LGPD

Lei Geral de Proteção de Dados Pessoais

Webinar Sest

Então

Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018)

A LGPD se aplica às empresas estatais?

A LGPD já está em vigor?

Essa lei é uma “invenção” brasileira?

A LGPD se aplica às empresas estatais?

LGPD

União, estados, Distrito Federal e municípios

Administração direta dos Poderes Executivo, Legislativo, Judiciário, Ministério

Público e Tribunal de Contas

Autarquias, fundações públicas e demais entidades controladas direta ou

indiretamente

Empresas públicas e sociedades de economia mista

Entidades privadas e pessoas físicas

Quando atuarem em regime de concorrência (CF/88 Art. 173):• Mesmo tratamento dispensado às pessoas jurídicas de direito privado

particulares.

Quando estiverem operacionalizando políticas públicas:• Mesmo tratamento dispensado aos órgãos e às entidades do setor

público.

Relevante para aplicação de sanções e determinações por parte da ANPD - Autoridade Nacional de Proteção de Dados;

e para aplicação das regras destinadas ao Poder Público.

A LGPD se aplica às empresas estatais?

A LGPD já está em vigor?

Publicação

Artigos sobre ANPDentraram em vigor

Toda a lei entrou em vigor,exceto artigos sobre sanções

Toda a lei entraria em vigor

14/08/2018 28/12/2018 17/09/2020 * Mai/2021

Artigos sobre sançõesentrarão em vigor

01/08/2021

ANPD: Autoridade Nacional de Proteção de Dados

*https://www12.senado.leg.br/noticias/materias/2020/09/18/lei-geral-de-protecao-de-dados-entra-em-vigor

Ago/2020Fev/2020

A LGPD é uma “invenção” brasileira?

A LGPD foi fortemente influenciada pelo Regulamento 2016/679 da União Europeia:

GDPR – General Data Protection Regulation ou em português, RGPD – Regulamento Geral de Proteção de Dados.

Lei 12.965/2014 – Marco Civil da Internet

Art. 3º A disciplina do uso da internet no Brasil tem os seguintes princípios:

III - proteção dos dados pessoais, na forma da lei;

Marcos normativos sobre de dados – no BrasilLe

i Com

plem

enta

r 101

/200

0:

Lei d

e Res

pons

abilid

ade F

iscal

(LRF)

Porta

l da T

rans

parê

ncia

do Po

der E

xecu

tivo F

eder

alLe

i Com

plem

enta

r 131

/200

9:

Lei d

a Tra

nspa

rênc

iaLe

i 12.5

27/2

011:

Lei d

e Ace

sso à

Infor

maç

ão (L

AI)

Decre

tos 7

.724 e

7.84

5/20

12:

Regu

lamen

tam

a LA

ILe

i 12.9

65/2

014:

Mar

co Ci

vil da

Inte

rnet

Decre

to 8.

777/

2016

:

Políti

ca de

Dad

os A

berto

sLe

i 13.7

09/2

018:

Lei G

eral

de Pr

oteç

ão de

Dad

os

Pess

oais

(LGPD

)

2000 2005 2009 2011 2012 2014 2016 2018

Então

Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018)

Por que devemos proteger dados pessoais?

A LGPD protege qualquer dado pessoal?

Por que devemos proteger dados pessoais?

Respeito à privacidade da

pessoa

Inviolabilidade da intimidade, da

honra e da imagem da

pessoa

Defesa do Consumidor

Direitos humanos, da personalidade, da dignidade e do

exercício da cidadania.

A identidade e a privacidadedo indivíduo são os seus

maiores patrimônios.

Digital Around the World

Digital Around the World

A LGPD protege qualquer dado pessoal?

A LGPD dispõe sobre o tratamento de dados pessoais,

nos meios físicos ou digitais, por pessoa natural ou

por pessoa jurídica de direito público ou privado.

A LGPD protege qualquer dado pessoal?Protege qualquer dado pessoal, desde que:

O tratamento dos dados seja

realizado no Brasil.

Os dados tratados

tenham sido coletados no

Brasil.

Para oferta de bens ou

serviços a pessoas

localizadas no Brasil.

Fins particulares e

não econômicos.

Fins jornalísticos, artísticos ou acadêmicos.

Defesa nacional, segurança

pública, investigação.

Não protege dados pessoais coletados para:

Então

Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018)

O que significa tratamento de dados?

O que é considerado dado pessoal?

Poderia dar algum exemplo?

O que significa tratamento de dados?

O que é considerado dado pessoal?

Definições Titular do dado: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.à Pessoa física.

Dado pessoal: informação relacionada a uma pessoa natural identificada ou identificável.à Qualquer dado isolado ou combinado que possa identificar uma pessoa.

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

CGAVM • Físico-Financeiro

CGGOV

• Perfil das Estatais

• Novo Perfil das Estatais

CGINF • Habilita

CGORC • Novo PDG

CGPPE • PPE

Dados pessoais dos integrantes das entidades de gestão

Dados pessoais do contador e do validador

Dados pessoais do responsável pela área de orçamento

Dados pessoais dos empregados das empresas estatais

Dados dos usuários do SIEST

Poderia dar algum exemplo?

Então

Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018)

Quais são os direitos do titular dos dados?

Quando é permitido tratar dados pessoais?

Quando é permitido tratar dados pessoais?

Mediante o consentimento do titular.

Para o cumprimento de obrigação legal ou regulatória.

Para a execução de políticas públicas previstas em leis e regulamentos, ou respaldadas em contratos, convênios ou instrumentos congêneres.

Para atender aos interesses legítimos do controlador, exceto quando prevalecerem direitos e liberdades fundamentais do titular.

Para a realização de estudos por órgão de pesquisa, garantida a anonimização dos dados pessoais.

Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

Para a proteção da vida ou da incolumidade física do titular ou de terceiro.

Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.

Quando necessário para a execução de contrato do qual seja parte o titular, a pedido do titular dos dados.

Para a proteção do crédito, conforme legislação pertinente.

Quando é permitido tratar dados pessoais?

Quais são os direitos do titular dos dados?

Confirmação de tratamentoDireitos do Titular dos

Dados

Acesso aos dadosCorreção dos dados

Anonimização,bloqueio ou eliminaçãode dados desnecessários

Portabilidade dos dados

Eliminação dos dados

Revogação do consentimento

Informação de compartilhamento dos dados

Informação de possibilidade de não consentimento e das consequências

Então

Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018)

O que temos que fazer?

Quais são as sanções administrativas?

O que temos que fazer?

São necessárias várias providências ealgumas são imediatas.

O caminho é longo e exige planejamento.

Mas existem orientações disponíveis.

O que temos que fazer?

Criar um programa institucional:

Programa de Governança em Privacidade (PGP):

A LGPD possui requisitos complexos e restritivos a seremcumpridos e tem impacto em toda a organização.

É necessário atuar de forma permanente em todos os processos para garantir uma efetiva governança de privacidade no manuseio de dados pessoais.

Guia para criação de um Programa Institucional de Gerenciamento de Privacidade:https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaProgramaGovernanaemPrivacidade.pdf

O que temos que fazer?

Nomear os Agentes de Tratamento:

Controlador:Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dado pessoais.

Operador:Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Guia para criação de um Programa Institucional de Gerenciamento de Privacidade:https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaProgramaGovernanaemPrivacidade.pdf

O que temos que fazer?

Nomear o Encarregado:

Encarregado:Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Instrução Normativa SGD/ME Nº 117/2020 - Indicação do Encarregado pelo Tratamento dos Dados Pessoais:https://www.in.gov.br/web/dou/-/instrucao-normativa-sgd/me-n-117-de-19-de-novembro-de-2020-289515596Guia para criação de um Programa Institucional de Gerenciamento de Privacidade:https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaProgramaGovernanaemPrivacidade.pdf

O que temos que fazer?

Elaborar o Inventário de Dados Pessoais:

Inventário de Dados Pessoais (IDP):Indica a existência de dados pessoais e documenta as operações de tratamento realizadas pela entidade.

Guia de Elaboração de Inventário de Dados Pessoais:https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaInventario.pdf

O que temos que fazer?

Guia de Elaboração do Relatório de Impacto à Proteção de Dados Pessoais:https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-template-ripd_v3.docx

Elaborar o Relatório de Impacto:

Relatório de Impacto à Proteção de Dados Pessoais (RIPD):Descreve os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

O que temos que fazer?

Elaborar a Política de Privacidade:

Política de Privacidade:Tem como objetivo descrever ao usuário o método, os processos e os procedimentos adotados no tratamento de dados pessoais e informá-lo sobre as medidas de privacidade empregadas.

Guia de Elaboração de Política de Privacidade:https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaTermoUso.pdf

O que temos que fazer?

Elaborar os Termos de Uso:

Termos de Uso:São vinculados à utilização dos serviços disponibilizados pela entidade por meio de aplicações (sítios, sistemas ou aplicativos para dispositivos móveis).

Guia de Elaboração de Termos de Uso:https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaTermoUso.pdf

O que temos que fazer?

Adequar os contratos:

Requisitos de proteção de dados pessoais:É de extrema relevância a adoção de requisitos de segurança da informação e proteção de dados pessoais bem como a respectiva gestão contratual com abordagem específica desse aspecto, quando da contratação de produtos e/ou serviços de TIC.

Guia de Boas Práticas para Especificação de Requisitos de Segurança da Informação em Contratações de TI:https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiadeAdequacoesdeContratos.pdf

O que temos que fazer?

Elaborar e implementar o Plano de Resposta a Incidentes:

Plano de Resposta a Incidentes:Descreve as respostas aos incidentes de segurança e de privacidade de dados, com o intuito de conter ou minimizar prejuízos, e indica como ocorrem as devidas comunicações ao titular dos dados e à ANPD.

Guia de Elaboração do Plano de Respostas a Incidentes (em breve):https://www.gov.br/governodigital/pt-br/governanca-de-dados/guias-operacionais-para-adequacao-a-lgpd

O que temos que fazer?E muito mais...

Por isso sugerimos que consultem o que foi elaborado pela Secretaria de Governo Digital (SGD) do Ministério da Economia para nos apoiar nessa caminhada:

Guia de Boas Práticas - Lei Geral de Proteção de Dados (LGPD):https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-boas-praticas-lei-geral-de-protecao-de-dados-lgpd

Guias Operacionais para adequação à LGPD:https://www.gov.br/governodigital/pt-br/governanca-de-dados/guias-operacionais-para-adequacao-a-lgpd

Advertência, com indicação de prazo para medidas corretivas.

Multa simples ou multa diária.

Publicização da infração após apurada e confirmada a ocorrência.

Bloqueio ou eliminação dos dados pessoais.

Suspensão do banco de dados ou da atividade de tratamento.

Proibição parcial ou total da atividade de tratamento.

Quais são as sanções administrativas?

Então

Dúvidas e sugestões

Tenho mais alguma dúvida?

O webinário foi útil para mim?

Tenho alguma sugestão?

sest.cginf@economia.gov.br

LGPD

Obrigado!

Webinar Sest