Documente Academic
Documente Profesional
Documente Cultură
4 Medalhas Militares
A POSTURA DO PROFESSOR NAS REDES SOCIAIS
Albert Schweitzer
3
1 TREND TOPICS
PROTEÇÃO
DE DADOS
“PRIVACY IS NOT DEAD,
IT IS HIRING”
“A PRIVACIDADE NÃO ESTÁ MORTA,
ESTÁ CONTRATANDO”
J. Trevor Hughes, Presidente da IAPP
DADOS SÃO A RIQUEZA DA SOCIEDADE DIGITAL
SEGURADORA FARMACÊUTICA
MODELO
REGULAMENTAÇÃO
DADOS (padronização de regras)
NEGÓCIO
CONTROLES
(verificação se está
cumprindo as regras)
O GDPR passou a valer em maio
de 2018 e vem mudando o
cenário global, impactando a
forma de se fazer negócios,
principalmente os negócios
digitais, que são baseado em
dados.
FONTE: https://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&infoid=50616&sid=15
LEI Nº 13.709 – LEI GERAL DE
PROTEÇÃO DE DADOS DO BRASIL
1) TRANSPARÊNCIA
2) CONTROLE
3) CONSENTIMENTO
4) SEGURANÇA
DADO PESSOAL:
Informação relacionada a
pessoa natural identificada
ou identificável.
Lei 13.709/18 – LGPD
Pontos de atenção
DADOS PESSOAIS
DADOS PESSOAIS
SENSÍVEIS
Informações acerca da
Informações que tornam
individualidade da pessoa;
possível a identificação da
como informações genéticas,
pessoa (identifica ou é
de saúde, sua visão política,
identificável); como
orientação religiosa ou
endereço, CPF, nome,
expressão de sexualidade,
endereço de IP, fotos, placa
sindicais, biometria.
de carro, etc.
DADO ANONIMIZADO (art. 12): dado relativo a titular que não
possa ser identificado, considerando a utilização de meios
técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Tipos de
Tipos de
tratamentos de
dados finalidade Justificativas
dados pessoais
pessoais de uso jurídicas
Realizados
coletados
TRANSPARÊNCIA É REGRA!
LEI 13.709: CAPÍTULO VIII – DA FISCALIZAÇÃO
1.REGULAMENTAÇÃO
2.CONTRATOS
3.PROCEDIMENTOS
4.FERRAMENTAS
5.CONSCIENTIZAÇÃO
Design by
Freepik.com
COMPLIANCE DIGITAL
1º PILAR
GOVERNANÇA DE DADOS PESSOAIS
❑ A privacidade deve ser considerada em todas as fases do projeto: by
design (vertical – naquele projeto específico) e by default (horizontal –
governança da empresa)
❑ As falhas de segurança e os incidentes devem ser notificados
❑ É necessário garantir que os fornecedores e terceiros adotam medidas
protetivas suficientes
❑ É preciso gerenciar os dados pessoais compartilhados dentro e fora do
ambiente organizacional
COMPLIANCE DIGITAL
2º PILAR
GESTÃO DE DADOS PESSOAIS
❑ É preciso garantir que os procedimentos que envolvem tratamento de dados
pessoais estão respeitando a minimização e a finalidade do uso dos dados pessoais
❑ Todas as informações devem ser registradas com identificação e detalhes da
organização – deve ser criado um fluxo de dados pessoais
❑ É preciso garantir que os dados pessoais transferidos ou a serem transferidos fora do
território garantem que os países respeitam as regras de privacidade e proteção de
dados pessoais
❑ É necessário ter um DPO – Data Protection Officer
❑ É preciso ter procedimento claro para alteração, correção e exclusão solicitadas pelos
titulares
COMPLIANCE DIGITAL
3º PILAR
TRANSPARÊNCIA DE DADOS PESSOAIS
❑ É preciso comprovar o consentimento (evidência, trilha de auditoria)
❑ É necessário garantir a suspensão ou revogação do consentimento a todo
momento
❑ As informações sobre o tratamento de dados pessoais devem ser claras,
acessíveis, interpretáveis e disponíveis
❑ A portabilidade de dados pessoais deve ser garantida: o processo deve
garantir a facilidade de transferência de dados para outro fornecedor
sempre que solicitado pelo titular
CUIDADO COM SIGILO,
CIBER SEGURANÇA E
PROTEÇÃO DE DADOS
PESSOAIS NA SAÚDE
Fonte: https://noticias.r7.com/jornal-da-record/videos/medica-e-demitida-apos-publicar-fotos-do-filho-brincando-
no-centro-cirurgico-12052017 Acesso em: 22 ago. 2017.
Proibição de uso de celulares
Fonte: https://oglobo.globo.com/sociedade/vazamento-de-imagens-de-pacientes-faz-hospitais-adotarem-medidas-como-
proibicao-de-celulares-17075250 Acesso em: 22 ago. 2017.
Fonte:
https://jconline.ne10.uol.com.br/canal/mundo/internacional/noticia/2 31
018/08/01/equipe-medica-e-afastada-por-publicar-selfie-tirada-
CHILE
Em junho de 2017, o Chile presenciou um
incidente nas redes sociais que gerou
revolta entre a população.
Circulou um vídeo que mostrava uma
equipe médica assistindo dentro do centro
cirúrgico uma partida de futebol,
enquanto o paciente estava na mesa
aguardando para ser operado.
Fonte: http://www.expressnews.com/business/local/article/Former-employee-reportedly-steals-mental-health-12405113.php
USA
Violação de dados de saúde em roubo de laptop afeta 43K
Fonte: https://healthitsecurity.com/news/potential-wv-health-data-breach-from-laptop-theft-affects-43k
USA Violação de dados do Sistema de Saúde Henry Ford atingem
cerca de 20.000 pacientes
Fonte: http://pppadvogados.com.br/wp-
content/uploads/2017/03/PPP_EntrevistaRevistaVeja_WhatsApp_Marco2017.pdf - Acesso em: 15 ago. 2017.
Como blindar a instituição de saúde?
INFORMAÇÃO
EDUCAÇÃO
DILIGÊNCIA
DISCRIÇÃO
IMPARCIALIDADE
https://www.flickr.com/photos/shyald/ 40
Não faça justiça com o próprio mouse!
3 pilares
“Fui esclarecido(a) que os dados pessoais, histórico clínico, imagens e fotografias coletados na admissão do paciente na Unidade e durante a
realização dos procedimentos são fundamentais para o avanço da assistência à saúde, pesquisa clínica, trabalhos científicos, estudos retrospectivos,
observacionais e educação médica continuada. Igualmente, fui esclarecido(a) que as informações clinicas coletadas serão compartilhadas com
terceiros envolvidos no processo assistencial, empresas do mesmo Grupo econômico, controladas, coligadas e subsidiarias, que otimizando os
recursos disponíveis constituirão uma base de dados enriquecida para criação de protocolos em medicina e promoção à saúde e medicina
preventiva.”
( ) Declaro ser o próprio paciente e por meu livre e expresso consentimento autorizo o uso e compartilhamento das
informações, imagens/fotografias (quando couber), na forma mencionada no item X acima.
( ) Declaro ser responsável legal do paciente menor de idade e manifesto livre e expresso consentimento conforme artigo 14 da Lei
13.709/2018 para autorizar o uso e compartilhamento das informações, imagens/fotografias (quando couber), na forma mencionada no item X
acima..
( ) Declaro ser o representante legal do paciente e manifesto livre e expresso consentimento conforme artigo 14 da Lei 13.709/2018 para
autorizar o uso e compartilhamento das informações, imagens/fotografias (quando couber), na forma mencionada no item X acima. .
Na hipótese de ser mero acompanhante, familiar ou de não haver a marcação acima, estou ciente que com a assinatura deste Termo as informações
serão usadas apenas de maneira anonimizada e sem qualquer identificação do paciente, em atenção e respeito às normas estabelecidas no Código
de Ética Médica e na Lei Geral de Proteção de Dados e demais legislações aplicáveis.
DATA PROTECTION OFFICER (DPO)
No Brasil, o DPO ou Encarregado:
✓ Senha de bloqueio
✓ Bloqueio automático por
inatividade
✓ Antivírus/Antispyware
✓ App Apagamento Remoto
✓ Backup em Nuvem Segura
✓ Sabe número IMEI para bloqueio
Fonte: Autor Desconhecido Disponível em https://giphy.com/gifs/smartphone-cr1Wza01b50re
54
5
5
https://pixabay.com/pt/empres%C3%A1rio-empres%C3%A1ria-2753324/
https://www.flickr.com/photos/adactio/
https://www.flickr.com/photos/wiertz/
56
https://www.flickr.com/photos/sidelong/
5
7
58
PDCA LEGAL
Blindagem da Inovação Tecnológica
Vigilância
Regras Claras (algumas
Monitoramento e
precisam ser por lei,
Documentação das
regulamentação de
evidências (guarda
indústria)
provas) com ferramentas
17
O QUE DEVE SER
ATUALIZADO NOS CONTRATOS?
MELHORES PRÁTICAS CONTRATOS
1. Deixar claro as finalidades de uso dos dados pessoais para atender ao princípio
da Transparência
Direta;
Via terceiros; c) Em relação ao uso do dado pessoal (finalidade):
Via Internet pública;
Processos que usam dados pessoais;
b) Em relação ao armazenamento do dado: Como os dados são manipulados;
Utilização de sistemas;
Arquitetura de bancos de Dados; Compartilhamentos praticados;
Segurança dos bancos de dados;
Segregação de dados pessoais e sensíveis; d) No caso de transferência
Categorização dos dados;
Controle de acesso; Entre departamentos;
Com terceiros;
Se há transferência internacional;
Monitoramento contra vazamento de informação.
MELHORES PRÁTICAS CONTRATOS
✓ Cláusula de sigilo e confidencialidade;
✓ Cláusula de direito de uso e direito de acesso aos dados;
✓ Cláusula sobre propriedade intelectual relacionada às bases
de dados;
✓ Cláusula sobre privacidade e proteção dos dados (em
especial com definição de dados pessoais, consentimento e
finalidades de uso);
✓ Cláusula sobre enriquecimento de base de dados;
✓ Cláusula sobre cessão, transferência e compartilhamento
de dados;
✓ Cláusula sobre criptografia e demais medidas de segurança
da informação (controle de acesso, fator de autenticação,
monitoração);
✓ Cláusula sobre limitação de responsabilidade;
✓ Cláusula sobre temporalidade e descarte seguro.
MELHORES PRÁTICAS CONTRATOS
Check-list Privacy Risk (tratamento dados pessoais em Cloud e/ou em terceiros)
✓ O projeto irá de algum modo tratar dados pessoais (qualquer tipo de tratamento, captura, uso,
armazenamento mesmo temporário, compartilhamento, edição, manipulação, outros)?
✓ Há possibilidade de tratar também dados pessoais sensíveis (relacionados à saúde, genético, biométrico,
escolha sexual, racial, étnica, religiosa, filosófica, política, sindical)
✓ Há possibilidade de captura de geolocalização que possa determinar de algum modo também associação à
dados pessoais sensíveis?
✓ Há uso de terceirizados no projeto? Há algum tratamento de dados pessoais por eles?
✓ Quais são as medidas de proteção dos dados pessoais aplicadas no projeto desde a sua captura à sua
eliminação (mapeando o fluxo de dados pessoais e seu ciclo de vida), considerando desde uso de controle
de acesso, algum tipo de criptografia ou senha ou pasta criptografada ou biometria, descarte seguro.
✓ Haverá anonimização da base de dados pessoais?
✓ Foi assinado NDA já com cláusula de proteção de dados pessoais?
✓ O contrato com parceiros ou terceiros já possui cláusulas sobre proteção de dados pessoais e atendimento
de regulamentações como GDPR e LGPD?
✓ Foi feito aviso aos titulares sobre a internacionalização dos dados pessoais ou sobre seu tratamento por
terceiros?
Fonte: Patricia Peck Pinheiro, 2019
MELHORES PRÁTICAS GOVERNANÇA
LGPD - Arts. 50 e 51
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento
de dados pessoais, individualmente ou por meio de associações, poderão formular regras
de boas práticas e de governança que estabeleçam as condições de organização, o regime
de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as
seja aplicável
tenha o objetivo
a todo
de estabelecer
o conjunto de
normas de segurança, os padrões técnicos, as obrigações específicas
f) seja
estabeleça
adaptado
dados pessoais
relação para
políticas
à os
comdiversos
estrutura,
de confiança
e salvaguardas
que estejam
à escala
o titular,
sob
e ao volume
adequadas
conte com planos
com
de suas
base
de operações,
resposta
em processo
a
envolvidos no tratamento, as ações educativas, os mecanismos
b)
d)
g)
e) seuinternos
c) por
bem
de
meio
controle,
incidentes
de
de atuação
avaliação
supervisão
transparentee de
independentemente
como eà remediação;
sistemática
sensibilidade de
edos
do
e que
modo
mitigação de riscos e outros aspectos relacionados ao tratamento assegure
como mecanismos
se realizou sua
de
ede
dados tratados;
impactos dados
riscos pessoais.
à privacidade;
coleta;
participação do titular;
Art. 51. A autoridade nacional estimulará a adoção de padrões técnicos que facilitem o
controle pelos titulares dos seus dados pessoais.
2020 - Brasil
Vamos fazer 30 anos de
Código de Defesa do Consumidor
LGPD e a LEGISLAÇÃO
CONSUMERISTA:
Princípios comuns
LGPD – (alterado pela MP 869/2018)
Art. 65. Esta Lei entra em vigor:
II – 24 (vinte e quatro) meses após a data de sua
publicação, quanto aos demais artigos.
Brasília, 14 de agosto de 2018; 197º da Independência e
130º da República.
LEI - Nº 8.078/90
- Código de Defesa do Consumidor
...uma
A pedra foto
A palavra A ocasião O tempo
atirada dita perdida passado
publicada... (Provérbio Chinês)
71
Ao sair,
feche a porta.
Sempre.
Inclusive a
Digital.
72
Responsabilidade Social Digital – apoie esta causa
Ética e Segurança começa de criança!
CONFIDENCIAL
Dra. Patricia Peck Pinheiro, PhD
Al. Rio Negro, 161, 11º andar, - cjs. 1101 e 1102 Patriciapeck@pgadvogados.com.br
Alphaville - Barueri - SP - CEP: 06454-000 patriciapeck@usp.br
11 3038-3888 | 11 3038-3890
+ 55 11 98696-3999
Linkedin: patriciapeckpinheiro
www.pgadvogados.com.br
www.pgadvogados.com.br