LGPD

Aspectos Jurídicos e Técnicos

para Atendimento à Lei Geral
de Proteção de Dados

Sinfar, RJ 08/10/2019

Fernando San>ago, PhD

Sócio
Chenut Oliveira Santiago Advogados
Sobre CHENUT OLIVEIRA SANTIAGO
 Responsável técnico
Dr. Fernando SanCago, PhD.

Fernando San>ago é Délégué à la Protec<on des Données (DPO), junto à Commission Na<onale
de l’Informa<que et des Libertés – CNIL, na França, representando empresas brasileiras junto à
referida agência. Membro do Ins<tut de recherche juridique de la Sorbonne (IRJS) - Université
Paris 1 Panthéon-Sorbonne. Membro da Associa<on du droit des robots e da Associa<on
ChainTech – associa<on des acteurs Blockchain.
Sócio fundador do escritório Chenut Oliveira San>ago Advogados Associados, é inscrito nas
ordens profissionais de Paris, Lisboa e São Paulo. Exerce suas a>vidades profissionais no Brasil e
na Europa, onde foi professor assistente (ATER) da Universidade de Paris 11 e da Université de
Paris 1 Panthéon-Sorbonne, ministrando matérias como “Direito Público Econômico” e “Direito
Administra>vo”.
Fernando San>ago é Doutor e Mestre em Direito Público Econômico pela Université de Paris 1
Panthéon-Sorbonne. Cursou Direito Internacional na Cornell Law School e Técnicas de
Negociação na Harvard Law School, é Pós-graduado em Direito de Empresa pela Universidade
Gama Filho/RJ e Bacharel em Direito pela Faculdade de Direito da UFMG. Autor de 3 livros,
publicados na Alemanha e no Brasil, e de vários ar>gos jurídicos publicados em diversas revistas,
notadamente na Europa.
 Dados pessoais e riscos

DATA DRIVEN ECONOMY

1998
üPetróleo do século XXI

1994
üElemento disruptivo da
relação capital x
trabalho
2004
Território, informações e personagens
incógnitos
Cybercrime as a service
 Direito Comunitário
DireCva 95/46/CE sobre a proteção dos dados pessoais

• Preocupação = criação do mercado interno europeu livre circulação

dos dados
• Harmonizar níveis de proteção da vida privada entre países membros
= não impedir a a>vidade econômica na EU.

O RGPD
• Antiguidade da Diretiva 95/46/CE >> Explosão digital e aparecimento
de novos modelos econômicos.
• Fragmentação na execução da proteção dos dados pessoais na UE >>
insegurança jurídica.
Regras Sobre Proteção de
Dados Pessoais

Exemplos de textos
em vigor versando
sobre proteção de
dados no Brasil
 LGPD

Informação relacionada a pessoa natural

idenCficada ou idenCficável

DP “sensível”

DADO PESSOAL Origem racial ou étnica,

convicção religiosa, opinião
O QUE É? política, filiação a sindicato ou
a organização de caráter
religioso, filosófico ou político,
dado referente à saúde ou à
vida sexual, dado genético ou
biométrico
LGPD
BASES LEGAIS PARA O TRATAMENTO DP SENSÍVEIS

CONSENTIMENTO
ü se por escrito, destacado das demais cláusulas
ü para finalidade específica
ü livre, informado e inequívoco
o se mudança/acréscimo de finalidade ➞ novo
consentimento
ü ônus da prova do Controlador
LGPD
BASES LEGAIS PARA O TRATAMENTO DP SENSÍVEIS

SEM CONSENTIMENTO
ü cumprimento de obrigação legal ou regulatória
ü execução de politicas públicas (Administração)
ü estudos por órgão de pesquisa (anonimizar)
ü exercício de direitos (contrato, processos judiciais, administrativos
e arbitrais)
ü proteção da vida ou da incolumidade física do titular ou de
terceiro
LGPD
BASES LEGAIS PARA O TRATAMENTO DP SENSÍVEIS

SEM CONSENTIMENTO
ü tutela da saúde ➞ profissionais ou serviços de saúde ou
entidades sanitárias

ü garantia da prevenção à fraude e à segurança do titular ➞

processos de identificação e autenticação de cadastro em
sistemas eletrônicos
ü Obs : impossibilidade de invocar legítimo interesse
LGPD
Noções básicas : Controlador e Operador

• Controlador: pessoa natural ou jurídica, de

direito público ou privado, a quem competem
as decisões referentes ao tratamento de
dados pessoais

• Operador: pessoa natural ou jurídica, de direito

público ou privado, que realiza o tratamento de
dados pessoais em nome do controlador
LGPD
Controlador e Operador – Problemas

OPERADOR

Ø Controlador deve passar claramente

instruções para o tratamento e verificar (art.
39)

ü a observância das instruções

ü a observância das normas sobre a LGPD
LGPD
Controlador e Operador – Problemas

OPERADOR

Ø Responde solidariamente pelos danos

causados pelo tratamento quando

ü Descumprir obrigações da LGPD

ü Não seguir instruções lícitas do Controlador
LGPD
Noções básicas : 2 Princípios Elementares

• Finalidade: Informada ao titular ≠ tratamento

posterior incompatível com finalidade

• Transparência: Informações claras, precisas

e facilmente acessíveis sobre o tratamento e
os agentes de tratamento

⚠ A assimilar: Noção de término do tratamento

LGPD
Setor Farmacêutico : Tipologia dos Dados de Saúde
Dados utilizados pela Indústria Farmacêutica

Ø Dados descri>vos das amostras biológicas

ü Tecidos humanos u>lizados na pesquisa de novos medicamentos

Ø Dados recolhidos nos testes clínicos

ü Estudo da eficácia e segurança dos medicamentos

Ø Dados de farmacovigilância
ü Acompanhamento da segurança do medicamento desde o
desenvolvimento até a re>rada do mesmo do mercado

Ø Dados epidemiologia
ü Compreender as doenças
LGPD
Setor Farmacêu>co : Tipologia dos Dados de Saúde
Dados utilizados pela Indústria Farmacêutica

Ø Dados de farmaco-economia
ü Avaliar os custos de diferentes terapias

Ø Dados oriundos dos estudos de mercado

ü Compreender as expecta>vas dos pacientes

Ø Dados oriundos do acompanhamento terapêu>co do paciente

ü Ajudar o paciente a melhor administrar o seu tratamento
LGPD
Setor Farmacêu>co : Tipologia dos Dados de Saúde
Questões relevantes

Ø Anonimização dos Dados Pessoais Sensíveis

Público externo
Anonimização➞

Pesquisador externo

Equipe de pesquisa

Profissionais da saúde

Controle ➞
LGPD
Setor Farmacêu>co : Tipologia dos Dados de Saúde

Mecanismos de Controle

Ø Equipes de Desenvolvimento Clínico

ü Dados pseudonimizados
ü Segurança informá>ca forte e acesso limitado às
pessoas habilitadas
ü Jurídico : contratos de trabalho e acordo de
confidencialidade
ü Controle de qualidade : procedimentos, formação
e auditoria
LGPD
Setor Farmacêu>co : Tipologia dos Dados de Saúde

Mecanismos de Controle

Ø Pesquisadores Externos

ü Dados pseudonimizados ou anonimizados em função

das necessidades das pesquisas
ü Segurança informática forte e acesso limitado às
pessoas habilitadas
ü Jurídico : contratos de prestação de serviços com
acordo de confidencialidade
ü Controle de qualidade: procedimentos definidos,
formação e auditoria
LGPD
Setor Farmacêu>co : Tipologia dos Dados de Saúde

Mecanismos de Controle

Ø Público Externo

ü Dados anonimizados exclusivamente

LGPD
Setor Farmacêu>co : Programas de Pacientes

Ø Uso da base de dados

ü Observância estrita da finalidade ?

Ø Compar>lhamento
ü Quem administra os programas de pacientes?

ü Informação sobre o compar>lhamento

suficientemente clara para o paciente ?
q Insuficiência notória dos formulários atuais
LGPD
Setor Farmacêutico : Programas de Pacientes

Questões relevantes

Ø Compartilhamento

ü Vedação contratual à extração de informações da

base de dados ?

ü Qual a governança dessa base pelo gestor do

programa? (compartilhamento, armazenagem,
apagamento, etc.)
LGPD
Setor Farmacêu>co : Farmacovigilância

Questões relevantes

Ø Governança do SAC

ü Polí>cas de triagem e arquivamento de dados de

Farmacovigilância oriundo do SAC

ü Armazenamento dos dados do consumidor/médico

Base legal ? Finalidade?

ü Compar>lhamento dos dados do paciente com efeitos

adversos com matriz no exterior
Sobre
LGPD CHENUT OLIVEIRA
NOS SETORES DE APOIO SANTIAGO
DA EMPRESA

RH, Administra>vo,
Comercial, etc.

Principais dificuldades na
implementação da lei
LGPD
PRINCIPAIS DIFICULDADES NA APLICAÇÃO DA LEI
ASPECTOS TÉCNICOS

IDENTIFICAÇÃO E ESCOLHA DAS BASES LEGAIS

Ø Base shopping
ü pesar os pros e os contras da escolha de determinadas
bases legais

üEscolher bases legais dis>ntas para tratamentos

diversos dentro de uma mesma relação (consen>mento
para algumas, interesse legí>mo para outras, etc)
LGPD
PRINCIPAIS DIFICULDADES NA APLICAÇÃO DA LEI
ASPECTOS TÉCNICOS

GESTÃO DA RELAÇÃO CONTRATUAL

CONTROLADOR/OPERADOR

Ø Negociações contratuais
üMul>plicidades de adi>vos contratuais
üLimitações contratuais de responsabilidade financeira
üIngerência nas escolhas de estocagem (cloud, etc)
üAcompanhamento das terceirizações dos Operadores
üAuditoria das instalações wsicas
LGPD
PRINCIPAIS DIFICULDADES NA APLICAÇÃO DA LEI
ASPECTOS TÉCNICOS

GESTÃO DA RELAÇÃO CONTRATUAL

CONTROLADOR/CONTROLADOR

Ø Negociações contratuais
üLimitações contratuais de responsabilidade financeira

üExercício dos direitos dos titulares

üFinalidade e bases legais para o uso dos dados pessoais

LGPD
PRINCIPAIS DIFICULDADES NA APLICAÇÃO DA LEI
ASPECTOS TÉCNICOS

APLICAÇÃO DA LEI E ESPECIFICIDADES SETORIAIS

Ø Incorporação das especificidades de cada a>vidade

üLGPD para setor farmacêu>co

üLGPD para setor financeiro

üLGPD para setor de propaganda

üEtc etc etc...

LGPD
PRINCIPAIS DIFICULDADES NA APLICAÇÃO DA LEI
ASPECTOS TÉCNICOS

PULVERIZAÇÃO DAS AUTORIDADES DE CONTROLE

Ø Receio legí>mo de ausência de linha de conduta clara

üLGPD segundo o Procom

üLGPD segundo o juiz

üLGPD segundo a ANPD

LGPD
PRINCIPAIS DIFICULDADES NA APLICAÇÃO DA LEI
ASPECTOS COMPORTAMENTAIS

MUDANÇA DA CULTURA DA EMPRESA

Ø Marketing x Minimização

Ø Compartilhamento Excessivo e Desnecessário de

Dados Pessoais

Ø Zonas de comentários livres (comercial e RH)

Ø Política de apagamento de dados (clientes +

antigos)
LGPD
PRINCIPAIS DIFICULDADES NA APLICAÇÃO DA LEI
ASPECTOS COMPORTAMENTAIS

INTEGRAÇÃO DO DPO NA ROTINA DA EMPRESA

Ø Falta de compreensão do real papel do DPO

üconhecimento dos projeto quando do seu

lançamento (negligência do privacy by design)
üconhecimento de vazamento de dados pela
imprensa
üDificuldade de integração do papel de fiscal do
DPO (controle dos processos, auditoria)
LGPD
PRINCIPAIS DIFICULDADES NA APLICAÇÃO DA LEI
ASPECTOS COMPORTAMENTAIS

MAPEAMENTO DOS DADOS

Ø Implicação da alta administração na gestão do

processo
ü dificuldade de agenda
ü disponibilidade do pessoal

Ø Desconhecimento total dos dados e processos

pelas empresas
LGPD

Como atender
a LGPD?
Obrigado!!
Fernando Santiago, PhD
Sócio

CHENUT OLIVEIRA SANTIAGO ADVOGADOS

Av. Epitacio Pessoa 2500 | Lagoa

Rio de Janeiro/RJ | 22471-003
+ 55 (21) 3721-2650 | skype: fernando-san>ago
fas@cosjuris.com |www.cosjuris.com