Como a LGPD vai mudar a minha vida?
- A informação vem sendo como diferencial competitivo para as empresas, que usam dados dos clientes para se desenvolver e lucrar. Com esse tráfego de dados, as empresas e órgãos perceberem o quão os dados são valiosos, sendo necessário preservar a privacidade da pessoa. Ficou necessário implementar regulamentos para proteger o cidadão (pessoa física) de vazamentos e usos indevidos de seus dados.
- Contra exposição (constrangimentos) do titular ou uso dos dados para fins econômicos.
- Previsão para entrar em vigor em Agosto de 2020.
Esta Lei dispõe sobre o tratamento de dados pessoais inclusive nos meios digitais, por pessoa natural ou jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade ad pessoa natural.
- Inclui qualquer tipo de lugar onde esse dado poderia estar, incluindo papel (Exemplo: preencher dados para uma vaga de empresa). Informação não importando onde está, deve ser preservada.
- Essa Lei visa a proteção dos dados da pessoa física.
Entendido como qualquer informação que possa levar à identificação de uma pessoa, de maneira direta ou indireta (Nome, CPF, dados de GPS, id eletrônico, dados de consumo etc.)
Todas as ações que podem ser realizadas sob os dados pessoas das pessoas. Basicamente, tratamento de dados pessoais significa realizar qualquer atividade realizada com dados pessoais. Coletar, receber, produzir/reproduzir, processar, avaliar, classificar, modificar, transmitir, transferir, arquivar, armazenar, etc.
Dados que podem ser utilizados de forma a discriminar uma pessoa (opinião política, religião, vida sexual, filiações sindicais ou políticas, origem racial ou étnica, dados genéticos e biométricos, etc.)
- O tratamento desses dados só pode ocorrer quando o titular do dado der consentimento para a finalidade determinada, de forma que seja específico e destacado.
Dados pessoais relativos a um titular que não possa ser identificado; Os dados são tratados para que as informações não possam ser vinculadas ao dono, não sendo possível restituir o caminho até ele.
- Nesse caso a LGPD não se aplicará a ele.
- Essa Lei não exige que dados sejam anonimizados.
Dados separados dos dados pessoais de uma pessoa, sendo possível chegar aos dados do titular de alguma forma, como uma chave estrangeira num banco de dados. Há algum tipo de identificador para chegar ao titular original.
Segrega o sistema dando acesso às pessoas que precisam de uma informação específica sem que eles tenham acesso as informações completas do usuário.
- Qualquer operação de tratamento de dados pessoais em território nacional
- Pessoa física de direito plúblico ou privado
- Ao fazer negóciações com empresas internacionais, os dados ainda sim são protegidos pela LGPD mesmo que não tenha sede no Brasil, pois ainda está usando dados de brasileiros. Portanto tem extensão mundial. Mesmo se forem coletados no Brasil e usados fora do território nacional, essa Lei ainda vale, mesmo se estivessem hospedados nos EUA, Europa, etc.
- Impacta todos os nichos de mercado que usam dados de pessoas físicas (Marketing, mercados, bancos, hotelarias, mídicas, cartões, jogos, aeroportos, etc.).
- Fim particular não-econômico
- Proteção à vida (Exemplo: pegar dados de um paciente numa emergência de saúde)
- Fins jornalísticos ou artísticos (Exemplo: reportagens que usam nome e idade de pessoa)
- Fins acadêmicos (Exemplo: mencionar autores em uma monografias)
- Defesa e investigações
- Segurança pública
- Titular: Dono dos dados
- Controlador: Pessoa natural (física) ou jurídica, de direito público ou privado. Competem as decisões referentes aos tratamentos de dados pessoais. Exemplo: Analista do banco de dados que contém as informações do titular.
- Operador: Pessoa natural ou jurídica, de direito público ou privado, e que realiza o tratamento de dados em nome do controlador. Exemplo: Atendente de call center que manipula os dados do titular, um funcionário de suporte de software que tem acesso a esses dados.
- ANPD: Agência responsável pela regulação sobre a proteção de dados pessoais; Responsável por zelar, implementar e fiscalizar a LGPD.
Lei nº 13.853, de 8 de Julho de 2019 Buscará zelar pela proteção de dados pessoais, segredos comerciais e industriais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, realizar auditorias ou determinar sua realização, estimular a adoção de padrões para serviços e produtos, e muito mais.
- Responde a presidência da república, teoricamente ficaria em Brasília. Têm autoridade sob todo o território nacional.
Encarregado pela proteção de dados, buscando garantir o cumprimento da Lei. Pode ser um serviço terceirizado; É obrigatório para empresas que tratam dados. Deve se reportar ao alto nível de direção da empresa, e possuir autonomia e estabilidade.
- Recepcionar e atender demandas dos titulares dos dados.
- Interagir com a Autoridade Nacional de Proteção de dados - ANPP.
- Orientar funcionários e terceiros quanto a práticas de proteção de dados.
-
Nâo há obrigação de ser uma pessoa técnica ou da área de TI; Podem ser advogados, compliance, gestão de risco, etc.
-
Não precisa ser exclusivamente DPO, podendo ter outros papéis na empresa.
-
Basicamente o responsável que será chamado caso ocorra um vazamento ou algo do tipo na empresa, por ser o encarregado dos dados.
-
Certificações:
- EXIN Information Security Management (Foundation)
- EXIN Privacy & Data Protection (Foundation)
- EXIN Privacy & Data Protection (Practitioner) = Selo EXIN Data Protection Officer.
- Oposição ao tratamento de dados.
- Eliminação de dados pessoais desnecessários ou excessivos caso seu tratamento seja ilítico.
- Correção de dados pessoais incompletados, desatualizados ou errados.
- Acesso aos dados pessoais conservados que lhe digam respeito.
- Confirmação de que existe um ou mais tratamento de dados sendo realizado.
- Portabilidade de dados a outro fornecedor de serviço ou produto.
- Revogação do consentimento, nos termos da lei.
- Reclamação contra o controlador dos dados junto a autoridade nacional (A empresa exclui os dados? Está vazando de forma ilegal?).
- Eliminação de dados (exceto quando o tratamento é legal, mesmo que sem o consentimento do titular).
- Processo judicial, administrativo ou arbitral
- Tutela da saúde (para profissionais específicos)
- Interesse público
- Proteção de crédito
- Legitmo Interesse
- Proteção da vida do titular ou de terceiro
- Consentimento
- Execução de contrato
- Realização de estudos por órgão de pesquisa
- Eliminação de dados pessoais
- Multa de até 2% do faturamento do grupo no Brasil (Teto de R$ 50 milhões por infração)
- Advertência
- Publicização da infração
Reincidência, boa-fé, condição econômica, proporção da infração, cooperação do infrator (não tentar omitir), grau do dano, vantagens obtida/pretendida (vazamento proposital), pronta adoção de medidas para corrigir vazamentos, etc.
Produto ou serviço onde a privacidade é pensada logo na sua concepção. É pró-ativo, antes de fazer deve ser pensado em boas práticas e métodos para a segurança e privacidade da informação; Está no desenho do produto.
Decorrência do Privacy By Design; O sistema vem o mais protegido possível, não coletando dados do qual não foi autorizado por padrão. O produto ou serviço é lançado e recebido pelo usuário com todas as seguranças que foram concebidas durante seu desenvolvimento, atendendo o princípio do Privacy by Design. Exemplo: Cookies; Hoje em dia é comum os sites apresentarem o pedido de aceita-los ou não.
-
Mapa em tempo real de riscos cibernéticos: cybermap.kaspersky.com
-
Verificar se email estava cadastrado em um serviço quando dados foram vazados: haveibeenpwned.com