AGENDA

  • 08:00 - 09:00
  • Credenciamento
  • 09:00 - 10:30
  • SALA AZUL
  • Privacy and security by design: como implementar

A Lei Geral de Proteção de Dados, assim como o General Data Protection Regulation e outras legislações que cuidam de Segurança e Proteção de Dados trouxeram regras específicas, que, inclusive, permitem uma releitura do princípio da privacidade e da autodeterminação, consagrando uma série de direitos e obrigações bastante específicos, que reclamam adequação dos processos, sistemas, programas, treinamento de pessoal, criação da cultura de proteção de dados, mapeamento, avaliação de impacto, entre outros mecanismos necessários no caminho para a conformidade. Trata-se de profunda análise e inventário de todos os dados que já estão em tratamento – o que pode reclamar um trabalho hercúleo, porém, necessário. Noutro passo, em relação aos novos tratamentos, não há motivos para que sejam realizados sem conformidade e, posteriormente, buscar sua adequação. Tem-se, isto sim, a necessidade de segurança e privacidade por padrão e em todos os processos, seguida de monitoramento da conformidade. Desta maneira, as ações estarão mais voltadas ao proativo (e não reativo), com segurança de ponta a ponta, transparência e respeito às normas aplicáveis. Para tal nível, precisamos falar de privacidade e segurança by design.

  • 09:00 - 10:30
  • SALA ROXA
  • Data Protection Impact Assessments: o panorama completo

O DPIA (Data Protection Impact Assessment), Relatório de Impacto à Proteção de Dados, é necessário sempre que um tratamento gerar potenciais riscos às liberdades civis e aos direitos fundamentais, sendo-lhe intrínseco indicar medidas, salvaguardas e mecanismos de mitigação desses riscos, conforme conceitua a Lei Geral de Proteção de Dados Brasileira. É facultado à Autoridade Nacional exigir sua elaboração, sendo que sua obrigatoriedade dependerá de fatores que precisam ser analisados no caso concreto, tais como a categoria dos dados e o tipo de tratamento. Quais essas categoriais e tipos? Quem é o responsável pela elaboração desse relatório? Qual seu conteúdo mínimo? Como o relatório demonstrará que as previsões legais são transformadas, pela empresa, em planos de ação técnicos e processuais?

  • 09:00 - 10:30
  • SALA BRANCA
  • Desvendando anonimização e pseudonimização

A Lei Geral de Proteção de Dados visa proteger os dados pessoais de pessoas físicas, humanas, identificadas ou identificáveis. Assim, uma vez que um dado é pessoal, mas não permite, de forma direta ou indireta, a identificação de seu titular, não haverá incidência da LGPD. Por essa razão, há uma corrida para implementação de processos de anonimização, permitindo que os dados sejam coletados e tratados sem as limitações impostas pela LGPD, decorrentes dos legítimos interesses dos titulares. Inclusive, cabe pontuar que solicitar a anonimização dos dados é um dos direitos que o titular dos dados pode exercer. A pseudonimização, por sua vez, é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro. Neste contexto, a regularidade e eficácia do processo de anonimização dependerá da possibilidade ou não de sua reversão – onde reside uma das principais complexidades que envolvem o tema, inclusive considerando que, embora haja a faculdade da Autoridade Nacional dispor sobre padrões e técnicas relacionados ao processo de anonimização, por ora, tal diretriz é inexistente. Afinal, pesquisas apontam que a combinação de 2 dados – não sensíveis, diga-se – pode permitir a identificação de um indivíduo. E mais, dependendo do dado, ele pode representar um padrão único, sendo, naturalmente, suficiente para a identificação de um indivíduo. Assim, o que precisa ser considerado para a eficácia e regularidade desses procedimentos? Quais mecanismos têm sido utilizados? Como esses processos desafiam o aprimoramento da tecnologia? Quais as consequências para o caso de possibilidade de reversão ou identificação do titular a partir do cruzamento de informações?

  • 10:30 - 11:00
  • Coffee Break
  • 11:00 - 12:30
  • SALA AZUL
  • As 10 bases legais para o tratamento: como identificá-las?

O consentimento é uma das bases legais para o regular tratamento de dados e, talvez, a mais conhecida entre delas. Ocorre que o consentimento, embora seja facilmente detectável e provado frente à objetividade que ele reclama, deve ser considerado como uma das últimas formas para legitimar o tratamento, diante de sua volatilidade. Por isso, analisar, além desta, as outras 9 bases legais para o tratamento de dados, entendendo como cada uma delas se aplica ou não ao seu negócio, pode ser fundamental para elevar o fundamento do seu tratamento a um patamar mais estável e, em alguns casos, inquestionável. 

  • 11:00 - 12:30
  • SALA ROXA
  • Data Mapping: aspectos técnicos e jurídicos

As legislações de proteção de dados trouxeram uma série de princípios, obrigações e direitos que devem ser observados. Assim, Privacy e Security by design, adequação e implementação da LGPD estão na pauta do dia de grandes players do mercado. Acontece que para fazer sentido falarmos de adequação e desses outros processos, precisamos, igualmente, falar de mapeamento dos dados. Afinal, qual o processo que precisa ser adequado? Qual o ciclo dos dados? Onde estão os dados cuja segurança precisa ser garantida? Como o data discovery e o data mapping se complementam? Nesse workshop vamos aprofundar essas discussões e entender as técnicas e os desafios dessa fase importantíssima do programa de conformidade.

  • 11:00 - 12:30
  • SALA BRANCA
  • Governança Corporativa: estruturando as políticas internas

Proteção de dados não diz respeito apenas à regularização documental de informações ou conformidade das previsões contratuais acerca das responsabilidades. Envolve complexo processo que reclama considerar os três níveis de defesa da companhia: Pessoas, Compliance e Auditoria Externa, de tal forma que, se um nível falhar, ainda haverá outro que protegerá os dados. Para a execução desse processo, mister, portanto, o envolvimento de cada uma das áreas impactadas, com normas claras em relação à estrutura da segurança, inclusive níveis de acesso e responsabilidades pelo desempenho e conformidade de cada papel, assim como competentes programas de conscientização, treinamento e, conforme o caso, capacitação especializada. Esses pontos, entre outros, são objetos da Governança Corporativa, responsável pela estruturação e eficiências das políticas internas.

  • 12:30 - 14:00
  • Almoço
  • 14:00 - 15:30
  • SALA AZUL
  • Controller/Processor: a importância da definição dos papéis dos agentes e respectiva formalização

O processor deve agir nos limites determinados pelo controller. Entretanto, como exposto no caso envolvendo a Cambridge Analytica e a gigante Facebook, nem sempre esses papeis ficam claros diante de um incidente. Ocorre que, se por um lado a responsabilidade de cada uma das partes é matéria legal, por outro, é o contrato entre elas que deve deixar claro os limites da solicitação do controller e da execução do processor, cabendo a cada um dos lados peculiar análise sobre o seu papel no tratamento dos dados e as previsões contratuais, especialmente considerando a possibilidade de cláusulas que permitam interpretações restritivas ou ampliativas daquilo que verdadeiramente se objetivava. Ademais, cumpre ainda observar que o relacionamento entre as partes pode, em determinados casos, alterar a matriz contratual e ensejar responsabilidades inicialmente não previstas, sendo importante, mais uma vez, a diligência dos envolvidos quanto à formalização dos ajustes.

  • 14:00 - 15:30
  • SALA ROXA
  • Data Breach: muito além do vazamento de dados

Um data breach ocasiona o vazamento de dados e a exposição de, não raramente, milhares de titulares, com potencial violação da privacidade, intimidade, dados que permitem análises de preditivas, ações e pensamentos peculiares do indivíduo, entre outras situações que o colocam em frágil e clara posição de vulnerabilidade. Com efeito, o data breach tem potencial de revelar e devastar a intimidade dos titulares dos dados, gerando demissões, extorsões e até suicídio – como ocorreu no conhecido caso do Ashley Madison. Porém, não é só o titular que é exposto. Em diferente nível, o próprio controlador é exposto, revelando muito ao seu respeito, especialmente aspectos negativos, que podem comprometem a segurança e o futuro do seu negócio.

  • 14:00 - 15:30
  • SALA BRANCA
  • Direito de acesso, portabilidade e eliminação de dados pessoais: como dar efetividade aos direitos dos titulares

Direito e tecnologia são imprescindíveis para dar cumprimento às normas relacionadas à Privacidade e Proteção de Dados. Cabe ao profissional do direito interpretar a norma sob à luz de inúmeros princípios, lhe conferindo máxima efetividade, em harmonia com a Constituição Federal. Todavia, há situações em que essa interpretação desafia medidas tecnológicas até então não praticadas – seja em razão do seu custo, seja em razão do estado da arte, isto é, ainda não há um mecanismo que atenda exatamente ao que se almeja. É o caso, por exemplo, da interceptação de conversas realizadas via aplicativos de mensagens instantâneas para investigação de crimes hediondos. A interpretação da lei guarda a possibilidade da medida. No entanto, as empresas responsáveis pela tecnologia afirmam que o cumprimento da medida seria impossível. No mesmo compasso e novamente ilustrando o tema, há acirrada discussão acerca dos mecanismos técnicos necessários para a eliminação dos dados dos titulares. Afinal, já há tecnologia que permite a recuperação de dados eliminados. Então, como compatibilizar a determinação da lei com a possibilidade técnica e real do seu efetivo cumprimento?

  • 15:30 - 16:00
  • Coffee Break
  • 16:00 - 18:00
  • SALA AZUL
  • Entidades públicas e privadas: compartilhamento de dados e interação

Direito e tecnologia são imprescindíveis para dar cumprimento às normas relacionadas à Privacidade e Proteção de Dados. Cabe ao profissional do direito interpretar a norma sob à luz de inúmeros princípios, lhe conferindo máxima efetividade, em harmonia com a Constituição Federal. Todavia, há situações em que essa interpretação desafia medidas tecnológicas até então não praticadas – seja em razão do seu custo, seja em razão do estado da arte, isto é, ainda não há um mecanismo que atenda exatamente ao que se almeja. É o caso, por exemplo, da interceptação de conversas realizadas via aplicativos de mensagens instantâneas para investigação de crimes hediondos. A interpretação da lei guarda a possibilidade da medida. No entanto, as empresas responsáveis pela tecnologia afirmam que o cumprimento da medida seria impossível. No mesmo compasso e novamente ilustrando o tema, há acirrada discussão acerca dos mecanismos técnicos necessários para a eliminação dos dados dos titulares. Afinal, já há tecnologia que permite a recuperação de dados eliminados. Então, como compatibilizar a determinação da lei com a possibilidade técnica e real do seu efetivo cumprimento?

  • 16:00 - 18:00
  • SALA ROXA
  • Setor bancário / meios de pagamento: como conciliar a LGPD com as normas setoriais

A Resolução 4.658/2018 e a Circular 3.909/2018 do BACEN estabelecem diretivas sobre a Política de Segurança Cibernética, bem como requisitos para contratação de serviços de processamento e armazenamento de dados em nuvem, direcionadas às Instituições que são autorizadas a funcionar pelo BACEN, tais como bancos e instituições de pagamento. Em abril/2019, foi sancionada Lei que altera as normas sobre o cadastro positivo, trazendo importante discussão sobre a modelagem de crédito, escala progressiva de conhecimento e o uso de dados para proteção (ou não) do crédito e economia; o mercado aguarda ansioso pela regulamentação do Open Banking por parte do Banco Central e estuda os impactos dessa abertura e a possibilidade de crescimento de novos negócios relacionados. Essas são apenas algumas das normas setoriais relacionadas ao setor bancário e tratamento de dados. O assunto é de especial interesse nesse segmento, inclusive diante da discussão acerca do eventual tratamento de dados sensíveis a partir das operações peculiares ao setor, tais como compras em farmácias, pagamentos realizados ou os dados de geolocalização eventualmente coletados pelos apps das instituições.  Assim, sendo dados a nova moeda, o debate sobre as normas setoriais do setor bancário e a LGPD é premente e inadiável.

  • 16:00 - 18:00
  • SALA BRANCA
  • Dados sensíveis: restrições e tratamento

Não somente por razões legais, mas, sobretudo éticas, dados pessoais sensíveis merecem especial salvaguarda. A Lei Geral de Proteção de Dados dispõe que ao tratamento de dados pessoais sensíveis deve ser dada especial atenção, estando sujeitos a condições de tratamento específicas. São dados que revelam a origem racial ou étnica, opiniões políticas, filiação a sindicato, convicções religiosas ou filosóficas, dados relacionados à saúde, genéticos ou biométricos, à vida ou orientação sexual. Vale lembrar, que este cuidado alcança a todo e qualquer formato do que podemos chamar de dados pessoais: textuais, biométricos, de imagem, som etc. Destarte, imperioso ressaltar que ao conferir a tais dados o cuidado que se esmera, além de se estar assegurando a privacidade se estará evitando que os mesmos sejam utilizados contra seus próprios titulares, os restringindo muitas vezes ao exercício de direitos. Neste painel, o debate versará sobre a distinção entre dados pessoais não sensívei e sensíveis, o critério ideal para tal distinção, as possíveis interpretações partindo-se de diferentes contextos, além da plausível transformação de dado pessoal não sensível para sensível, por meio e exemplo, da inteligência artificial.

  • 08:00 - 09:00
  • Credenciamento
  • 09:00 - 10:30
  • SALA AZUL
  • Privacy and security by design: como implementar

A Lei Geral de Proteção de Dados, assim como o General Data Protection Regulation e outras legislações que cuidam de Segurança e Proteção de Dados trouxeram regras específicas, que, inclusive, permitem uma releitura do princípio da privacidade e da autodeterminação, consagrando uma série de direitos e obrigações bastante específicos, que reclamam adequação dos processos, sistemas, programas, treinamento de pessoal, criação da cultura de proteção de dados, mapeamento, avaliação de impacto, entre outros mecanismos necessários no caminho para a conformidade. Trata-se de profunda análise e inventário de todos os dados que já estão em tratamento – o que pode reclamar um trabalho hercúleo, porém, necessário. Noutro passo, em relação aos novos tratamentos, não há motivos para que sejam realizados sem conformidade e, posteriormente, buscar sua adequação. Tem-se, isto sim, a necessidade de segurança e privacidade por padrão e em todos os processos, seguida de monitoramento da conformidade. Desta maneira, as ações estarão mais voltadas ao proativo (e não reativo), com segurança de ponta a ponta, transparência e respeito às normas aplicáveis. Para tal nível, precisamos falar de privacidade e segurança by design.

  • 09:00 - 10:30
  • SALA ROXA
  • Data Protection Impact Assessments: o panorama completo

O DPIA (Data Protection Impact Assessment), Relatório de Impacto à Proteção de Dados, é necessário sempre que um tratamento gerar potenciais riscos às liberdades civis e aos direitos fundamentais, sendo-lhe intrínseco indicar medidas, salvaguardas e mecanismos de mitigação desses riscos, conforme conceitua a Lei Geral de Proteção de Dados Brasileira. É facultado à Autoridade Nacional exigir sua elaboração, sendo que sua obrigatoriedade dependerá de fatores que precisam ser analisados no caso concreto, tais como a categoria dos dados e o tipo de tratamento. Quais essas categoriais e tipos? Quem é o responsável pela elaboração desse relatório? Qual seu conteúdo mínimo? Como o relatório demonstrará que as previsões legais são transformadas, pela empresa, em planos de ação técnicos e processuais?

  • 09:00 - 10:30
  • SALA BRANCA
  • Desvendando anonimização e pseudonimização

A Lei Geral de Proteção de Dados visa proteger os dados pessoais de pessoas físicas, humanas, identificadas ou identificáveis. Assim, uma vez que um dado é pessoal, mas não permite, de forma direta ou indireta, a identificação de seu titular, não haverá incidência da LGPD. Por essa razão, há uma corrida para implementação de processos de anonimização, permitindo que os dados sejam coletados e tratados sem as limitações impostas pela LGPD, decorrentes dos legítimos interesses dos titulares. Inclusive, cabe pontuar que solicitar a anonimização dos dados é um dos direitos que o titular dos dados pode exercer. A pseudonimização, por sua vez, é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro. Neste contexto, a regularidade e eficácia do processo de anonimização dependerá da possibilidade ou não de sua reversão – onde reside uma das principais complexidades que envolvem o tema, inclusive considerando que, embora haja a faculdade da Autoridade Nacional dispor sobre padrões e técnicas relacionados ao processo de anonimização, por ora, tal diretriz é inexistente. Afinal, pesquisas apontam que a combinação de 2 dados – não sensíveis, diga-se – pode permitir a identificação de um indivíduo. E mais, dependendo do dado, ele pode representar um padrão único, sendo, naturalmente, suficiente para a identificação de um indivíduo. Assim, o que precisa ser considerado para a eficácia e regularidade desses procedimentos? Quais mecanismos têm sido utilizados? Como esses processos desafiam o aprimoramento da tecnologia? Quais as consequências para o caso de possibilidade de reversão ou identificação do titular a partir do cruzamento de informações?

  • 10:30 - 11:00
  • Coffee Break
  • 11:00 - 12:30
  • SALA AZUL
  • As 10 bases legais para o tratamento: como identificá-las?

O consentimento é uma das bases legais para o regular tratamento de dados e, talvez, a mais conhecida entre delas. Ocorre que o consentimento, embora seja facilmente detectável e provado frente à objetividade que ele reclama, deve ser considerado como uma das últimas formas para legitimar o tratamento, diante de sua volatilidade. Por isso, analisar, além desta, as outras 9 bases legais para o tratamento de dados, entendendo como cada uma delas se aplica ou não ao seu negócio, pode ser fundamental para elevar o fundamento do seu tratamento a um patamar mais estável e, em alguns casos, inquestionável. 

  • 11:00 - 12:30
  • SALA ROXA
  • Data Mapping: aspectos técnicos e jurídicos

As legislações de proteção de dados trouxeram uma série de princípios, obrigações e direitos que devem ser observados. Assim, Privacy e Security by design, adequação e implementação da LGPD estão na pauta do dia de grandes players do mercado. Acontece que para fazer sentido falarmos de adequação e desses outros processos, precisamos, igualmente, falar de mapeamento dos dados. Afinal, qual o processo que precisa ser adequado? Qual o ciclo dos dados? Onde estão os dados cuja segurança precisa ser garantida? Como o data discovery e o data mapping se complementam? Nesse workshop vamos aprofundar essas discussões e entender as técnicas e os desafios dessa fase importantíssima do programa de conformidade.

  • 11:00 - 12:30
  • SALA BRANCA
  • Governança Corporativa: estruturando as políticas internas

Proteção de dados não diz respeito apenas à regularização documental de informações ou conformidade das previsões contratuais acerca das responsabilidades. Envolve complexo processo que reclama considerar os três níveis de defesa da companhia: Pessoas, Compliance e Auditoria Externa, de tal forma que, se um nível falhar, ainda haverá outro que protegerá os dados. Para a execução desse processo, mister, portanto, o envolvimento de cada uma das áreas impactadas, com normas claras em relação à estrutura da segurança, inclusive níveis de acesso e responsabilidades pelo desempenho e conformidade de cada papel, assim como competentes programas de conscientização, treinamento e, conforme o caso, capacitação especializada. Esses pontos, entre outros, são objetos da Governança Corporativa, responsável pela estruturação e eficiências das políticas internas.

  • 12:30 - 14:00
  • Almoço
  • 14:00 - 15:30
  • SALA AZUL
  • Controller/Processor: a importância da definição dos papéis dos agentes e respectiva formalização

O processor deve agir nos limites determinados pelo controller. Entretanto, como exposto no caso envolvendo a Cambridge Analytica e a gigante Facebook, nem sempre esses papeis ficam claros diante de um incidente. Ocorre que, se por um lado a responsabilidade de cada uma das partes é matéria legal, por outro, é o contrato entre elas que deve deixar claro os limites da solicitação do controller e da execução do processor, cabendo a cada um dos lados peculiar análise sobre o seu papel no tratamento dos dados e as previsões contratuais, especialmente considerando a possibilidade de cláusulas que permitam interpretações restritivas ou ampliativas daquilo que verdadeiramente se objetivava. Ademais, cumpre ainda observar que o relacionamento entre as partes pode, em determinados casos, alterar a matriz contratual e ensejar responsabilidades inicialmente não previstas, sendo importante, mais uma vez, a diligência dos envolvidos quanto à formalização dos ajustes.

  • 14:00 - 15:30
  • SALA ROXA
  • Data Breach: muito além do vazamento de dados

Um data breach ocasiona o vazamento de dados e a exposição de, não raramente, milhares de titulares, com potencial violação da privacidade, intimidade, dados que permitem análises de preditivas, ações e pensamentos peculiares do indivíduo, entre outras situações que o colocam em frágil e clara posição de vulnerabilidade. Com efeito, o data breach tem potencial de revelar e devastar a intimidade dos titulares dos dados, gerando demissões, extorsões e até suicídio – como ocorreu no conhecido caso do Ashley Madison. Porém, não é só o titular que é exposto. Em diferente nível, o próprio controlador é exposto, revelando muito ao seu respeito, especialmente aspectos negativos, que podem comprometem a segurança e o futuro do seu negócio.

  • 14:00 - 15:30
  • SALA BRANCA
  • Direito de acesso, portabilidade e eliminação de dados pessoais: como dar efetividade aos direitos dos titulares

Direito e tecnologia são imprescindíveis para dar cumprimento às normas relacionadas à Privacidade e Proteção de Dados. Cabe ao profissional do direito interpretar a norma sob à luz de inúmeros princípios, lhe conferindo máxima efetividade, em harmonia com a Constituição Federal. Todavia, há situações em que essa interpretação desafia medidas tecnológicas até então não praticadas – seja em razão do seu custo, seja em razão do estado da arte, isto é, ainda não há um mecanismo que atenda exatamente ao que se almeja. É o caso, por exemplo, da interceptação de conversas realizadas via aplicativos de mensagens instantâneas para investigação de crimes hediondos. A interpretação da lei guarda a possibilidade da medida. No entanto, as empresas responsáveis pela tecnologia afirmam que o cumprimento da medida seria impossível. No mesmo compasso e novamente ilustrando o tema, há acirrada discussão acerca dos mecanismos técnicos necessários para a eliminação dos dados dos titulares. Afinal, já há tecnologia que permite a recuperação de dados eliminados. Então, como compatibilizar a determinação da lei com a possibilidade técnica e real do seu efetivo cumprimento?

  • 15:30 - 16:00
  • Coffee Break
  • 16:00 - 18:00
  • SALA AZUL
  • Entidades públicas e privadas: compartilhamento de dados e interação

Direito e tecnologia são imprescindíveis para dar cumprimento às normas relacionadas à Privacidade e Proteção de Dados. Cabe ao profissional do direito interpretar a norma sob à luz de inúmeros princípios, lhe conferindo máxima efetividade, em harmonia com a Constituição Federal. Todavia, há situações em que essa interpretação desafia medidas tecnológicas até então não praticadas – seja em razão do seu custo, seja em razão do estado da arte, isto é, ainda não há um mecanismo que atenda exatamente ao que se almeja. É o caso, por exemplo, da interceptação de conversas realizadas via aplicativos de mensagens instantâneas para investigação de crimes hediondos. A interpretação da lei guarda a possibilidade da medida. No entanto, as empresas responsáveis pela tecnologia afirmam que o cumprimento da medida seria impossível. No mesmo compasso e novamente ilustrando o tema, há acirrada discussão acerca dos mecanismos técnicos necessários para a eliminação dos dados dos titulares. Afinal, já há tecnologia que permite a recuperação de dados eliminados. Então, como compatibilizar a determinação da lei com a possibilidade técnica e real do seu efetivo cumprimento?

  • 16:00 - 18:00
  • SALA ROXA
  • Setor bancário / meios de pagamento: como conciliar a LGPD com as normas setoriais

A Resolução 4.658/2018 e a Circular 3.909/2018 do BACEN estabelecem diretivas sobre a Política de Segurança Cibernética, bem como requisitos para contratação de serviços de processamento e armazenamento de dados em nuvem, direcionadas às Instituições que são autorizadas a funcionar pelo BACEN, tais como bancos e instituições de pagamento. Em abril/2019, foi sancionada Lei que altera as normas sobre o cadastro positivo, trazendo importante discussão sobre a modelagem de crédito, escala progressiva de conhecimento e o uso de dados para proteção (ou não) do crédito e economia; o mercado aguarda ansioso pela regulamentação do Open Banking por parte do Banco Central e estuda os impactos dessa abertura e a possibilidade de crescimento de novos negócios relacionados. Essas são apenas algumas das normas setoriais relacionadas ao setor bancário e tratamento de dados. O assunto é de especial interesse nesse segmento, inclusive diante da discussão acerca do eventual tratamento de dados sensíveis a partir das operações peculiares ao setor, tais como compras em farmácias, pagamentos realizados ou os dados de geolocalização eventualmente coletados pelos apps das instituições.  Assim, sendo dados a nova moeda, o debate sobre as normas setoriais do setor bancário e a LGPD é premente e inadiável.

  • 16:00 - 18:00
  • SALA BRANCA
  • Dados sensíveis: restrições e tratamento

Não somente por razões legais, mas, sobretudo éticas, dados pessoais sensíveis merecem especial salvaguarda. A Lei Geral de Proteção de Dados dispõe que ao tratamento de dados pessoais sensíveis deve ser dada especial atenção, estando sujeitos a condições de tratamento específicas. São dados que revelam a origem racial ou étnica, opiniões políticas, filiação a sindicato, convicções religiosas ou filosóficas, dados relacionados à saúde, genéticos ou biométricos, à vida ou orientação sexual. Vale lembrar, que este cuidado alcança a todo e qualquer formato do que podemos chamar de dados pessoais: textuais, biométricos, de imagem, som etc. Destarte, imperioso ressaltar que ao conferir a tais dados o cuidado que se esmera, além de se estar assegurando a privacidade se estará evitando que os mesmos sejam utilizados contra seus próprios titulares, os restringindo muitas vezes ao exercício de direitos. Neste painel, o debate versará sobre a distinção entre dados pessoais não sensívei e sensíveis, o critério ideal para tal distinção, as possíveis interpretações partindo-se de diferentes contextos, além da plausível transformação de dado pessoal não sensível para sensível, por meio e exemplo, da inteligência artificial.