Este documento discute a legislação brasileira e internacional relacionada à proteção de dados pessoais. Ele explica as principais leis que regem a privacidade de dados no Brasil e em outros países, como a Lei Geral de Proteção de Dados, e destaca pontos importantes como o consentimento do titular dos dados, incidentes de segurança e sanções.
8. 8
Polêmicas
• ebay:145 milhões de pessoas afetadas;
• JPMorgan Chase & Co.: 76 milhões de contas de
pessoas físicas e 7 milhões de contas
empresariais;
• Home Depot: 56 milhões de cartões de crédito
afetados;
• CHS community Health Systems: 4,5 milhões de
pessoas afetadas;
• Michaels Stores: 2,6 milhões de pessoas
afetadas;
• Nieman Marcus: 1,1 milhão de pessoas
afetadas;
http://www.ponemon.org/local/upload/file/2014%20The%20Year%20of%20the%20Mega%20Breach%20FINAL3.pdf
9. 9
Polêmicas
77% das empresas admitem que tiveram
vazamento de dados no último ano, por
conta de algum tipo de incidente. A
principal causa citada para isso é a perda
ou o roubo de equipamentos, seguida
por ataques à rede, vulnerabilidades dos
dispositivos móveis, Web 2.0 e e-mails
enviados para remetentes errados.
http://www.ponemon.org/local/upload/file/2014%20The%20Year%20of%20the%20Mega%20Breach%20FINAL3.pdf
10.
11.
12. 12
Legislação Internacional
1973: US Fair Information Principles;
1980: OECD Guidelines Governing the Protection of Privacy and Transborder Data Flows
of Personal Data;
1981: Council of Europe Convention for Protection of Individuals with Regard to the
Automatic Processing of Personal Data;
1995: EU Data Protection Directive (EC 46/95);
2002: EU Directive on privacy and electronic communications (EC
2002/58);
2004: APEC – Asian Pacific Economic Cooperation Privacy
Framework;
2009: Madrid Resolution – International Standard on the Proctection of Personal Data;
2014: Anulação da Diretiva Europeia de Retenção de Registros
Eletrônicas
13. A INTERNET É AUSENTE DE LEIS SOBRE PRIVACIDADE DE
DADOS???!!!
13
Existe legislação?
14. Legislação Nacional – Proteção Setorial
Constituição Federal de 1988;
LEI 8.078/1990: Código de Defesa do Consumidor;
LEI 9.472/97: Lei Geral de Telecomunicações;
LEI 9.507/97: Habeas Data;
LEI 9.983/2000: crime de inserção de dados falsos em sistemas de informações da
administração pública;
LEI COMPLEMENTAR 105/2001: sigilo das operações de instituições financeiras
2002: Novo Código Civil;
Portaria nº 5/2002 da SDE/MJ: tornou abusiva cláusulas em contratos de consumo
que autorizavam o envio de dados pessoais sem o consentimento prévio.
15. Legislação Nacional – Proteção Setorial
LEI 12.414/2011: disciplinou o cadastro positivo e certos aspectos
sobre proteção de dados pessoais no ambiente creditício (julgamento
STJ);
LEI 12.527/2011: lei de acesso a informação (Art. 31);
LEI 12.737/2012: crime de invasão de dispositivos
informáticos (Lei Carolina Dieckmann);
DECRETO 7962/2013: regulamentou comércio eletrônico;
LEI 12.846/2013: lei anticorrupção;
LEI 12.965/2014: Marco Civil da Internet;
2015: Anteprojeto de Proteção de Dados Pessoais.
16. 16
Lei 12.737/2012
Art. 154-A. Invasão
Invadir dispositivo informático alheio +
Violação indevida de mecanismo de segurança +
Com o fim de obter, adulterar ou destruir dados ou informações sem autorização do
titular
Ou instalar vulnerabilidades para obter vantagem ilícita.
Art. 154-A, § 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta
prejuízo econômico.
Art. 154-A, §3º Reclusão, de 6 (seis) meses a 2 (dois) anos se da invasão resultar:
A obtenção de conteúdo de comunicações eletrônicas privadas;
A obtenção de segredos comerciais ou industriais;
A obtenção de informações sigilosas, assim definidas em lei, ou
O controle remoto não autorizado do dispositivo invadido.
19. 19
Marco Civil (Lei n.º 12.965/2014)
- Princípios:
Art. 3º A disciplina do uso da internet no Brasil tem
os seguintes princípios: (...)
II - proteção da privacidade;
III - proteção dos dados pessoais, na forma da lei;
20. 20
Marco Civil (Lei n.º 12.965/14)
- Demais previsões – Direitos dos usuários (Artigo 7º)
I - inviolabilidade da intimidade e da vida privada, sua
proteção e indenização pelo dano material ou moral
decorrente de sua violação; [Art. 5º, X/CF]
II - inviolabilidade e sigilo do fluxo de suas comunicações
pela internet, salvo por ordem judicial, na forma da lei;
[Art. 5º, XII/CF]
III - inviolabilidade e sigilo de suas comunicações
privadas armazenadas, salvo por ordem judicial; [Art. 5º,
XII/CF]
22. 22
Marco Civil (Lei n.º 12.965/14)
- Demais previsões – Direitos dos usuários (Artigo 7º)
VI - informações claras e completas constantes dos
contratos de prestação de serviços, com detalhamento sobre
o regime de proteção aos registros de conexão e aos
registros de acesso a aplicações de internet, bem como
sobre práticas de gerenciamento da rede que possam afetar
sua qualidade;
VII - não fornecimento a terceiros de seus dados pessoais,
inclusive registros de conexão, e de acesso a aplicações de
internet, salvo mediante consentimento livre, expresso e
informado ou nas hipóteses previstas em lei;
23. Algumas solicitações invasivas do Facebook Messenger:
• Permissão para alterar o estado de conectividade de rede;
• Permissão para fazer ligações sem intervenção do usuário,
possivelmente causando cobranças adicionais sem necessidade de confirmação;
• Permissão para envio de mensagens SMS sem necessidade
de intervenção ou confirmação;
• Permissão para gravação de áudio com o microfone do
celular sem confirmação do usuário;
• Permissão de uso da câmera para fazer fotos e vídeos sem
a confirmação do usuário;
• Permissão para leitura do histórico de chamadas. Estes dados são apenas salvos,
mas outros apps maliciosos podem compartilhar estas informações sem
conhecimento do usuário;
• Permissão para ler dados sobre contatos do usuário
armazenados no telefone, para ver com que frequência
você se comunica com um indivíduo em específico por
telefone, e-mail ou outras formas de contato;
• Permissão para identificar o usuário pelas informações guardadas no celular, com nome e
informações de contato. Estes dados podem ser enviados para terceiros;
• Permissão para acessar recursos de identificação do celular, possibilitando o reconhecimento
até mesmo o número telefônico do usuário;
• Permissão para receber uma lista de contas conhecidas no telefone, incluindo quaisquer apps
instalados no aparelho.
Facebook Messenger
Política de Privacidade
24. 24
Marco Civil (Lei n.º 12.965/14)
- Demais previsões – Direitos dos usuários (Artigo 7º)
VIII - informações claras e completas sobre coleta, uso,
armazenamento, tratamento e proteção de seus dados pessoais, que
somente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em
termos de uso de aplicações de internet;
IX - consentimento expresso sobre coleta, uso, armazenamento e
tratamento de dados pessoais, que deverá ocorrer de forma destacada
das demais cláusulas contratuais;
26. 26
Marco Civil (Lei n.º 12.965/14)
- Demais previsões – Direitos dos usuários (Artigo 7º)
X - exclusão definitiva dos dados pessoais que tiver
fornecido a determinada aplicação de internet, a seu
requerimento, ao término da relação entre as partes,
ressalvadas as hipóteses de guarda obrigatória de registros
previstas nesta Lei;
XI - publicidade e clareza de eventuais políticas de uso dos
provedores de conexão à internet e de aplicações de internet;
27. 27
Segurança
Art. 13. Na provisão de conexão à internet, cabe ao
administrador de sistema autônomo respectivo o dever de
manter os registros de conexão, sob sigilo, em ambiente
controlado e de segurança, pelo prazo de 1 (um) ano, nos
termos do regulamento.
Art. 15. O provedor de aplicações de internet constituído na
forma de pessoa jurídica e que exerça essa atividade de forma
organizada, profissionalmente e com fins econômicos deverá
manter os respectivos registros de acesso a aplicações de
internet, sob sigilo, em ambiente controlado e de segurança,
pelo prazo de 6 (seis) meses, nos termos do regulamento.
29. 29
• Dado pessoal;
• Dados sensíveis;
• Consentimento;
• Possibilidade de negar o tratamento de
dados pessoais;
• Autoridade de garantia;
• Privacy Officer;
• Transferências internacionais de dados;
• Normas Corporativas Globais;
• Binding Corporate Rules – BCRs;
• Vazamentos de dados e notificações
obrigatórias;
• Responsabilidade;
• Sanções;
• Vacatio legis.
Principais pontos
30. 30
O que é dado pessoal?
• Lei de Acesso à Informação (banco de dados públicos)
– Art. 4º Para os efeitos desta Lei, considera-se: IV - informação pessoal: aquela
relacionada à pessoa natural identificada (dados cadastrais) ou identificável (dado em
contexto);
• Lei de Cadastro Positivo
– § 3º Ficam proibidas as anotações de: II - informações sensíveis, assim
consideradas aquelas pertinentes à origem social e étnica, à saúde, à informação
genética, à orientação sexual e às convicções políticas, religiosas e filosóficas.
• Marco Civil da Internet: ???
• Anteprojeto de Lei de Dados Pessoais:
– Dado pessoal: dado relacionado à pessoa natural identificada ou identificável, inclusive
a partir de números identificativos, dados locacionais ou identificadores eletrônicos.
Desta forma, tags, registros de geolocalização e até mesmo números IP podem,
eventualmente, ser considerados dados pessoais.
– Dados sensíveis: dados pessoais que revelem a origem racial ou étnica, religiosas,
filosóficas ou morais, opiniões políticas, saúde, vida sexual, dados genéticos.
– Dados anônimos?
31. 31
Princípios
• Finalidade: legítimas, específicas, explícitas e conhecidas do titular;
• Adequação: compatível com a finalidade e com as expectativas do titular,
não excessivos;
• Necessidade: mínimo necessário para as finalidades almejadas;
• Livre acesso: modalidades de tratamento e a integridade de seus dados
pessoais;
• Qualidade de dados: exatidão, clareza e atualização dos dados;
• Transparência: informações claras e adequadas sobre o tratamento;
• Segurança: medidas de proteção proporcionais para proteção contra
acessos não autorizados;
• Prevenção: prevenir a ocorrência de danos em virtude do tratamento;
• Discriminação: tratamento não pode ser para fins discriminatórios.
33. 33
Enforcement
• Autoridade de garantia: provável criação de uma entidade
administrativa específica para supervisionar a aplicação da Lei
de Proteção de Dados Pessoais, conhecida como “Data
Protection Authority”. O APL usa a expressão “órgão
competente”, sem definição que agência pública receberá tais
competências;
• Privacy Officer: conceituada como “encarregado”, ou seja, a
pessoa responsável dentro da empresa pelas operações e
políticas de tratamento de dados pessoais e pela comunicação
com o órgão competente, a versão anterior determinava que
toda empresa com mais de 200 funcionários deveria criar tal
cargo. A nova versão não delimita um tamanho específico;
34. 34
Principais pontos
• Vazamentos de dados e notificações obrigatórias:
• Comunicação imediata ao órgão competente sobre a ocorrência de
qualquer incidente de segurança que possa acarretar prejuízo aos titulares
dos dados pessoais;
• Titulares devem ser comunicados diretamente toda vez que houver um
risco a sua segurança pessoal ou possa causar danos, a ser determinado
pelo órgão competente;
• Responsabilidade subjetiva: responsabilidade desde que provada
culpa;
• Sanções: podem variar desde multa até proibição, por um período
de até 10 anos, de tratamento de dados pessoais;
• Vacatio legis: o vacatio de 120 dias, período que as empresas e
órgãos públicos sujeitos a lei terão para se adaptar.