Post on 21-Nov-2018
CYBERSECURITY:
IMPACTOS DA
REGULAÇÃO GERAL
DE PROTEÇÃO DE DADOS
Aspectos Jurídicos
Responsabilidades e Consequências
PARTE 1O QUE PROTEGER?
© K. Klempp Franco e L. F. P. Andrade, 2018
O QUE PROTEGER?
Fatos sobre a pessoa
Fatos sobre a empresa
Segredos de negócio
Informações confidenciais
Privacidade
Dados pessoais
Proteção do sigilo
Ambiente digital
© K. Klempp Franco e L. F. P. Andrade, 2018
O QUE PROTEGER?
• Conceito de segredo de negócio é antigo e se relaciona com a propriedade intelectual e a concorrência desleal.
• Segredo de indústria → segredo de indústria + segredo de comércio → segredo de negócio.
• São informações com valor econômico e cujo valor depende de seu desconhecimento pelos concorrentes.
• Representam vantagens competitivas.
• No ambiente digital têm facilidade de circulação e acesso, daí a necessidade de proteção da confidencialidade.
Informações confidenciais de negócio
© K. Klempp Franco e L. F. P. Andrade, 2018
O QUE PROTEGER?
• Conceito de proteção de dados pessoais é relativamente recente e decorre do processamento de dados automatizado.
• Desdobramento do direito à privacidade no ambiente digital.
• Direito de não ser vigiado → proteção contra mau uso de informações sobre si → controle do uso dessas informações.
• Dados pessoais são usados e têm seu valor como insumo para vários negócios: “insights” (descoberta de correlações), classificação de pessoas, monitoramento de comportamentos, direcionamento de comportamentos...
• Há dados sensíveis pois abrem caminho à discriminação.
Dados pessoais
© K. Klempp Franco e L. F. P. Andrade, 2018
O QUE PROTEGER?
Dados sobre uma pessoa natural identificada ou identificável.
Dados de pessoas jurídicas não são dados pessoais.
Dados anônimos não são dados pessoais.
Definição de dados pessoais
<https://xkcd.com/1971/>
© K. Klempp Franco e L. F. P. Andrade, 2018
PARTE 2QUEM DEVE PROTEGER?
© K. Klempp Franco e L. F. P. Andrade, 2018
QUEM DEVE PROTEGER?
• Não há uma lei geral, mas existem leis esparsas e projetos de lei na Câmara dos Deputados e no Senado Federal.
• Marco Civil da Internet - Lei nº 12.965/2014: Qualquer empresa provedora de conexão ou de aplicação de internet que colete, armazene, guarde ou processe dados pessoais em território brasileiro.
• Código de Defesa do Consumidor - Lei nº 8.708/1990: Qualquer pessoa que preste serviços ou venda bens a destinatários finais (i.e. consumidores) no Brasil.
• Empresas estrangeiras podem estar sujeitas a essas regras.
Legislação brasileira de dados pessoais
© K. Klempp Franco e L. F. P. Andrade, 2018
QUEM DEVE PROTEGER?
• Regulamento Geral de Proteção de Dados - Regulamento (UE) 2016/679: Regras mínimas uniformes para toda a União Europeia, que pode ser adaptada a cada Estado-membro por suas leis internas (e.g. DSAnpUG-EU da Alemanha).
• Aplica-se quando houver coleta, armazenamento, guarda e processamento de dados por uma empresa situada em território de Estado-membro da EU ou por suas contratadas.
• No caso, a aplicação à empresas da EU independe do local do tratamento desses dados.
Regulamento europeu de dados pessoais
© K. Klempp Franco e L. F. P. Andrade, 2018
QUEM DEVE PROTEGER?
• Aplica-se a empresas estrangeiras que ofereçam bens ou serviços a pessoas presumivelmente europeias (e.g. usando língua, moeda, contatos de algum Estado-membro).
• Também se aplica a empresas estrangeiras que monitorem o comportamento de pessoas europeias (e.g. ferramentas de business analytics).
Aplicação do regulamento ao exterior
© K. Klempp Franco e L. F. P. Andrade, 2018
QUEM DEVE PROTEGER?
• O regulamento restringe a transferência de dados para empresas estrangeiras que garantam proteção equivalente.
• A garantia de proteção é presumida para países que têm uma “Decisão de Adequação” da Comissão da EU (Brasil não tem).
• Caso contrário, a empresa europeia deve assinar um contrato com a estrangeira contendo cláusulas padronizadas de proteção de dados aprovadas pela Comissão da EU.
• Grupos econômicos podem instituir, mediante aprovação, suas regras corporativas vinculantes de proteção de dados para garantir sua livre circulação dentro do grupo.
Transferências internacionais
© K. Klempp Franco e L. F. P. Andrade, 2018
QUEM DEVE PROTEGER?
Mais de uma norma pode ser aplicável
Marco Civil da Internet
(BR)
Código do Consumidor
(BR)
Regulamento Geral de Proteção de
Dados(UE)
© K. Klempp Franco e L. F. P. Andrade, 2018
PARTE 3COMO PROTEGER?
© K. Klempp Franco e L. F. P. Andrade, 2018
• O tratamento de dados pessoais requer consentimento.
• O consentimento vincula a determinados propósitos.
• Os dados devem ser eliminados após esgotado seu propósito.
• O sujeito dos dados pode consultá-los, alterá-los e excluí-los.
• Medidas de segurança de informação.
O Brasil adota o paradigma da proteção,enquanto a EU adota o do controle.
As regras da EU englobam as brasileiras.Proteção da UE
COMO PROTEGER?
Paralelos entre as regras do BR e da UE
Proteção do BR
© K. Klempp Franco e L. F. P. Andrade, 2018
COMO PROTEGER?
• Proteção especial para dados sensíveis em relação aos direitos e liberdades fundamentais.
• Restrição ao uso de algoritmos para decisão.
• Obrigatoriedade de instituir um oficial de proteção de dados.
• Necessidade de informação sobre violações às autoridades de controle em 72 horas.
• Restrição à transferência internacional de dados.
• Regras com relação ao direito ao esquecimento.
• Maior rigor na aplicação das regras de proteção.
Proteção adicional nas regras da UE
© K. Klempp Franco e L. F. P. Andrade, 2018
COMO PROTEGER?
• Privacy by design: ter em mente a proteção da privacidade desde a concepção do projeto – relação com os conceitos de safety by design (proteção contra acidentes) e security bydesign (proteção do produto ou serviço).
• Abordagem holística da segurança de informação: a proteção das diferentes informações considerada como um todo.
• Integração entre segurança analógica e cyber security.
• As políticas de segurança devem levar em conta as ações e interferências de outros sistemas (e.g. internet das coisas) e do mundo físico (e.g. acesso às dependências da empresa).
Garantia da proteção
© K. Klempp Franco e L. F. P. Andrade, 2018
COMO PROTEGER?
Deve-se ter em conta o comportamento das pessoas com seusdispositivos pessoais, redes sociais, etc.
Proteção além do sistema
<https://xkcd.com/1977/>
© K. Klempp Franco e L. F. P. Andrade, 2018
PARTE 4POR QUE PROTEGER?
© K. Klempp Franco e L. F. P. Andrade, 2018
Dados pessoais
Ataque à integridadedos dados e registros
Vazamentodos dados
Perda de registros pela própria empresa
Uso indevido pela empresa ou parceiros
POR QUE PROTEGER?
A violação das políticas da empresa podem trazerconsequências jurídicas e a danos à sua imagem.
Dificilmente uma violação grave será reparada por completo.
Violação da proteção de dados
© K. Klempp Franco e L. F. P. Andrade, 2018
POR QUE PROTEGER?
• Código de Defesa do Consumidor:penalidades do Sistema Nacional de Defesa do Consumidor.
• Marco Civil da Internet: multa de até 10% do faturamento brasileiro do grupo econômico e possível suspensão ou mesmo proibição das atividades de tratamento de dados no Brasil.
• Regulamento Geral de Proteção de Dados da EU:multa de até 4% do faturamento mundial do grupo econômico ou de até EUR 20.000.000 – o que for maior.
Punições administrativas severas
© K. Klempp Franco e L. F. P. Andrade, 2018
POR QUE PROTEGER?
• Entendimento pacífico que o uso indevido de dados pode causar dano moral.
• Principal preocupação no Brasil é com o vazamento de dados ao público em geral.
• O vazamento de dados falsos pode causar dano mais grave que o vazamento de dados verdadeiros por exposição da pessoa a situação vexatória.
• O vazamento de dados de maior sensibilidade (e.g. raça, religião, orientação sexual, saúde, vida íntima) além de causar danos pode levar à discriminação e a ataques de terceiros.
Indenizações por perdas e danos
© K. Klempp Franco e L. F. P. Andrade, 2018
POR QUE PROTEGER?
O mau uso dos dados pode sujeitar à ação coletiva por acidente de consumo nos termos do Código de Defesa do Consumidor.
Possibilidade de ação civil pública
<http://www.migalhas.com.br/Quentes/17,MI278853,11049-Associacao+processa+Facebook+por+vazamento+de+dados+de+usuarios>
© K. Klempp Franco e L. F. P. Andrade, 2018
Obrigada.
Dr. Karin Klempp Francokklempp@rothmann.com.br