente podem ser utilizados para permitir a duplicação das mensagens

e posterior interceptação mediante ordem judicial.”


Conclusões• Há atualmente um “gap” entre o que entendem os Operadores do Direito quanto a efetiva

viabilidade técnica da disponibilização dos dados, o que dificulta o cumprimento das ordens judiciais (“o mito da impossibilidade técnica”);

• “Dados” e “Informação” são conceitos distintos, muitas vezes confundidos pelos Operadores do Direito;

• Há confusão entre o que são as comunicações/transmissões de dados e dados pessoais em si;

• A adequação plena à LGPD pelas empresas que queiram operar no Brasil exigirá, além de conhecimento jurídico, conhecimento da realidade técnica e do fluxo dos dados e informações;

• Há a tendência de uniformização dos entendimentos – a partir da disseminação do conhecimento sobre a LGPD e da própria adequação dos agentes às suas exigências;

Obrigado !

Gileno G. Barreto

Diretoria Jurídica

https://www.serpro.gov.br/lgpd

desafios técnicos para a aplicação da lei: a lgpd na prática · tratou de forma detalhada a...

Documents