Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
LGPD
Lei Geral de Proteção de Dados Pessoais
Webinar Sest
Então
Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018)
A LGPD se aplica às empresas estatais?
A LGPD já está em vigor?
Essa lei é uma “invenção” brasileira?
A LGPD se aplica às empresas estatais?
LGPD
União, estados, Distrito Federal e municípios
Administração direta dos Poderes Executivo, Legislativo, Judiciário, Ministério
Público e Tribunal de Contas
Autarquias, fundações públicas e demais entidades controladas direta ou
indiretamente
Empresas públicas e sociedades de economia mista
Entidades privadas e pessoas físicas
Quando atuarem em regime de concorrência (CF/88 Art. 173):• Mesmo tratamento dispensado às pessoas jurídicas de direito privado
particulares.
Quando estiverem operacionalizando políticas públicas:• Mesmo tratamento dispensado aos órgãos e às entidades do setor
público.
Relevante para aplicação de sanções e determinações por parte da ANPD - Autoridade Nacional de Proteção de Dados;
e para aplicação das regras destinadas ao Poder Público.
A LGPD se aplica às empresas estatais?
A LGPD já está em vigor?
Publicação
Artigos sobre ANPDentraram em vigor
Toda a lei entrou em vigor,exceto artigos sobre sanções
Toda a lei entraria em vigor
14/08/2018 28/12/2018 17/09/2020 * Mai/2021
Artigos sobre sançõesentrarão em vigor
01/08/2021
ANPD: Autoridade Nacional de Proteção de Dados
*https://www12.senado.leg.br/noticias/materias/2020/09/18/lei-geral-de-protecao-de-dados-entra-em-vigor
Ago/2020Fev/2020
A LGPD é uma “invenção” brasileira?
A LGPD foi fortemente influenciada pelo Regulamento 2016/679 da União Europeia:
GDPR – General Data Protection Regulation ou em português, RGPD – Regulamento Geral de Proteção de Dados.
Lei 12.965/2014 – Marco Civil da Internet
Art. 3º A disciplina do uso da internet no Brasil tem os seguintes princípios:
III - proteção dos dados pessoais, na forma da lei;
Marcos normativos sobre de dados – no BrasilLe
i Com
plem
enta
r 101
/200
0:
Lei d
e Res
pons
abilid
ade F
iscal
(LRF)
Porta
l da T
rans
parê
ncia
do Po
der E
xecu
tivo F
eder
alLe
i Com
plem
enta
r 131
/200
9:
Lei d
a Tra
nspa
rênc
iaLe
i 12.5
27/2
011:
Lei d
e Ace
sso à
Infor
maç
ão (L
AI)
Decre
tos 7
.724 e
7.84
5/20
12:
Regu
lamen
tam
a LA
ILe
i 12.9
65/2
014:
Mar
co Ci
vil da
Inte
rnet
Decre
to 8.
777/
2016
:
Políti
ca de
Dad
os A
berto
sLe
i 13.7
09/2
018:
Lei G
eral
de Pr
oteç
ão de
Dad
os
Pess
oais
(LGPD
)
2000 2005 2009 2011 2012 2014 2016 2018
Então
Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018)
Por que devemos proteger dados pessoais?
A LGPD protege qualquer dado pessoal?
Por que devemos proteger dados pessoais?
Respeito à privacidade da
pessoa
Inviolabilidade da intimidade, da
honra e da imagem da
pessoa
Defesa do Consumidor
Direitos humanos, da personalidade, da dignidade e do
exercício da cidadania.
A identidade e a privacidadedo indivíduo são os seus
maiores patrimônios.
Digital Around the World
Digital Around the World
A LGPD protege qualquer dado pessoal?
A LGPD dispõe sobre o tratamento de dados pessoais,
nos meios físicos ou digitais, por pessoa natural ou
por pessoa jurídica de direito público ou privado.
A LGPD protege qualquer dado pessoal?Protege qualquer dado pessoal, desde que:
O tratamento dos dados seja
realizado no Brasil.
Os dados tratados
tenham sido coletados no
Brasil.
Para oferta de bens ou
serviços a pessoas
localizadas no Brasil.
Fins particulares e
não econômicos.
Fins jornalísticos, artísticos ou acadêmicos.
Defesa nacional, segurança
pública, investigação.
Não protege dados pessoais coletados para:
Então
Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018)
O que significa tratamento de dados?
O que é considerado dado pessoal?
Poderia dar algum exemplo?
O que significa tratamento de dados?
O que é considerado dado pessoal?
Definições Titular do dado: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.à Pessoa física.
Dado pessoal: informação relacionada a uma pessoa natural identificada ou identificável.à Qualquer dado isolado ou combinado que possa identificar uma pessoa.
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
CGAVM • Físico-Financeiro
CGGOV
• Perfil das Estatais
• Novo Perfil das Estatais
CGINF • Habilita
CGORC • Novo PDG
CGPPE • PPE
Dados pessoais dos integrantes das entidades de gestão
Dados pessoais do contador e do validador
Dados pessoais do responsável pela área de orçamento
Dados pessoais dos empregados das empresas estatais
Dados dos usuários do SIEST
Poderia dar algum exemplo?
Então
Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018)
Quais são os direitos do titular dos dados?
Quando é permitido tratar dados pessoais?
Quando é permitido tratar dados pessoais?
Mediante o consentimento do titular.
Para o cumprimento de obrigação legal ou regulatória.
Para a execução de políticas públicas previstas em leis e regulamentos, ou respaldadas em contratos, convênios ou instrumentos congêneres.
Para atender aos interesses legítimos do controlador, exceto quando prevalecerem direitos e liberdades fundamentais do titular.
Para a realização de estudos por órgão de pesquisa, garantida a anonimização dos dados pessoais.
Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
Para a proteção da vida ou da incolumidade física do titular ou de terceiro.
Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Quando necessário para a execução de contrato do qual seja parte o titular, a pedido do titular dos dados.
Para a proteção do crédito, conforme legislação pertinente.
Quando é permitido tratar dados pessoais?
Quais são os direitos do titular dos dados?
Confirmação de tratamentoDireitos do Titular dos
Dados
Acesso aos dadosCorreção dos dados
Anonimização,bloqueio ou eliminaçãode dados desnecessários
Portabilidade dos dados
Eliminação dos dados
Revogação do consentimento
Informação de compartilhamento dos dados
Informação de possibilidade de não consentimento e das consequências
Então
Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018)
O que temos que fazer?
Quais são as sanções administrativas?
O que temos que fazer?
São necessárias várias providências ealgumas são imediatas.
O caminho é longo e exige planejamento.
Mas existem orientações disponíveis.
O que temos que fazer?
Criar um programa institucional:
Programa de Governança em Privacidade (PGP):
A LGPD possui requisitos complexos e restritivos a seremcumpridos e tem impacto em toda a organização.
É necessário atuar de forma permanente em todos os processos para garantir uma efetiva governança de privacidade no manuseio de dados pessoais.
Guia para criação de um Programa Institucional de Gerenciamento de Privacidade:https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaProgramaGovernanaemPrivacidade.pdf
O que temos que fazer?
Nomear os Agentes de Tratamento:
Controlador:Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dado pessoais.
Operador:Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Guia para criação de um Programa Institucional de Gerenciamento de Privacidade:https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaProgramaGovernanaemPrivacidade.pdf
O que temos que fazer?
Nomear o Encarregado:
Encarregado:Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Instrução Normativa SGD/ME Nº 117/2020 - Indicação do Encarregado pelo Tratamento dos Dados Pessoais:https://www.in.gov.br/web/dou/-/instrucao-normativa-sgd/me-n-117-de-19-de-novembro-de-2020-289515596Guia para criação de um Programa Institucional de Gerenciamento de Privacidade:https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaProgramaGovernanaemPrivacidade.pdf
O que temos que fazer?
Elaborar o Inventário de Dados Pessoais:
Inventário de Dados Pessoais (IDP):Indica a existência de dados pessoais e documenta as operações de tratamento realizadas pela entidade.
Guia de Elaboração de Inventário de Dados Pessoais:https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaInventario.pdf
O que temos que fazer?
Guia de Elaboração do Relatório de Impacto à Proteção de Dados Pessoais:https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-template-ripd_v3.docx
Elaborar o Relatório de Impacto:
Relatório de Impacto à Proteção de Dados Pessoais (RIPD):Descreve os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
O que temos que fazer?
Elaborar a Política de Privacidade:
Política de Privacidade:Tem como objetivo descrever ao usuário o método, os processos e os procedimentos adotados no tratamento de dados pessoais e informá-lo sobre as medidas de privacidade empregadas.
Guia de Elaboração de Política de Privacidade:https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaTermoUso.pdf
O que temos que fazer?
Elaborar os Termos de Uso:
Termos de Uso:São vinculados à utilização dos serviços disponibilizados pela entidade por meio de aplicações (sítios, sistemas ou aplicativos para dispositivos móveis).
Guia de Elaboração de Termos de Uso:https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaTermoUso.pdf
O que temos que fazer?
Adequar os contratos:
Requisitos de proteção de dados pessoais:É de extrema relevância a adoção de requisitos de segurança da informação e proteção de dados pessoais bem como a respectiva gestão contratual com abordagem específica desse aspecto, quando da contratação de produtos e/ou serviços de TIC.
Guia de Boas Práticas para Especificação de Requisitos de Segurança da Informação em Contratações de TI:https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiadeAdequacoesdeContratos.pdf
O que temos que fazer?
Elaborar e implementar o Plano de Resposta a Incidentes:
Plano de Resposta a Incidentes:Descreve as respostas aos incidentes de segurança e de privacidade de dados, com o intuito de conter ou minimizar prejuízos, e indica como ocorrem as devidas comunicações ao titular dos dados e à ANPD.
Guia de Elaboração do Plano de Respostas a Incidentes (em breve):https://www.gov.br/governodigital/pt-br/governanca-de-dados/guias-operacionais-para-adequacao-a-lgpd
O que temos que fazer?E muito mais...
Por isso sugerimos que consultem o que foi elaborado pela Secretaria de Governo Digital (SGD) do Ministério da Economia para nos apoiar nessa caminhada:
Guia de Boas Práticas - Lei Geral de Proteção de Dados (LGPD):https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-boas-praticas-lei-geral-de-protecao-de-dados-lgpd
Guias Operacionais para adequação à LGPD:https://www.gov.br/governodigital/pt-br/governanca-de-dados/guias-operacionais-para-adequacao-a-lgpd
Advertência, com indicação de prazo para medidas corretivas.
Multa simples ou multa diária.
Publicização da infração após apurada e confirmada a ocorrência.
Bloqueio ou eliminação dos dados pessoais.
Suspensão do banco de dados ou da atividade de tratamento.
Proibição parcial ou total da atividade de tratamento.
Quais são as sanções administrativas?
Então
Dúvidas e sugestões
Tenho mais alguma dúvida?
O webinário foi útil para mim?
Tenho alguma sugestão?
LGPD
Obrigado!
Webinar Sest