Ética e Segurança Digital na

Saúde – Proteção de Dados

Pessoais e a nova Lei LGPD
Questões de privacidade e cibersegurança

Dra. Patricia Peck Pinheiro, PhD

patriciapeck@pgadvogados.com.br
patriciapeck@usp.br
 22 Livros Publicados

Dra. Patricia Peck

4 Medalhas Militares
 A POSTURA DO PROFESSOR NAS REDES SOCIAIS

“O exemplo não é a melhor

forma de educar, é a única.”

Albert Schweitzer

3
1 TREND TOPICS
PROTEÇÃO
DE DADOS
“PRIVACY IS NOT DEAD,
IT IS HIRING”
“A PRIVACIDADE NÃO ESTÁ MORTA,
ESTÁ CONTRATANDO”
J. Trevor Hughes, Presidente da IAPP
DADOS SÃO A RIQUEZA DA SOCIEDADE DIGITAL

ALGORITIMO MAIOR PODER DE INTELIGENCIA

BIG DATA
INTELIGENTE PROCESSAMENTO ARTIFICIAL
MODELOS DE NEGÓCIOS E GESTÃO DE RISCOS
USO DE DADOS PESSOAIS NA SAÚDE
ECOSISTEMA DA
SAÚDE
APIs
BIG DATA
MODELAGEM
REDES
+ SOCIAIS
PREDITIVA E
COMPORTAMENTAL ANÁLISE DE
SENTIMENTOS
IDs
HOSPITAL CORRETOR DIGITAIS
GEOLOCALIZAÇÃO

SEGURADORA FARMACÊUTICA

CLÍNICA MÉDICO DATA LAKE

Redes de Valor CONHECIMENTO MAIS

PROFUNDO SOBRE OS CLIENTES
(Data Flow Map) E USUÁRIOS DO SISTEMA DE
SAÚDE
DADOS SÃO A
RIQUEZA DA
CENTRO
SOCIEDADE
DIGITAL TRANSPARÊNCIA

MODELO

REGULAMENTAÇÃO
DADOS (padronização de regras)
NEGÓCIO

CONTROLES
(verificação se está
cumprindo as regras)
 O GDPR passou a valer em maio
de 2018 e vem mudando o
cenário global, impactando a
forma de se fazer negócios,
principalmente os negócios
digitais, que são baseado em
dados.

O General Data Protection Regulation (GDPR –

Regulação Geral de Proteção de Dados da Europa) é
um resultado prático da somatória da evolução,
expansão, disseminação e internacionalização dos
direitos humanos associada à atualização e
adaptação de documento internacionais diversos de
proteção dos direitos fundamentais.
 [...] a GDPR é hoje o standard
mundial em matéria de proteção
de dados e é o documento legal
que embasou a nossa LGPD, sendo
bastante útil entender os seus
desdobramentos.

FONTE: https://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&infoid=50616&sid=15
 LEI Nº 13.709 – LEI GERAL DE
PROTEÇÃO DE DADOS DO BRASIL
1) TRANSPARÊNCIA
2) CONTROLE
3) CONSENTIMENTO
4) SEGURANÇA
DADO PESSOAL:
Informação relacionada a
pessoa natural identificada
ou identificável.
Lei 13.709/18 – LGPD
Pontos de atenção

DADOS PESSOAIS
DADOS PESSOAIS
SENSÍVEIS
Informações acerca da
Informações que tornam
individualidade da pessoa;
possível a identificação da
como informações genéticas,
pessoa (identifica ou é
de saúde, sua visão política,
identificável); como
orientação religiosa ou
endereço, CPF, nome,
expressão de sexualidade,
endereço de IP, fotos, placa
sindicais, biometria.
de carro, etc.
DADO ANONIMIZADO (art. 12): dado relativo a titular que não
possa ser identificado, considerando a utilização de meios
técnicos razoáveis e disponíveis na ocasião de seu tratamento.

ANONIMIZAÇÃO: utilização de meios

técnicos razoáveis e disponíveis no
momento do tratamento, por meio dos
quais um dado perde a possibilidade
de associação, direta ou indireta, a um
indivíduo.
Lei 13.709/18 Os dados pessoais devem ser:
LGPD
▪ Adequados;
▪ Pertinentes;
▪ Limitados às finalidades para os
quais são tratados.

A LGPD exige a minimização do uso

dos dados pessoais, isso se impacta
com o objetivo das empresas
que é a maximização.
MATRIZ DE ANÁLISE
TÉCNICA-JURÍDICA
DO INVENTÁRIO DE
TRATAMENTO DE
DADOS

Tipos de
Tipos de
tratamentos de
dados finalidade Justificativas
dados pessoais
pessoais de uso jurídicas
Realizados
coletados

Para o que será

A gestão de
usado?
consentimentos
É uma justificativa
válida, proporcional e
minimizada?
Regulamentação de Proteção de Dados

▪ Art. 6º. Tratamento: Deve observar a boa-fé e os seguintes princípios:

(i) finalidade do tratamento;
(ii) compatibilidade do tratamento com as finalidades informadas ao titular;
(iii) limitação do tratamento ao mínimo necessário para a realização de suas finalidades;
(iv) garantia, aos titulares, de consulta facilitada e gratuita sobre a forma do tratamento;
(v) garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de
acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
(vi) transparência aos titulares;
(vii) utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais;
(viii) prestação de contas, pelo agente, da adoção de medidas capazes de comprovar a
proteção de dados pessoais.
 Todos os detalhes
sobre os usos dos
dados pessoais devem
ser inseridos na
política de
privacidade.

TRANSPARÊNCIA É REGRA!
 LEI 13.709: CAPÍTULO VIII – DA FISCALIZAÇÃO

As sanções podem variar entre [ART. 52]: alterado MP 869/2018

“I - advertência, com indicação de prazo para adoção de medidas corretivas;

II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou
conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00
(cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
VII – vetado
VIII – vetado
IX - vetado
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de
6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo
período máximo de 6 (seis) meses, prorrogável por igual período;
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
GESTÃO DE RISCOS

1.REGULAMENTAÇÃO
2.CONTRATOS
3.PROCEDIMENTOS
4.FERRAMENTAS
5.CONSCIENTIZAÇÃO

Design by
Freepik.com
COMPLIANCE DIGITAL
1º PILAR
GOVERNANÇA DE DADOS PESSOAIS
❑ A privacidade deve ser considerada em todas as fases do projeto: by
design (vertical – naquele projeto específico) e by default (horizontal –
governança da empresa)
❑ As falhas de segurança e os incidentes devem ser notificados
❑ É necessário garantir que os fornecedores e terceiros adotam medidas
protetivas suficientes
❑ É preciso gerenciar os dados pessoais compartilhados dentro e fora do
ambiente organizacional
COMPLIANCE DIGITAL
2º PILAR
GESTÃO DE DADOS PESSOAIS
❑ É preciso garantir que os procedimentos que envolvem tratamento de dados
pessoais estão respeitando a minimização e a finalidade do uso dos dados pessoais
❑ Todas as informações devem ser registradas com identificação e detalhes da
organização – deve ser criado um fluxo de dados pessoais
❑ É preciso garantir que os dados pessoais transferidos ou a serem transferidos fora do
território garantem que os países respeitam as regras de privacidade e proteção de
dados pessoais
❑ É necessário ter um DPO – Data Protection Officer
❑ É preciso ter procedimento claro para alteração, correção e exclusão solicitadas pelos
titulares
COMPLIANCE DIGITAL
3º PILAR
TRANSPARÊNCIA DE DADOS PESSOAIS
❑ É preciso comprovar o consentimento (evidência, trilha de auditoria)
❑ É necessário garantir a suspensão ou revogação do consentimento a todo
momento
❑ As informações sobre o tratamento de dados pessoais devem ser claras,
acessíveis, interpretáveis e disponíveis
❑ A portabilidade de dados pessoais deve ser garantida: o processo deve
garantir a facilidade de transferência de dados para outro fornecedor
sempre que solicitado pelo titular
CUIDADO COM SIGILO,
CIBER SEGURANÇA E
PROTEÇÃO DE DADOS
PESSOAIS NA SAÚDE
Fonte: https://noticias.r7.com/jornal-da-record/videos/medica-e-demitida-apos-publicar-fotos-do-filho-brincando-
no-centro-cirurgico-12052017 Acesso em: 22 ago. 2017.
Proibição de uso de celulares

Fonte: https://oglobo.globo.com/sociedade/vazamento-de-imagens-de-pacientes-faz-hospitais-adotarem-medidas-como-
proibicao-de-celulares-17075250 Acesso em: 22 ago. 2017.
 Fonte:
https://jconline.ne10.uol.com.br/canal/mundo/internacional/noticia/2 31
018/08/01/equipe-medica-e-afastada-por-publicar-selfie-tirada-
CHILE
Em junho de 2017, o Chile presenciou um
incidente nas redes sociais que gerou
revolta entre a população.
Circulou um vídeo que mostrava uma
equipe médica assistindo dentro do centro
cirúrgico uma partida de futebol,
enquanto o paciente estava na mesa
aguardando para ser operado.

Na era da tecnologia, temos que tomar

muito cuidado com nossas atitudes.

Fonte: http://esporte.ig.com.br/futebol/2017-06-29/equipe-medica-chile-revolta.html Acessado em: 05/07/2017. Finalidade Educacional

LOGIN E SENHA

Fonte: http://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&from_info_index=61&infoid=44855&sid=18 – Acesso em: 22 ago. 2017.

RANSOMWARE

Procedimentos foram cancelados e o

acesso aos prontuários eletrônicos restou
impossibilitado

Fonte: http://g1.globo.com/sp/ribeirao-preto-franca/noticia/ataque-de-hackers-suspende-3-mil-consultas-e-exames-nas-unidades-do-hospital-de-cancer-de-barretos-sp.ghtml - Acesso em: 22 ago. 2017.

USA
Ex-funcionário rouba dados de 28.434 pacientes no
Condado de Bexar (Texas – EUA)

O Centro de Serviços de Saúde em San Antonio está

notificando pacientes cujos números de Segurança
Social, saúde mental e outros registros sensíveis foram
roubados quando um ex-funcionário alegadamente
copiou os dados em seu laptop pessoal depois que ele
foi demitido.

Grandes empresas como a Equifax, que sofreram uma

grande violação de dados que expuseram dados
sensíveis em quase metade de todos os consumidores
dos EUA em julho, estão constantemente em risco de
ataques cibernéticos.

Fonte: http://www.expressnews.com/business/local/article/Former-employee-reportedly-steals-mental-health-12405113.php
USA
Violação de dados de saúde em roubo de laptop afeta 43K

O Coplin Health Systems, com sede na West Virginia,

relatou recentemente possível violação de dados de saúde
depois de descobrir que um laptop contendo informações
pessoais de saúde foi roubado.

O dispositivo foi roubado do automóvel de um empregado,

que estava protegido por senha, mas o disco rígido não
estava criptografado.

As informações incluíam nomes de pacientes, endereços,

números de segurança social, datas de nascimento,
informações financeiras e informações de saúde.

Fonte: https://healthitsecurity.com/news/potential-wv-health-data-breach-from-laptop-theft-affects-43k
USA Violação de dados do Sistema de Saúde Henry Ford atingem
cerca de 20.000 pacientes

Que tipo de informação? As datas de nascimento dos pacientes,

números de registro médico, nomes de provedores, datas de
serviço, nomes de departamento, locais, condições médicas e
seguradoras de saúde foram comprometidos no incidente.

O que aconteceu? Em 3 de outubro de 2017, funcionários

descobriram que alguém obteve acesso ou roubou as credenciais
de e-mail de um grupo de funcionários. Essas credenciais
permitiram o acesso aos e-mails do empregado que continham a
informação de saúde dos pacientes.

Qual é a resposta? A empresa disse que está fortalecendo suas

proteções de segurança para os funcionários e que os
funcionários serão educados nas próximas semanas sobre as
melhores práticas. O hospital também está agilizando suas
iniciativas em torno de retenção de e-mail e autenticação
multifator na tentativa de diminuir os riscos futuros para
pacientes e funcionários.
Fonte: https://www.scmagazine.com/henry-ford-health-system-data-breach-compromised-data-of-nearly-20000-patients/article/713052/
 TODOS DO GRUPO
RESPONDEM.
Inclusive os que ficam em
silêncio (cumplicidade
pela omissão).
Quem cala consente
digitalmente.

Fonte: http://pppadvogados.com.br/wp-
content/uploads/2017/03/PPP_EntrevistaRevistaVeja_WhatsApp_Marco2017.pdf - Acesso em: 15 ago. 2017.
 Como blindar a instituição de saúde?
INFORMAÇÃO
EDUCAÇÃO
DILIGÊNCIA
DISCRIÇÃO
IMPARCIALIDADE

Fonte: J_ALVES, disponível em https://openclipart.org/detail/49363/blackboard; DTRAVE disponível em

https://openclipart.org/detail/6024/cartoon-computer-and-desktop;KATTEKRAB disponível em 39
https://openclipart.org/detail/27330/brick-wall-texture Acessado em 22.07.2015 às 12h (finalidade educacional)
 Quem cala
consente
digitalmente

https://www.flickr.com/photos/shyald/ 40
Não faça justiça com o próprio mouse!

Autor Desconhecido. Fonte: Blog do Albírio Gonçalves. Disponível em

http://albirio.files.wordpress.com/2012/02/justic3a7a-mouse.jpg Acessado em
18.01.2015 às 21h42. Finalidade Educacional 41
4
2

“...mas todo mundo faz...”

Não exime de responsabilidade legal.
4
3

Em geral, há 2 tipos de usuários:

• os “sem noção”;
• e os “de má-fé”;

• A grande maioria do perfil das equipes é de usuários

“sem noção” - não conhece as leis, não sabe quais
os riscos nem imagina as conseqüências;

• Por isso, não basta ter ferramentas, tem que

educar. E não basta educar, tem que ter ferramentas
para monitorar e pegar quem está descumprindo as
regras.
 Liberdade de expressão
exige responsabilidade!

Fonte imagem: Flickr - http://www.flickr.com/photos/trojanguy/5478279252/ acesso em 08.10.2018

Lei 13.709/18 - LGPD
O que fazer em caso de Dever de Notificação (Report)
incidente? [art. 48, § 1º/ Lei nº 13.709/18]

O Processador deve notificar o Controlador sem

demora indevida após tomar conhecimento de
uma violação de dados pessoais
.
O Controlador também deve notificar a violação
dos dados pessoais à Autoridade Nacional
dentro de prazo razoável (na GDPR o prazo é de
72h).
Lei 13.709/18
Sanções:
Parâmetros e critérios para sua aplicação:
⁙A gravidade da infração;
⁙A boa-fé do infrator;
⁙A vantagem auferida;
⁙A condição econômica do infrator;
⁙A reincidência;
⁙O grau de dano causado;
⁙A cooperação do infrator;
⁙A demonstração de adoção de mecanismos e procedimentos para mitigar os
danos;
⁙A adoção de política de boas práticas e governança;
⁙A pronta adoção de medidas corretivas;
⁙A proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Desafio para
Conformidade
Check-list – Privacy by design
Qual segmento
Trata dados pessoais sensíveis
Pública ou Privada
Porte (Micro, P, M, G, GG) Trata dados pessoais de menores
Aberta ou Fechada
Compartiha dados pessoais com 3º.s
Individual ou Grupo Econômico
Aplica soluções de IA, Machine learning, Big
Nacional ou Estrangeira Data, Analytics, Credit Score, outros tipos de
Perfil dos Titulares das bases Score, Behavior Marketing, Cloud
de dados Pessoais
(consumidor, funcionário,
acionista, fornecedor, terceiro) Está em ecossistema de negócios com APIs
(modelo open data)
Possui internacionalização de
dados pessoais
As equipes usam dispositivos
móveis, nuvem, mídias sociais
O projeto
LGPD

3 pilares

Técnico Legal Educacional - Capacitação

Recomendações técnicas
de utilização e contratação
de ferramentas e soluções
tecnológicas
Elaboração e revisão de normas,
contratos, processos
Suporte para respostas a notificações
durante o prazo em que durar a
assessoria
Equipes (colaboradores)
Terceiros críticos (processadores)
Formação – DPO, Comitê de Crise,
Canal de Report
Termo de Coleta de Dados Pessoais – para fins de Datalake - CONSENTIMENTO

“Fui esclarecido(a) que os dados pessoais, histórico clínico, imagens e fotografias coletados na admissão do paciente na Unidade e durante a
realização dos procedimentos são fundamentais para o avanço da assistência à saúde, pesquisa clínica, trabalhos científicos, estudos retrospectivos,
observacionais e educação médica continuada. Igualmente, fui esclarecido(a) que as informações clinicas coletadas serão compartilhadas com
terceiros envolvidos no processo assistencial, empresas do mesmo Grupo econômico, controladas, coligadas e subsidiarias, que otimizando os
recursos disponíveis constituirão uma base de dados enriquecida para criação de protocolos em medicina e promoção à saúde e medicina
preventiva.”

( ) Declaro ser o próprio paciente e por meu livre e expresso consentimento autorizo o uso e compartilhamento das
informações, imagens/fotografias (quando couber), na forma mencionada no item X acima.

( ) Declaro ser responsável legal do paciente menor de idade e manifesto livre e expresso consentimento conforme artigo 14 da Lei
13.709/2018 para autorizar o uso e compartilhamento das informações, imagens/fotografias (quando couber), na forma mencionada no item X
acima..

( ) Declaro ser o representante legal do paciente e manifesto livre e expresso consentimento conforme artigo 14 da Lei 13.709/2018 para
autorizar o uso e compartilhamento das informações, imagens/fotografias (quando couber), na forma mencionada no item X acima. .

Na hipótese de ser mero acompanhante, familiar ou de não haver a marcação acima, estou ciente que com a assinatura deste Termo as informações
serão usadas apenas de maneira anonimizada e sem qualquer identificação do paciente, em atenção e respeito às normas estabelecidas no Código
de Ética Médica e na Lei Geral de Proteção de Dados e demais legislações aplicáveis.
DATA PROTECTION OFFICER (DPO)
No Brasil, o DPO ou Encarregado:

❑ É pessoa indicada pelo Controlador e pelo

Operador (art. 5º, VIII) – pode ser natural
ou jurídica (termo pessoa genérico)
❑ A ANPD regulamentará os casos em que o
Operador deverá indicar Encarregado art.
41 § 4º, inc I);
❑ É o canal de comunicação entre o
Controlador, os Titulares de Dados e a
Autoridade Nacional (art. 5º, VIII).
DATA PROTECTION OFFICER (DPO)
De acordo com o art. 41, §2º, as atividades
do Encarregado são:
I - aceitar reclamações e comunicações dos titulares, prestar
esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar
providências;
III - orientar os funcionários e os contratados da entidade a
respeito das práticas a serem tomadas em relação à proteção
de dados pessoais; e
IV - executar as demais atribuições determinadas pelo
controlador ou estabelecidas em normas complementares.
DATA PROTECTION OFFICER (DPO)
O DPO: pela LGPD - Art. 41 - § 4º (alteração MP Nº 869-B/2018,
PROJETO DE LEI DE CONVERSÃO Nº 7 DE 2019)
❑ Com relação ao encarregado, o qual deverá ser detentor de
conhecimento jurídico-regulatório e ser apto a prestar serviços
especializados de de proteção de dados;
❑ A Autoridade (ANPD) regulamentará:
❑ Os casos em que o operador deverá indicar encarregado (dá a entender então
que todo Controlador deve ter um)
❑ A indicação de um único encarregado, desde que facilitado o seu acesso, por
empresas ou entidades de um mesmo grupo econômico (modelo de DPO Share);
❑ A garantia de autonomia técnica e profissional no exercício do cargo (lembra a
questão que a GDPR trouxe de não ter conflito de interesses).
 Seu smartphone cumpre com os
requisitos básicos de Segurança da
Informação?

✓ Senha de bloqueio
✓ Bloqueio automático por
inatividade
✓ Antivírus/Antispyware
✓ App Apagamento Remoto
✓ Backup em Nuvem Segura
✓ Sabe número IMEI para bloqueio
Fonte: Autor Desconhecido Disponível em https://giphy.com/gifs/smartphone-cr1Wza01b50re
54
5
5

PRECISA SABER SEPARAR BEM

PESSOAL
X
PROFISSIONAL

https://pixabay.com/pt/empres%C3%A1rio-empres%C3%A1ria-2753324/

Fonte: https://pixabay.com/pt/empres%C3%A1rio-empres%C3%A1ria-2753324/ - foto baixada gratuitamente com finalidade educacional em 04/02/2019

O descarte também é parte importante do
ciclo da informação. Só jogue no lixo o que
pode ir para lá

https://www.flickr.com/photos/adactio/
https://www.flickr.com/photos/wiertz/
56
https://www.flickr.com/photos/sidelong/
5
7

→ E qual seria o papel do gestor na orientação das equipes?

Promover, a disseminação da cultura de proteção de dados pessoais, precisa
dialogar com as equipes nas reuniões, nos projetos, também transmitir as
recomendações para os parceiros, terceirizados, fornecedores.
O dever de ciber segurança e proteção de dados pessoais é de todos. Não basta
responder um questionário de Compliance, um check-list de compras ou assinar
um NDA atualizado, precisa praticar no dia-a-dia.
É fundamental conscientizar quanto ao uso adequado das redes sociais, grupo de
whatsapp, entre outras atividades, basta um post, uma foto, para iniciar um
incidente de violação que com a Lei 13.709/2018 ja pode configurar pelos arts.
48 e 52 o dever de report para a Autoridade, para os Titulares bem como
aplicação das penalidades que podem chegar até multas de R$ 50 milhões de
reais por infração além dos impactos na imagem, reputação e Marca da
Instituição.
Conclusão – para se proteger precisa:

Parecer de Diagnóstico e Plano de Ação

Elaboração de Políticas e Normas (de Proteção de

Dados Pessoais, Ciber Segurança, Código de Ética, de
Teletrabalho)

Conscientização em Proteção de Dados Pessoais, Postura

nas Mídias Sociais, Sigilo e Segurança da Informação

58
 PDCA LEGAL
Blindagem da Inovação Tecnológica
Vigilância
Regras Claras (algumas
Monitoramento e
precisam ser por lei,
Documentação das
regulamentação de
evidências (guarda
indústria)
provas) com ferramentas

Resposta a Incidentes Educação Digital

(rápida e com rigor) e (Campanhas Públicas e
Penalização (combate Privadas) finalidade
impunidade) preventiva

17
O QUE DEVE SER
ATUALIZADO NOS CONTRATOS?
 MELHORES PRÁTICAS CONTRATOS
1. Deixar claro as finalidades de uso dos dados pessoais para atender ao princípio
da Transparência

2. Verificar a necessidade de explicitar hipóteses sobre:

▪ Compartilhamento com terceiros – se forem parceiros de negócios

▪ Tratamento por terceiros – quando as bases de dados pessoais são
processadas por terceirizados
▪ Transferência internacional dos dados pessoais (atenção art. 33)

3. Medidas de controle administrativo e de segurança da informação

MELHORES PRÁTICAS CONTRATOS
Check list - em relação ao fluxo de dados pessoais analisar os seguintes indicadores (para contratos):
a) Em relação a Coleta do Dado:

Direta;
Via terceiros; c) Em relação ao uso do dado pessoal (finalidade):
Via Internet pública;
Processos que usam dados pessoais;
b) Em relação ao armazenamento do dado: Como os dados são manipulados;
Utilização de sistemas;
Arquitetura de bancos de Dados; Compartilhamentos praticados;
Segurança dos bancos de dados;
Segregação de dados pessoais e sensíveis; d) No caso de transferência
Categorização dos dados;
Controle de acesso; Entre departamentos;
Com terceiros;
Se há transferência internacional;
Monitoramento contra vazamento de informação.
MELHORES PRÁTICAS CONTRATOS
✓ Cláusula de sigilo e confidencialidade;
✓ Cláusula de direito de uso e direito de acesso aos dados;
✓ Cláusula sobre propriedade intelectual relacionada às bases
de dados;
✓ Cláusula sobre privacidade e proteção dos dados (em
especial com definição de dados pessoais, consentimento e
finalidades de uso);
✓ Cláusula sobre enriquecimento de base de dados;
✓ Cláusula sobre cessão, transferência e compartilhamento
de dados;
✓ Cláusula sobre criptografia e demais medidas de segurança
da informação (controle de acesso, fator de autenticação,
monitoração);
✓ Cláusula sobre limitação de responsabilidade;
✓ Cláusula sobre temporalidade e descarte seguro.
MELHORES PRÁTICAS CONTRATOS
Check-list Privacy Risk (tratamento dados pessoais em Cloud e/ou em terceiros)
✓ O projeto irá de algum modo tratar dados pessoais (qualquer tipo de tratamento, captura, uso,
armazenamento mesmo temporário, compartilhamento, edição, manipulação, outros)?
✓ Há possibilidade de tratar também dados pessoais sensíveis (relacionados à saúde, genético, biométrico,
escolha sexual, racial, étnica, religiosa, filosófica, política, sindical)
✓ Há possibilidade de captura de geolocalização que possa determinar de algum modo também associação à
dados pessoais sensíveis?
✓ Há uso de terceirizados no projeto? Há algum tratamento de dados pessoais por eles?
✓ Quais são as medidas de proteção dos dados pessoais aplicadas no projeto desde a sua captura à sua
eliminação (mapeando o fluxo de dados pessoais e seu ciclo de vida), considerando desde uso de controle
de acesso, algum tipo de criptografia ou senha ou pasta criptografada ou biometria, descarte seguro.
✓ Haverá anonimização da base de dados pessoais?
✓ Foi assinado NDA já com cláusula de proteção de dados pessoais?
✓ O contrato com parceiros ou terceiros já possui cláusulas sobre proteção de dados pessoais e atendimento
de regulamentações como GDPR e LGPD?
✓ Foi feito aviso aos titulares sobre a internacionalização dos dados pessoais ou sobre seu tratamento por
terceiros?
Fonte: Patricia Peck Pinheiro, 2019
MELHORES PRÁTICAS GOVERNANÇA
LGPD - Arts. 50 e 51
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento
de dados pessoais, individualmente ou por meio de associações, poderão formular regras
de boas práticas e de governança que estabeleçam as condições de organização, o regime
de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as
seja aplicável
tenha o objetivo
a todo
de estabelecer
o conjunto de
normas de segurança, os padrões técnicos, as obrigações específicas
f) seja
estabeleça
adaptado
dados pessoais
relação para
políticas
à os
comdiversos
estrutura,
de confiança
e salvaguardas
que estejam
à escala
o titular,
sob
e ao volume
adequadas
conte com planos
com
de suas
base
de operações,
resposta
em processo
a
envolvidos no tratamento, as ações educativas, os mecanismos
b)
d)
g)
e) seuinternos
c) por
bem
de
meio
controle,
incidentes
de
de atuação
avaliação
supervisão
transparentee de
independentemente
como eà remediação;
sistemática
sensibilidade de
edos
do
e que
modo
mitigação de riscos e outros aspectos relacionados ao tratamento assegure
como mecanismos
se realizou sua
de
ede
dados tratados;
impactos dados
riscos pessoais.
à privacidade;
coleta;
participação do titular;

Art. 51. A autoridade nacional estimulará a adoção de padrões técnicos que facilitem o
controle pelos titulares dos seus dados pessoais.
 2020 - Brasil
Vamos fazer 30 anos de
Código de Defesa do Consumidor
LGPD e a LEGISLAÇÃO
CONSUMERISTA:
Princípios comuns
LGPD – (alterado pela MP 869/2018)
Art. 65. Esta Lei entra em vigor:
II – 24 (vinte e quatro) meses após a data de sua
publicação, quanto aos demais artigos.
Brasília, 14 de agosto de 2018; 197º da Independência e
130º da República.
LEI - Nº 8.078/90
- Código de Defesa do Consumidor

Princípios inaugurados pelo Código de Defesa do

Consumidor (também presentes nas regulamentações de
proteção de dados pessoais GDPR e LGPD)

▪ Educação – art. 4º, IV e art. 6º, III

▪ Informação – art. 6º III; art. 9º; art. 31 e 43
▪ Transparência – art. 4º, art. 9º; art. 43, § 2º e art. 54, § 4º
▪ Boa-fé objetiva – art. 4º, III e art. 51, vi
▪ Segurança – art. 4º, II, (d), V; 6º, I; art. 8º; art. 10 e art. 12, § 1º
▪ Vulnerabilidade – art. 4º, I
▪ Facilitação da defesa do cons. – Art. 6º, VIII
GUIA MELHORES PRÁTICAS PARA MÉDICOS
NAS REDES SOCIAIS - AUTORIA PATRICIA PECK E OLOGY

Disponível em: https://www.ology.com.br/melhores-praticas-para-medicos-nas-redes-sociais/ - Acesso em: 27/03/2019.

 CHILE

A Organização Médica Colegial em conjunto com o

Conselho Geral das Faculdades Oficiais de Medicina
publicaram um “Manual de Estilo para médicos e
estudantes de Medicina sobre o uso adequado das
redes sociais.
O intuito do Manual é reforçar o compromisso da
profissão com a Sociedade e um exercício de
autorregulação com a finalidade de manter a confiança
social.

pecksleiman.com.br Fonte: https://www.cgcom.es/sites/default/files/u183/Manual%20Redes%20Sociales%20OMC.pdf Acesso em : 05/07/2017. Finalidade Educacional.

 CHILE
Pontos abordados no Manual:
✓ Confidencialidade e segredo médico;
✓ Conselho médico a pacientes virtuais;
✓ (Cuidados com a atitude e imagem do médico
como usuário das redes sociais;
✓ Uso de novas tecnologias e a imagem do médico
na consulta direta com o paciente;
✓ Responsabilidade sobre a informação médica
difundida nas redes sociais;
✓ As relações entre colegas profissionais nas redes
sociais e
✓ Publicidade, marketing e branding médico.

pecksleiman.com.br Fonte: https://www.cgcom.es/sites/default/files/u183/Manual%20Redes%20Sociales%20OMC.pdf Acesso em : 05/07/2017. Finalidade Educacional.

Jamais voltam:

...uma
A pedra foto
A palavra A ocasião O tempo
atirada dita perdida passado
publicada... (Provérbio Chinês)

71
Ao sair,
feche a porta.
Sempre.
Inclusive a
Digital.

72
 Responsabilidade Social Digital – apoie esta causa
Ética e Segurança começa de criança!

O Instituto iStart foi criado em 2010 pela

advogada especialista em Direito Digital,
Dra. Patricia Peck Pinheiro, com a missão
levar mais educação em Ética e
Segurança Digital para as famílias
brasileiras.
www.istart.org.br

CONFIDENCIAL

Al. Rio Negro, 161, 11º andar, - cjs. 1101 e 1102
Alphaville - Barueri - SP - CEP: 06454-000
11 3038-3888 | 11 3038-3890
www.pgadvogados.com.br
www.pgadvogados.com.br
Dra. Patricia Peck Pinheiro, PhD
Patriciapeck@pgadvogados.com.br
patriciapeck@usp.br
+ 55 11 98696-3999
Linkedin: patriciapeckpinheiro