AGENDA

  • 08:00 - 09:00
  • Credenciamento
  • 09:00 - 10:30
  • SALA AZUL
  • Privacy and security by design: como implementar

A Lei Geral de Proteção de Dados, assim como o General Data Protection Regulation e outras legislações que cuidam de Segurança e Proteção de Dados trouxeram regras específicas, que, inclusive, permitem uma releitura do princípio da privacidade e da autodeterminação, consagrando uma série de direitos e obrigações bastante específicos, que reclamam adequação dos processos, sistemas, programas, treinamento de pessoal, criação da cultura de proteção de dados, mapeamento, avaliação de impacto, entre outros mecanismos necessários no caminho para a conformidade. Trata-se de profunda análise e inventário de todos os dados que já estão em tratamento – o que pode reclamar um trabalho hercúleo, porém, necessário. Noutro passo, em relação aos novos tratamentos, não há motivos para que sejam realizados sem conformidade e, posteriormente, buscar sua adequação. Tem-se, isto sim, a necessidade de segurança e privacidade por padrão e em todos os processos, seguida de monitoramento da conformidade. Desta maneira, as ações estarão mais voltadas ao proativo (e não reativo), com segurança de ponta a ponta, transparência e respeito às normas aplicáveis. Para tal nível, precisamos falar de privacidade e segurança by design.

  • 09:00 - 10:30
  • SALA ROXA
  • Data Protection Impact Assessments: o panorama completo

O DPIA (Data Protection Impact Assessment), Relatório de Impacto à Proteção de Dados, é necessário sempre que um tratamento gerar potenciais riscos às liberdades civis e aos direitos fundamentais, sendo-lhe intrínseco indicar medidas, salvaguardas e mecanismos de mitigação desses riscos, conforme conceitua a Lei Geral de Proteção de Dados Brasileira. É facultado à Autoridade Nacional exigir sua elaboração, sendo que sua obrigatoriedade dependerá de fatores que precisam ser analisados no caso concreto, tais como a categoria dos dados e o tipo de tratamento. Quais essas categoriais e tipos? Quem é o responsável pela elaboração desse relatório? Qual seu conteúdo mínimo? Como o relatório demonstrará que as previsões legais são transformadas, pela empresa, em planos de ação técnicos e processuais?

  • 09:00 - 10:30
  • SALA BRANCA
  • Desvendando anonimização e pseudonimização

A Lei Geral de Proteção de Dados visa proteger os dados pessoais de pessoas físicas, humanas, identificadas ou identificáveis. Assim, uma vez que um dado é pessoal, mas não permite, de forma direta ou indireta, a identificação de seu titular, não haverá incidência da LGPD. Por essa razão, há uma corrida para implementação de processos de anonimização, permitindo que os dados sejam coletados e tratados sem as limitações impostas pela LGPD, decorrentes dos legítimos interesses dos titulares. Inclusive, cabe pontuar que solicitar a anonimização dos dados é um dos direitos que o titular dos dados pode exercer. A pseudonimização, por sua vez, é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro. Neste contexto, a regularidade e eficácia do processo de anonimização dependerá da possibilidade ou não de sua reversão – onde reside uma das principais complexidades que envolvem o tema, inclusive considerando que, embora haja a faculdade da Autoridade Nacional dispor sobre padrões e técnicas relacionados ao processo de anonimização, por ora, tal diretriz é inexistente. Afinal, pesquisas apontam que a combinação de 2 dados – não sensíveis, diga-se – pode permitir a identificação de um indivíduo. E mais, dependendo do dado, ele pode representar um padrão único, sendo, naturalmente, suficiente para a identificação de um indivíduo. Assim, o que precisa ser considerado para a eficácia e regularidade desses procedimentos? Quais mecanismos têm sido utilizados? Como esses processos desafiam o aprimoramento da tecnologia? Quais as consequências para o caso de possibilidade de reversão ou identificação do titular a partir do cruzamento de informações?

  • 10:30 - 11:00
  • Coffee Break
  • 11:00 - 12:30
  • SALA AZUL
  • As 10 bases legais para o tratamento: como identificá-las?

O consentimento é uma das bases legais para o regular tratamento de dados e, talvez, a mais conhecida entre delas. Ocorre que o consentimento, embora seja facilmente detectável e provado frente à objetividade que ele reclama, deve ser considerado como uma das últimas formas para legitimar o tratamento, diante de sua volatilidade. Por isso, analisar, além desta, as outras 9 bases legais para o tratamento de dados, entendendo como cada uma delas se aplica ou não ao seu negócio, pode ser fundamental para elevar o fundamento do seu tratamento a um patamar mais estável e, em alguns casos, inquestionável. 

  • 11:00 - 12:30
  • SALA ROXA
  • Data Mapping: aspectos técnicos e jurídicos

As legislações de proteção de dados trouxeram uma série de princípios, obrigações e direitos que devem ser observados. Assim, Privacy e Security by design, adequação e implementação da LGPD estão na pauta do dia de grandes players do mercado. Acontece que para fazer sentido falarmos de adequação e desses outros processos, precisamos, igualmente, falar de mapeamento dos dados. Afinal, qual o processo que precisa ser adequado? Qual o ciclo dos dados? Onde estão os dados cuja segurança precisa ser garantida? Como o data discovery e o data mapping se complementam? Nesse workshop vamos aprofundar essas discussões e entender as técnicas e os desafios dessa fase importantíssima do programa de conformidade.

  • 11:00 - 12:30
  • SALA BRANCA
  • Governança Corporativa: estruturando as políticas internas

Proteção de dados não diz respeito apenas à regularização documental de informações ou conformidade das previsões contratuais acerca das responsabilidades. Envolve complexo processo que reclama considerar os três níveis de defesa da companhia: Pessoas, Compliance e Auditoria Externa, de tal forma que, se um nível falhar, ainda haverá outro que protegerá os dados. Para a execução desse processo, mister, portanto, o envolvimento de cada uma das áreas impactadas, com normas claras em relação à estrutura da segurança, inclusive níveis de acesso e responsabilidades pelo desempenho e conformidade de cada papel, assim como competentes programas de conscientização, treinamento e, conforme o caso, capacitação especializada. Esses pontos, entre outros, são objetos da Governança Corporativa, responsável pela estruturação e eficiências das políticas internas.

  • 12:30 - 14:00
  • Almoço
  • 14:00 - 15:30
  • SALA AZUL
  • Controller/Processor: a importância da definição dos papéis dos agentes e respectiva formalização

O processor deve agir nos limites determinados pelo controller. Entretanto, como exposto no caso envolvendo a Cambridge Analytica e a gigante Facebook, nem sempre esses papeis ficam claros diante de um incidente. Ocorre que, se por um lado a responsabilidade de cada uma das partes é matéria legal, por outro, é o contrato entre elas que deve deixar claro os limites da solicitação do controller e da execução do processor, cabendo a cada um dos lados peculiar análise sobre o seu papel no tratamento dos dados e as previsões contratuais, especialmente considerando a possibilidade de cláusulas que permitam interpretações restritivas ou ampliativas daquilo que verdadeiramente se objetivava. Ademais, cumpre ainda observar que o relacionamento entre as partes pode, em determinados casos, alterar a matriz contratual e ensejar responsabilidades inicialmente não previstas, sendo importante, mais uma vez, a diligência dos envolvidos quanto à formalização dos ajustes.

  • 14:00 - 15:30
  • SALA ROXA
  • Data Breach: muito além do vazamento de dados

Um data breach ocasiona o vazamento de dados e a exposição de, não raramente, milhares de titulares, com potencial violação da privacidade, intimidade, dados que permitem análises de preditivas, ações e pensamentos peculiares do indivíduo, entre outras situações que o colocam em frágil e clara posição de vulnerabilidade. Com efeito, o data breach tem potencial de revelar e devastar a intimidade dos titulares dos dados, gerando demissões, extorsões e até suicídio – como ocorreu no conhecido caso do Ashley Madison. Porém, não é só o titular que é exposto. Em diferente nível, o próprio controlador é exposto, revelando muito ao seu respeito, especialmente aspectos negativos, que podem comprometem a segurança e o futuro do seu negócio.

  • 14:00 - 15:30
  • SALA BRANCA
  • Direito de acesso, portabilidade e eliminação de dados pessoais: como dar efetividade aos direitos dos titulares

Direito e tecnologia são imprescindíveis para dar cumprimento às normas relacionadas à Privacidade e Proteção de Dados. Cabe ao profissional do direito interpretar a norma sob à luz de inúmeros princípios, lhe conferindo máxima efetividade, em harmonia com a Constituição Federal. Todavia, há situações em que essa interpretação desafia medidas tecnológicas até então não praticadas – seja em razão do seu custo, seja em razão do estado da arte, isto é, ainda não há um mecanismo que atenda exatamente ao que se almeja. É o caso, por exemplo, da interceptação de conversas realizadas via aplicativos de mensagens instantâneas para investigação de crimes hediondos. A interpretação da lei guarda a possibilidade da medida. No entanto, as empresas responsáveis pela tecnologia afirmam que o cumprimento da medida seria impossível. No mesmo compasso e novamente ilustrando o tema, há acirrada discussão acerca dos mecanismos técnicos necessários para a eliminação dos dados dos titulares. Afinal, já há tecnologia que permite a recuperação de dados eliminados. Então, como compatibilizar a determinação da lei com a possibilidade técnica e real do seu efetivo cumprimento?

  • 15:30 - 16:00
  • Coffee Break
  • 16:00 - 18:00
  • SALA AZUL
  • Entidades públicas e privadas: compartilhamento de dados e interação

Direito e tecnologia são imprescindíveis para dar cumprimento às normas relacionadas à Privacidade e Proteção de Dados. Cabe ao profissional do direito interpretar a norma sob à luz de inúmeros princípios, lhe conferindo máxima efetividade, em harmonia com a Constituição Federal. Todavia, há situações em que essa interpretação desafia medidas tecnológicas até então não praticadas – seja em razão do seu custo, seja em razão do estado da arte, isto é, ainda não há um mecanismo que atenda exatamente ao que se almeja. É o caso, por exemplo, da interceptação de conversas realizadas via aplicativos de mensagens instantâneas para investigação de crimes hediondos. A interpretação da lei guarda a possibilidade da medida. No entanto, as empresas responsáveis pela tecnologia afirmam que o cumprimento da medida seria impossível. No mesmo compasso e novamente ilustrando o tema, há acirrada discussão acerca dos mecanismos técnicos necessários para a eliminação dos dados dos titulares. Afinal, já há tecnologia que permite a recuperação de dados eliminados. Então, como compatibilizar a determinação da lei com a possibilidade técnica e real do seu efetivo cumprimento?

  • 16:00 - 18:00
  • SALA ROXA
  • Setor bancário / meios de pagamento: como conciliar a LGPD com as normas setoriais

A Resolução 4.658/2018 e a Circular 3.909/2018 do BACEN estabelecem diretivas sobre a Política de Segurança Cibernética, bem como requisitos para contratação de serviços de processamento e armazenamento de dados em nuvem, direcionadas às Instituições que são autorizadas a funcionar pelo BACEN, tais como bancos e instituições de pagamento. Em abril/2019, foi sancionada Lei que altera as normas sobre o cadastro positivo, trazendo importante discussão sobre a modelagem de crédito, escala progressiva de conhecimento e o uso de dados para proteção (ou não) do crédito e economia; o mercado aguarda ansioso pela regulamentação do Open Banking por parte do Banco Central e estuda os impactos dessa abertura e a possibilidade de crescimento de novos negócios relacionados. Essas são apenas algumas das normas setoriais relacionadas ao setor bancário e tratamento de dados. O assunto é de especial interesse nesse segmento, inclusive diante da discussão acerca do eventual tratamento de dados sensíveis a partir das operações peculiares ao setor, tais como compras em farmácias, pagamentos realizados ou os dados de geolocalização eventualmente coletados pelos apps das instituições.  Assim, sendo dados a nova moeda, o debate sobre as normas setoriais do setor bancário e a LGPD é premente e inadiável.

  • 16:00 - 18:00
  • SALA BRANCA
  • Dados sensíveis: restrições e tratamento

Não somente por razões legais, mas, sobretudo éticas, dados pessoais sensíveis merecem especial salvaguarda. A Lei Geral de Proteção de Dados dispõe que ao tratamento de dados pessoais sensíveis deve ser dada especial atenção, estando sujeitos a condições de tratamento específicas. São dados que revelam a origem racial ou étnica, opiniões políticas, filiação a sindicato, convicções religiosas ou filosóficas, dados relacionados à saúde, genéticos ou biométricos, à vida ou orientação sexual. Vale lembrar, que este cuidado alcança a todo e qualquer formato do que podemos chamar de dados pessoais: textuais, biométricos, de imagem, som etc. Destarte, imperioso ressaltar que ao conferir a tais dados o cuidado que se esmera, além de se estar assegurando a privacidade se estará evitando que os mesmos sejam utilizados contra seus próprios titulares, os restringindo muitas vezes ao exercício de direitos. Neste painel, o debate versará sobre a distinção entre dados pessoais não sensívei e sensíveis, o critério ideal para tal distinção, as possíveis interpretações partindo-se de diferentes contextos, além da plausível transformação de dado pessoal não sensível para sensível, por meio e exemplo, da inteligência artificial.

  • 09:00 - 09:15
  • Abertura
  • Keynote: Keynote internacional: IAPP , Future (and History) of Privacy

Dados estão na pauta das empresas, do governo, da sociedade; nos estudos sobre inovação, nas notícias sobre segurança, incidentes e ataques. O mundo está alerta e em debate sobre tantas possibilidades e tantos riscos que eles proporcionam. Quais seriam os limites necessários para resguardar a privacidade dos usuários, sem tolher a inovação e os novos modelos de negócios? Quais valores precisam ser ponderados para que o privacy by design e by default não se limitem a uma mera ideologia, mas simbolizem, isto sim, o início de uma sociedade que harmoniza a autodeterminação com a disrupção, inovação e tecnologia?

  • Faltam menos de um ano para entrada em vigor da LGPD. Estamos preparados?

Após anos de discussão envolvendo o setor empresarial, a academia e a sociedade civil, em agosto de 2018, foi publicada a Lei Geral de Proteção de Dados Brasileira, Lei nº 13.709/2018, que colocou o Brasil entre os países que possuem uma lei específica e geral sobre Proteção de Dados e Privacidade. Trazendo conceitos, obrigações e severas sanções, a lei trouxe regras sobre a segurança e o tratamento dos dados, à luz de importantes princípios, tais como o da finalidade, adequação, necessidade, livre acesso, prevenção e não discriminação. Por outro lado, garantiu expressamente amplos direitos aos usuários, entre eles o direito de acesso aos dados, correção, portabilidade e exclusão. Entre as sanções, trouxe a possibilidade de cominação de advertência, publicização da infração, bloqueio ou eliminação dos dados, além de multa que pode chegar a R$ 50.000.000,00 (cinquenta milhões de reais) ou a 2% do último faturamento anual da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil. Criando a Autoridade Nacional de Proteção de Dados (ANPD), ainda em dezembro/2018 foi publicada a MP 869/2018, a qual, entre outras disposições, atribuiu à ANPD as funções de zelar pela proteção dos dados pessoais, editar normas e procedimentos, requisitar informações sobre a regularidade dos tratamentos, assim como fiscalizar a aplicar sanções diante do descumprimento da LGPD. A Lei entrará em pleno vigor em agosto de 2020. E, considerando que faltam poucos meses, cabe a pergunta: como estão os nossos mapeamentos, relatórios de impactos, governança e programas de Compliance frente à LGPD? Será que estamos preparados para responder às requisições da ANPD e para oferecer segurança aos nossos clientes, parceiros e colaboradores ou ainda precisamos caminhar nessa direção?

  • Rony Vainzof
  • Fiscalizações e sanções: como as legislações sobre proteção de dados estão sendo aplicadas no mundo

Em todo o mundo, foi noticiado o escândalo da Cambridge Analytica, que expôs dados de 87 milhões de usuários do Facebook pela empresa de assessoria britânica que trabalhou para a campanha eleitoral do presidente americano, Donald Trump, a qual, depois de intensas investigações, em janeiro/2019 confessou sua culpa por ter ultrapassado os limites impostos pelo controlador dos dados Facebook, o que resultou em aplicação de multa de 15 mil libras (US$ 19,1 mil ou 16,7 mil euros). Em março/2019, no Brasil, a SENACON instaurou dois processos contra o Facebook por violação de dados pessoais, inclusive em relação às operações junto à britânica Cambridge Analytica.      
A Uber também está sendo investigada no Brasil, ainda como um dos resultados do vazamento ao qual, depois de um ano escondido sob um acordo velado, expôs às autoridades, revelando a vulnerabilidade dos dados de 57 milhões de usuários e motoristas, que já resultou em acordo junto ao Governo dos Estados Unidos, no qual assumiu multa de US$148 milhões, em condenação pelos Órgãos de Proteção de Dados do Reino Unido e da Holanda no valor equivalente a R$4,5 milhões e em investigações em curso, tal como a que segue no Brasil.
Noutro passo, a Google foi condenada pela Autoridade de Proteção de Dados da França ao pagamento de 50 milhões de euros por violação a dados pessoais, pois, segundo a Autoridade, ela teria deixado de agir com transparência.           
Quais os fatores que foram considerados para a aplicação das sanções? O que as Autoridades têm condenado de forma veemente e exemplar e o que tem sido eficaz para demonstrar diligência e respeito às normas de Proteção de Dados e Privacidade por parte das empresas? A demonstração dessa diligência e dos mecanismos adotados durante e após o incidente são considerados na dosimetria da penalidade?

  • Legítimo interesse: desvendando a mais polêmica das bases legais

A Lei Geral de Proteção de Dados traz 10 bases legais para o tratamento. Há situações que são bastante objetivas e claras, como o consentimento: ou você tem ou você não tem.  Outras, reclamam uma análise especial da relação entre as partes envolvidas, como a base contratual. E, entre as demais, há o conhecido, mas comumente questionável, legítimo interesse, o qual, segundo a lei, somente poderá fundamentar tratamento de dados pessoais para… “finalidades legítimas”! Em rol exemplificativo, a LGPD aponta que esse tratamento poderá ocorrer para apoio e promoção de atividades do controlador e proteção do exercício regular de direitos ou prestação de serviços, nos termos da lei. Diante de tais conceitos abertos, é realmente natural a discussão que há em torno dessa base legal. Contudo, a LGPD traz dois pontos que são bastante específicos em relação ao legítimo interesse: obrigação de manter a transparência do tratamento com o titular e possibilidade da Autoridade Nacional exigir Relatório de Impacto. É preciso, então, desvendar essa base legal, para que as respostas para tais questionamentos – e que, em certo nível, integrarão o Relatório de Impacto –  sejam claras, precisas, lógicas e de fácil compreensão.

  • Marcos Bruno
  • Caio Lima
  • Inteligência Artificial e Proteção de Dados Pessoais

Dra Juliana Abrusio, ao tecer suas considerações em audiência pública em Brasília, em abril deste ano, sobre decisões automatizadas na Comissão mista que analisa a MP 869/2018, a qual modifica a Lei Geral de Proteção de Dados, foi categórica ao afirmar que ao cingir ao quadrante das decisões automatizadas estamos falando de inteligência artificial e quando falamos de decisões automatizadas não podemos limitar a pauta de discussões à revisão humana. Tal revisão, sem dúvidas, é de extrema e legítima importância. No entanto, é preciso um olhar prático e não apenas ideológico. A evolução tecnológica deve ser explorada com todo o seu potencial, mas não pode servir para minimizar o alcance da lei, inclusive, e apenas como exemplo, no que diz respeito a não discriminação e ao acesso à informação, que reclama interpretação que englobe o direito à explicação eficiente, para que o usuário que tem seu dado tratado de forma automatizada se mantenha com o poder e direito de controle sobre eles, ainda quando estamos falando de tratamentos realizados a partir de machine learning. Como conciliar os diferentes e fidedignos interesses e direitos dos usuários, com o estado da técnica e com o avanço tecnológico? Quais diálogos precisam ser pautados sobre o assunto?

  • Juliana Abrusio
  • Camila Jimene
  • ANPD e CNPD. Formação, fiscalização e sanções: o que será no Brasil?

A Autoridade Nacional de Proteção de Dados (ANPD) e o Conselho Nacional de Proteção de Dados e Privacidade (CNPD) foram criadas em dezembro/2018 pela MP 869/2018, a qual determinou à ANPD, entre outras atribuições: requisitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que realizem operações de tratamento de dados pessoais; fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação. Ao Conselho Nacional de Proteção de Dados e Privacidade (CNPD), por sua vez, entre outras atribuições, afirmou que cabe propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD; sugerir ações a serem realizadas pela ANPD; e elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade. Nota-se, com efeito, que os dois órgãos precisarão estabelecer estreito diálogo, para regulamentar e direcionar as empresas quanto aos requisitos mínimos para a conformidade com a LGPD, direcionando o caminho para o exercício do Princípio da Confiança. Discute-se, justamente por isso, quem serão os agentes que comporão tais órgãos e quais serão os reflexos dessas possíveis nomeações, especialmente em razão dos princípios, conceitos e normas técnicas intrínsecos à Privacidade e Proteção de Dados e das significativas sanções previstas pela lei geral, em caso de descumprimento.

  • Diagnóstico e gap analysis: mapeando os riscos legais, procedimentais e tecnológicos

O mapeamento do ciclo dos dados é um dos passos mais importantes da implementação da LGPD. Nesse processo, mais do que retratar o cenário atual, é preciso identificar os pontos de vulnerabilidade e inconformidade, apontando as melhorias necessárias, sejam elas procedimentais ou tecnológicas. Diante do que se tem e do que se almeja, caberá formular um detalhado Plano de Ação, contemplando treinamentos, processos, sistemas, medidas para monitoramento da conformidade, de contingência entre outros mecanismos que garantam o exercício diligente quanto às obrigações e responsabilidades previstas na LGPD, inclusive diante de eventuais incidentes.

  • Compliance e Proteção de Dados Pessoais: normas legais e procedimentos internos

Cabe ao Compliance estabelecer e zelar pelas Políticas e Processos Internos, de forma integrada às outras áreas da empresa, sempre atenta aos riscos operacionais, às melhores técnicas para mitigá-los e à responsabilidade legal da empresa e de cada agente. Não deve, certamente, representar um bloqueador de ideias, de inovação e de avanços, cumprindo-lhe o papel de direcionamento, em diferentes frentes, para que a diligência pela legalidade, prevenção e segurança de dados seja cultural e um padrão.

  • DPO: quem nomear, como preparar e quais são as suas funções?

Como afirma Renato Opice Blum, “…os mais eficientes norteadores para a questão continuam sendo cautela e bom senso – palavras de ordem para qualquer usuário da Internet, personalidade pública ou cidadão regular”. Para atingir esses norteadores, comuns a todos, cumpre ao DPO, dentro de cada empresa, a função de planejar, monitorar e fiscalizar o programa de conformidade com as Leis de Proteção de Dados e Privacidade aplicáveis, assim como de estabelecer um adequado plano de ação para o caso de incidentes e tomar todas as diligências necessárias para que ele seja cumprido em caso de incidentes. Diante de tal complexo e importante papel, o profissional que assumir essa função precisa ter, entre suas habilidades, o conhecimento dos processos, da lei, da tecnologia e ter fácil comunicação com as diferentes áreas que lidam com os dados. Como encontrar esse profissional multidisciplinar, quais as funções que ele precisa assumir, como identificar suas inúmeras qualidades ou capacitá-lo? 

  • DPO: estruturação do cargo, da área e responsabilidades dos agentes e do encarregado

A LGPD determina que caberá ao controlador indicar um DPO/ Encarregado de Proteção de Dados, divulgando a identidade e contato desse profissional de forma clara e objetiva. De forma sucinta, contempla atividades que estão a cargo do DPO e afirma que a Autoridade Nacional poderá estabelecer normas sobre a definições e atribuições do encarregado. Apesar de concisa, a legislação brasileira deixa algumas questões importantes em aberto, como, por exemplo, a estruturação do cargo, sua autonomia e os limites de sua responsabilidade. Seria o DPO responsável pela fiscalização de todas as áreas da empresa que lidam com dados pessoais, inclusive alta gerência? Encontrando um incidente envolvendo o presidente e diretoria da empresa, a quem o DPO deve reportar? Ele atua de forma isolada ou pode estar integrado em uma área e cumular outras funções? Há garantias para o exercício de suas funções? Em quais circunstâncias ele deve se reportar à Autoridade Nacional e qual a responsabilidade dos agentes envolvidos?  As práticas internacionais e o Regulamento Geral de Proteção de Dados Europeu podem suprir eventuais lacunas?

  • 08:00 - 09:00
  • Credenciamento
  • 09:00 - 10:30
  • SALA AZUL
  • Privacy and security by design: como implementar

A Lei Geral de Proteção de Dados, assim como o General Data Protection Regulation e outras legislações que cuidam de Segurança e Proteção de Dados trouxeram regras específicas, que, inclusive, permitem uma releitura do princípio da privacidade e da autodeterminação, consagrando uma série de direitos e obrigações bastante específicos, que reclamam adequação dos processos, sistemas, programas, treinamento de pessoal, criação da cultura de proteção de dados, mapeamento, avaliação de impacto, entre outros mecanismos necessários no caminho para a conformidade. Trata-se de profunda análise e inventário de todos os dados que já estão em tratamento – o que pode reclamar um trabalho hercúleo, porém, necessário. Noutro passo, em relação aos novos tratamentos, não há motivos para que sejam realizados sem conformidade e, posteriormente, buscar sua adequação. Tem-se, isto sim, a necessidade de segurança e privacidade por padrão e em todos os processos, seguida de monitoramento da conformidade. Desta maneira, as ações estarão mais voltadas ao proativo (e não reativo), com segurança de ponta a ponta, transparência e respeito às normas aplicáveis. Para tal nível, precisamos falar de privacidade e segurança by design.

  • 09:00 - 10:30
  • SALA ROXA
  • Data Protection Impact Assessments: o panorama completo

O DPIA (Data Protection Impact Assessment), Relatório de Impacto à Proteção de Dados, é necessário sempre que um tratamento gerar potenciais riscos às liberdades civis e aos direitos fundamentais, sendo-lhe intrínseco indicar medidas, salvaguardas e mecanismos de mitigação desses riscos, conforme conceitua a Lei Geral de Proteção de Dados Brasileira. É facultado à Autoridade Nacional exigir sua elaboração, sendo que sua obrigatoriedade dependerá de fatores que precisam ser analisados no caso concreto, tais como a categoria dos dados e o tipo de tratamento. Quais essas categoriais e tipos? Quem é o responsável pela elaboração desse relatório? Qual seu conteúdo mínimo? Como o relatório demonstrará que as previsões legais são transformadas, pela empresa, em planos de ação técnicos e processuais?

  • 09:00 - 10:30
  • SALA BRANCA
  • Desvendando anonimização e pseudonimização

A Lei Geral de Proteção de Dados visa proteger os dados pessoais de pessoas físicas, humanas, identificadas ou identificáveis. Assim, uma vez que um dado é pessoal, mas não permite, de forma direta ou indireta, a identificação de seu titular, não haverá incidência da LGPD. Por essa razão, há uma corrida para implementação de processos de anonimização, permitindo que os dados sejam coletados e tratados sem as limitações impostas pela LGPD, decorrentes dos legítimos interesses dos titulares. Inclusive, cabe pontuar que solicitar a anonimização dos dados é um dos direitos que o titular dos dados pode exercer. A pseudonimização, por sua vez, é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro. Neste contexto, a regularidade e eficácia do processo de anonimização dependerá da possibilidade ou não de sua reversão – onde reside uma das principais complexidades que envolvem o tema, inclusive considerando que, embora haja a faculdade da Autoridade Nacional dispor sobre padrões e técnicas relacionados ao processo de anonimização, por ora, tal diretriz é inexistente. Afinal, pesquisas apontam que a combinação de 2 dados – não sensíveis, diga-se – pode permitir a identificação de um indivíduo. E mais, dependendo do dado, ele pode representar um padrão único, sendo, naturalmente, suficiente para a identificação de um indivíduo. Assim, o que precisa ser considerado para a eficácia e regularidade desses procedimentos? Quais mecanismos têm sido utilizados? Como esses processos desafiam o aprimoramento da tecnologia? Quais as consequências para o caso de possibilidade de reversão ou identificação do titular a partir do cruzamento de informações?

  • 10:30 - 11:00
  • Coffee Break
  • 11:00 - 12:30
  • SALA AZUL
  • As 10 bases legais para o tratamento: como identificá-las?

O consentimento é uma das bases legais para o regular tratamento de dados e, talvez, a mais conhecida entre delas. Ocorre que o consentimento, embora seja facilmente detectável e provado frente à objetividade que ele reclama, deve ser considerado como uma das últimas formas para legitimar o tratamento, diante de sua volatilidade. Por isso, analisar, além desta, as outras 9 bases legais para o tratamento de dados, entendendo como cada uma delas se aplica ou não ao seu negócio, pode ser fundamental para elevar o fundamento do seu tratamento a um patamar mais estável e, em alguns casos, inquestionável. 

  • 11:00 - 12:30
  • SALA ROXA
  • Data Mapping: aspectos técnicos e jurídicos

As legislações de proteção de dados trouxeram uma série de princípios, obrigações e direitos que devem ser observados. Assim, Privacy e Security by design, adequação e implementação da LGPD estão na pauta do dia de grandes players do mercado. Acontece que para fazer sentido falarmos de adequação e desses outros processos, precisamos, igualmente, falar de mapeamento dos dados. Afinal, qual o processo que precisa ser adequado? Qual o ciclo dos dados? Onde estão os dados cuja segurança precisa ser garantida? Como o data discovery e o data mapping se complementam? Nesse workshop vamos aprofundar essas discussões e entender as técnicas e os desafios dessa fase importantíssima do programa de conformidade.

  • 11:00 - 12:30
  • SALA BRANCA
  • Governança Corporativa: estruturando as políticas internas

Proteção de dados não diz respeito apenas à regularização documental de informações ou conformidade das previsões contratuais acerca das responsabilidades. Envolve complexo processo que reclama considerar os três níveis de defesa da companhia: Pessoas, Compliance e Auditoria Externa, de tal forma que, se um nível falhar, ainda haverá outro que protegerá os dados. Para a execução desse processo, mister, portanto, o envolvimento de cada uma das áreas impactadas, com normas claras em relação à estrutura da segurança, inclusive níveis de acesso e responsabilidades pelo desempenho e conformidade de cada papel, assim como competentes programas de conscientização, treinamento e, conforme o caso, capacitação especializada. Esses pontos, entre outros, são objetos da Governança Corporativa, responsável pela estruturação e eficiências das políticas internas.

  • 12:30 - 14:00
  • Almoço
  • 14:00 - 15:30
  • SALA AZUL
  • Controller/Processor: a importância da definição dos papéis dos agentes e respectiva formalização

O processor deve agir nos limites determinados pelo controller. Entretanto, como exposto no caso envolvendo a Cambridge Analytica e a gigante Facebook, nem sempre esses papeis ficam claros diante de um incidente. Ocorre que, se por um lado a responsabilidade de cada uma das partes é matéria legal, por outro, é o contrato entre elas que deve deixar claro os limites da solicitação do controller e da execução do processor, cabendo a cada um dos lados peculiar análise sobre o seu papel no tratamento dos dados e as previsões contratuais, especialmente considerando a possibilidade de cláusulas que permitam interpretações restritivas ou ampliativas daquilo que verdadeiramente se objetivava. Ademais, cumpre ainda observar que o relacionamento entre as partes pode, em determinados casos, alterar a matriz contratual e ensejar responsabilidades inicialmente não previstas, sendo importante, mais uma vez, a diligência dos envolvidos quanto à formalização dos ajustes.

  • 14:00 - 15:30
  • SALA ROXA
  • Data Breach: muito além do vazamento de dados

Um data breach ocasiona o vazamento de dados e a exposição de, não raramente, milhares de titulares, com potencial violação da privacidade, intimidade, dados que permitem análises de preditivas, ações e pensamentos peculiares do indivíduo, entre outras situações que o colocam em frágil e clara posição de vulnerabilidade. Com efeito, o data breach tem potencial de revelar e devastar a intimidade dos titulares dos dados, gerando demissões, extorsões e até suicídio – como ocorreu no conhecido caso do Ashley Madison. Porém, não é só o titular que é exposto. Em diferente nível, o próprio controlador é exposto, revelando muito ao seu respeito, especialmente aspectos negativos, que podem comprometem a segurança e o futuro do seu negócio.

  • 14:00 - 15:30
  • SALA BRANCA
  • Direito de acesso, portabilidade e eliminação de dados pessoais: como dar efetividade aos direitos dos titulares

Direito e tecnologia são imprescindíveis para dar cumprimento às normas relacionadas à Privacidade e Proteção de Dados. Cabe ao profissional do direito interpretar a norma sob à luz de inúmeros princípios, lhe conferindo máxima efetividade, em harmonia com a Constituição Federal. Todavia, há situações em que essa interpretação desafia medidas tecnológicas até então não praticadas – seja em razão do seu custo, seja em razão do estado da arte, isto é, ainda não há um mecanismo que atenda exatamente ao que se almeja. É o caso, por exemplo, da interceptação de conversas realizadas via aplicativos de mensagens instantâneas para investigação de crimes hediondos. A interpretação da lei guarda a possibilidade da medida. No entanto, as empresas responsáveis pela tecnologia afirmam que o cumprimento da medida seria impossível. No mesmo compasso e novamente ilustrando o tema, há acirrada discussão acerca dos mecanismos técnicos necessários para a eliminação dos dados dos titulares. Afinal, já há tecnologia que permite a recuperação de dados eliminados. Então, como compatibilizar a determinação da lei com a possibilidade técnica e real do seu efetivo cumprimento?

  • 15:30 - 16:00
  • Coffee Break
  • 16:00 - 18:00
  • SALA AZUL
  • Entidades públicas e privadas: compartilhamento de dados e interação

Direito e tecnologia são imprescindíveis para dar cumprimento às normas relacionadas à Privacidade e Proteção de Dados. Cabe ao profissional do direito interpretar a norma sob à luz de inúmeros princípios, lhe conferindo máxima efetividade, em harmonia com a Constituição Federal. Todavia, há situações em que essa interpretação desafia medidas tecnológicas até então não praticadas – seja em razão do seu custo, seja em razão do estado da arte, isto é, ainda não há um mecanismo que atenda exatamente ao que se almeja. É o caso, por exemplo, da interceptação de conversas realizadas via aplicativos de mensagens instantâneas para investigação de crimes hediondos. A interpretação da lei guarda a possibilidade da medida. No entanto, as empresas responsáveis pela tecnologia afirmam que o cumprimento da medida seria impossível. No mesmo compasso e novamente ilustrando o tema, há acirrada discussão acerca dos mecanismos técnicos necessários para a eliminação dos dados dos titulares. Afinal, já há tecnologia que permite a recuperação de dados eliminados. Então, como compatibilizar a determinação da lei com a possibilidade técnica e real do seu efetivo cumprimento?

  • 16:00 - 18:00
  • SALA ROXA
  • Setor bancário / meios de pagamento: como conciliar a LGPD com as normas setoriais

A Resolução 4.658/2018 e a Circular 3.909/2018 do BACEN estabelecem diretivas sobre a Política de Segurança Cibernética, bem como requisitos para contratação de serviços de processamento e armazenamento de dados em nuvem, direcionadas às Instituições que são autorizadas a funcionar pelo BACEN, tais como bancos e instituições de pagamento. Em abril/2019, foi sancionada Lei que altera as normas sobre o cadastro positivo, trazendo importante discussão sobre a modelagem de crédito, escala progressiva de conhecimento e o uso de dados para proteção (ou não) do crédito e economia; o mercado aguarda ansioso pela regulamentação do Open Banking por parte do Banco Central e estuda os impactos dessa abertura e a possibilidade de crescimento de novos negócios relacionados. Essas são apenas algumas das normas setoriais relacionadas ao setor bancário e tratamento de dados. O assunto é de especial interesse nesse segmento, inclusive diante da discussão acerca do eventual tratamento de dados sensíveis a partir das operações peculiares ao setor, tais como compras em farmácias, pagamentos realizados ou os dados de geolocalização eventualmente coletados pelos apps das instituições.  Assim, sendo dados a nova moeda, o debate sobre as normas setoriais do setor bancário e a LGPD é premente e inadiável.

  • 16:00 - 18:00
  • SALA BRANCA
  • Dados sensíveis: restrições e tratamento

Não somente por razões legais, mas, sobretudo éticas, dados pessoais sensíveis merecem especial salvaguarda. A Lei Geral de Proteção de Dados dispõe que ao tratamento de dados pessoais sensíveis deve ser dada especial atenção, estando sujeitos a condições de tratamento específicas. São dados que revelam a origem racial ou étnica, opiniões políticas, filiação a sindicato, convicções religiosas ou filosóficas, dados relacionados à saúde, genéticos ou biométricos, à vida ou orientação sexual. Vale lembrar, que este cuidado alcança a todo e qualquer formato do que podemos chamar de dados pessoais: textuais, biométricos, de imagem, som etc. Destarte, imperioso ressaltar que ao conferir a tais dados o cuidado que se esmera, além de se estar assegurando a privacidade se estará evitando que os mesmos sejam utilizados contra seus próprios titulares, os restringindo muitas vezes ao exercício de direitos. Neste painel, o debate versará sobre a distinção entre dados pessoais não sensívei e sensíveis, o critério ideal para tal distinção, as possíveis interpretações partindo-se de diferentes contextos, além da plausível transformação de dado pessoal não sensível para sensível, por meio e exemplo, da inteligência artificial.