Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Legislação Brasileira e a Proteção de
Dados Pessoais
Renato Leite Monteiro
rmonteiro@opiceblum.com.br
Polêmicas
Polêmicas
Polêmicas
Polêmicas
Polêmicas
Polêmicas
8
Polêmicas
• ebay:145 milhões de pessoas afetadas;
• JPMorgan Chase & Co.: 76 milhões de contas de
pessoas físicas e 7 mi...
9
Polêmicas
77% das empresas admitem que tiveram
vazamento de dados no último ano, por
conta de algum tipo de incidente. A...
12
Legislação Internacional
1973: US Fair Information Principles;
1980: OECD Guidelines Governing the Protection of Priv...
A INTERNET É AUSENTE DE LEIS SOBRE PRIVACIDADE DE
DADOS???!!!
13
Existe legislação?
Legislação Nacional – Proteção Setorial
Constituição Federal de 1988;
LEI 8.078/1990: Código de Defesa do Consumidor;
L...
Legislação Nacional – Proteção Setorial
LEI 12.414/2011: disciplinou o cadastro positivo e certos aspectos
sobre proteção...
16
Lei 12.737/2012
Art. 154-A. Invasão
Invadir dispositivo informático alheio +
Violação indevida de mecanismo de seguranç...
17
Regulamentação
19
Marco Civil (Lei n.º 12.965/2014)
- Princípios:
Art. 3º A disciplina do uso da internet no Brasil tem
os seguintes prin...
20
Marco Civil (Lei n.º 12.965/14)
- Demais previsões – Direitos dos usuários (Artigo 7º)
I - inviolabilidade da intimidad...
21
Direitos e garantias dos usuários
22
Marco Civil (Lei n.º 12.965/14)
- Demais previsões – Direitos dos usuários (Artigo 7º)
VI - informações claras e comple...
Algumas solicitações invasivas do Facebook Messenger:
• Permissão para alterar o estado de conectividade de rede;
• Permis...
24
Marco Civil (Lei n.º 12.965/14)
- Demais previsões – Direitos dos usuários (Artigo 7º)
VIII - informações claras e comp...
LIVRE
EXPRESSO
INFORMADO
CONSENTIMENTO
26
Marco Civil (Lei n.º 12.965/14)
- Demais previsões – Direitos dos usuários (Artigo 7º)
X - exclusão definitiva dos dado...
27
Segurança
Art. 13. Na provisão de conexão à internet, cabe ao
administrador de sistema autônomo respectivo o dever de
m...
28
APL de Proteção de Dados Pessoais
29
• Dado pessoal;
• Dados sensíveis;
• Consentimento;
• Possibilidade de negar o tratamento de
dados pessoais;
• Autorida...
30
O que é dado pessoal?
• Lei de Acesso à Informação (banco de dados públicos)
– Art. 4º Para os efeitos desta Lei, consi...
31
Princípios
• Finalidade: legítimas, específicas, explícitas e conhecidas do titular;
• Adequação: compatível com a fina...
32
Consentimento
33
Enforcement
• Autoridade de garantia: provável criação de uma entidade
administrativa específica para supervisionar a a...
34
Principais pontos
• Vazamentos de dados e notificações obrigatórias:
• Comunicação imediata ao órgão competente sobre a...
Obras sobre o tema!
35
Renato Leite Monteiro
@RenatoLMonteiro
Renato Leite Monteiro
rmonteiro@opiceblum.com.br
www.opiceblum.com.br
Proteção de dados pessoais e o Marco Civil da Internet
Proteção de dados pessoais e o Marco Civil da Internet
Proteção de dados pessoais e o Marco Civil da Internet
Nächste SlideShare
Wird geladen in …5
×

Proteção de dados pessoais e o Marco Civil da Internet

854 Aufrufe

Veröffentlicht am

Palestra de encerramento do evento Mind The Sec (http://mindthesec.com.br/), em agosto de 2015, onde abordei o panorama jurídico sobre proteção de dados existe à época e as tendências para futuras regulamentações.

Veröffentlicht in: Recht
  • Als Erste(r) kommentieren

Proteção de dados pessoais e o Marco Civil da Internet

  1. 1. Legislação Brasileira e a Proteção de Dados Pessoais Renato Leite Monteiro rmonteiro@opiceblum.com.br
  2. 2. Polêmicas
  3. 3. Polêmicas
  4. 4. Polêmicas
  5. 5. Polêmicas
  6. 6. Polêmicas
  7. 7. Polêmicas
  8. 8. 8 Polêmicas • ebay:145 milhões de pessoas afetadas; • JPMorgan Chase & Co.: 76 milhões de contas de pessoas físicas e 7 milhões de contas empresariais; • Home Depot: 56 milhões de cartões de crédito afetados; • CHS community Health Systems: 4,5 milhões de pessoas afetadas; • Michaels Stores: 2,6 milhões de pessoas afetadas; • Nieman Marcus: 1,1 milhão de pessoas afetadas; http://www.ponemon.org/local/upload/file/2014%20The%20Year%20of%20the%20Mega%20Breach%20FINAL3.pdf
  9. 9. 9 Polêmicas 77% das empresas admitem que tiveram vazamento de dados no último ano, por conta de algum tipo de incidente. A principal causa citada para isso é a perda ou o roubo de equipamentos, seguida por ataques à rede, vulnerabilidades dos dispositivos móveis, Web 2.0 e e-mails enviados para remetentes errados. http://www.ponemon.org/local/upload/file/2014%20The%20Year%20of%20the%20Mega%20Breach%20FINAL3.pdf
  10. 10. 12 Legislação Internacional 1973: US Fair Information Principles; 1980: OECD Guidelines Governing the Protection of Privacy and Transborder Data Flows of Personal Data; 1981: Council of Europe Convention for Protection of Individuals with Regard to the Automatic Processing of Personal Data; 1995: EU Data Protection Directive (EC 46/95); 2002: EU Directive on privacy and electronic communications (EC 2002/58); 2004: APEC – Asian Pacific Economic Cooperation Privacy Framework; 2009: Madrid Resolution – International Standard on the Proctection of Personal Data; 2014: Anulação da Diretiva Europeia de Retenção de Registros Eletrônicas
  11. 11. A INTERNET É AUSENTE DE LEIS SOBRE PRIVACIDADE DE DADOS???!!! 13 Existe legislação?
  12. 12. Legislação Nacional – Proteção Setorial Constituição Federal de 1988; LEI 8.078/1990: Código de Defesa do Consumidor; LEI 9.472/97: Lei Geral de Telecomunicações; LEI 9.507/97: Habeas Data; LEI 9.983/2000: crime de inserção de dados falsos em sistemas de informações da administração pública; LEI COMPLEMENTAR 105/2001: sigilo das operações de instituições financeiras 2002: Novo Código Civil; Portaria nº 5/2002 da SDE/MJ: tornou abusiva cláusulas em contratos de consumo que autorizavam o envio de dados pessoais sem o consentimento prévio.
  13. 13. Legislação Nacional – Proteção Setorial LEI 12.414/2011: disciplinou o cadastro positivo e certos aspectos sobre proteção de dados pessoais no ambiente creditício (julgamento STJ); LEI 12.527/2011: lei de acesso a informação (Art. 31); LEI 12.737/2012: crime de invasão de dispositivos informáticos (Lei Carolina Dieckmann); DECRETO 7962/2013: regulamentou comércio eletrônico; LEI 12.846/2013: lei anticorrupção; LEI 12.965/2014: Marco Civil da Internet; 2015: Anteprojeto de Proteção de Dados Pessoais.
  14. 14. 16 Lei 12.737/2012 Art. 154-A. Invasão Invadir dispositivo informático alheio + Violação indevida de mecanismo de segurança + Com o fim de obter, adulterar ou destruir dados ou informações sem autorização do titular Ou instalar vulnerabilidades para obter vantagem ilícita. Art. 154-A, § 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. Art. 154-A, §3º Reclusão, de 6 (seis) meses a 2 (dois) anos se da invasão resultar: A obtenção de conteúdo de comunicações eletrônicas privadas; A obtenção de segredos comerciais ou industriais; A obtenção de informações sigilosas, assim definidas em lei, ou O controle remoto não autorizado do dispositivo invadido.
  15. 15. 17 Regulamentação
  16. 16. 19 Marco Civil (Lei n.º 12.965/2014) - Princípios: Art. 3º A disciplina do uso da internet no Brasil tem os seguintes princípios: (...) II - proteção da privacidade; III - proteção dos dados pessoais, na forma da lei;
  17. 17. 20 Marco Civil (Lei n.º 12.965/14) - Demais previsões – Direitos dos usuários (Artigo 7º) I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação; [Art. 5º, X/CF] II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei; [Art. 5º, XII/CF] III - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial; [Art. 5º, XII/CF]
  18. 18. 21 Direitos e garantias dos usuários
  19. 19. 22 Marco Civil (Lei n.º 12.965/14) - Demais previsões – Direitos dos usuários (Artigo 7º) VI - informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade; VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
  20. 20. Algumas solicitações invasivas do Facebook Messenger: • Permissão para alterar o estado de conectividade de rede; • Permissão para fazer ligações sem intervenção do usuário, possivelmente causando cobranças adicionais sem necessidade de confirmação; • Permissão para envio de mensagens SMS sem necessidade de intervenção ou confirmação; • Permissão para gravação de áudio com o microfone do celular sem confirmação do usuário; • Permissão de uso da câmera para fazer fotos e vídeos sem a confirmação do usuário; • Permissão para leitura do histórico de chamadas. Estes dados são apenas salvos, mas outros apps maliciosos podem compartilhar estas informações sem conhecimento do usuário; • Permissão para ler dados sobre contatos do usuário armazenados no telefone, para ver com que frequência você se comunica com um indivíduo em específico por telefone, e-mail ou outras formas de contato; • Permissão para identificar o usuário pelas informações guardadas no celular, com nome e informações de contato. Estes dados podem ser enviados para terceiros; • Permissão para acessar recursos de identificação do celular, possibilitando o reconhecimento até mesmo o número telefônico do usuário; • Permissão para receber uma lista de contas conhecidas no telefone, incluindo quaisquer apps instalados no aparelho. Facebook Messenger Política de Privacidade
  21. 21. 24 Marco Civil (Lei n.º 12.965/14) - Demais previsões – Direitos dos usuários (Artigo 7º) VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; e c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet; IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;
  22. 22. LIVRE EXPRESSO INFORMADO CONSENTIMENTO
  23. 23. 26 Marco Civil (Lei n.º 12.965/14) - Demais previsões – Direitos dos usuários (Artigo 7º) X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei; XI - publicidade e clareza de eventuais políticas de uso dos provedores de conexão à internet e de aplicações de internet;
  24. 24. 27 Segurança Art. 13. Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do regulamento. Art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.
  25. 25. 28 APL de Proteção de Dados Pessoais
  26. 26. 29 • Dado pessoal; • Dados sensíveis; • Consentimento; • Possibilidade de negar o tratamento de dados pessoais; • Autoridade de garantia; • Privacy Officer; • Transferências internacionais de dados; • Normas Corporativas Globais; • Binding Corporate Rules – BCRs; • Vazamentos de dados e notificações obrigatórias; • Responsabilidade; • Sanções; • Vacatio legis. Principais pontos
  27. 27. 30 O que é dado pessoal? • Lei de Acesso à Informação (banco de dados públicos) – Art. 4º Para os efeitos desta Lei, considera-se: IV - informação pessoal: aquela relacionada à pessoa natural identificada (dados cadastrais) ou identificável (dado em contexto); • Lei de Cadastro Positivo – § 3º Ficam proibidas as anotações de: II - informações sensíveis, assim consideradas aquelas pertinentes à origem social e étnica, à saúde, à informação genética, à orientação sexual e às convicções políticas, religiosas e filosóficas. • Marco Civil da Internet: ??? • Anteprojeto de Lei de Dados Pessoais: – Dado pessoal: dado relacionado à pessoa natural identificada ou identificável, inclusive a partir de números identificativos, dados locacionais ou identificadores eletrônicos. Desta forma, tags, registros de geolocalização e até mesmo números IP podem, eventualmente, ser considerados dados pessoais. – Dados sensíveis: dados pessoais que revelem a origem racial ou étnica, religiosas, filosóficas ou morais, opiniões políticas, saúde, vida sexual, dados genéticos. – Dados anônimos?
  28. 28. 31 Princípios • Finalidade: legítimas, específicas, explícitas e conhecidas do titular; • Adequação: compatível com a finalidade e com as expectativas do titular, não excessivos; • Necessidade: mínimo necessário para as finalidades almejadas; • Livre acesso: modalidades de tratamento e a integridade de seus dados pessoais; • Qualidade de dados: exatidão, clareza e atualização dos dados; • Transparência: informações claras e adequadas sobre o tratamento; • Segurança: medidas de proteção proporcionais para proteção contra acessos não autorizados; • Prevenção: prevenir a ocorrência de danos em virtude do tratamento; • Discriminação: tratamento não pode ser para fins discriminatórios.
  29. 29. 32 Consentimento
  30. 30. 33 Enforcement • Autoridade de garantia: provável criação de uma entidade administrativa específica para supervisionar a aplicação da Lei de Proteção de Dados Pessoais, conhecida como “Data Protection Authority”. O APL usa a expressão “órgão competente”, sem definição que agência pública receberá tais competências; • Privacy Officer: conceituada como “encarregado”, ou seja, a pessoa responsável dentro da empresa pelas operações e políticas de tratamento de dados pessoais e pela comunicação com o órgão competente, a versão anterior determinava que toda empresa com mais de 200 funcionários deveria criar tal cargo. A nova versão não delimita um tamanho específico;
  31. 31. 34 Principais pontos • Vazamentos de dados e notificações obrigatórias: • Comunicação imediata ao órgão competente sobre a ocorrência de qualquer incidente de segurança que possa acarretar prejuízo aos titulares dos dados pessoais; • Titulares devem ser comunicados diretamente toda vez que houver um risco a sua segurança pessoal ou possa causar danos, a ser determinado pelo órgão competente; • Responsabilidade subjetiva: responsabilidade desde que provada culpa; • Sanções: podem variar desde multa até proibição, por um período de até 10 anos, de tratamento de dados pessoais; • Vacatio legis: o vacatio de 120 dias, período que as empresas e órgãos públicos sujeitos a lei terão para se adaptar.
  32. 32. Obras sobre o tema! 35
  33. 33. Renato Leite Monteiro @RenatoLMonteiro Renato Leite Monteiro rmonteiro@opiceblum.com.br
  34. 34. www.opiceblum.com.br

×