1. Privacy After Design
Como tratar meu sistema legado?
DOUGLAS SIVIOTTI
TDC Future, 2 de Dezembro de 2021

2. Sobre
DOUGLAS SIVIOTTI
Analista de sistemas com especialização em
engenharia de software pela Universidade Federal
do Rio Grande do Sul, cursando especialização em
Proteção e Uso de Dados pela PUC-MG.
Atua com desenvolvimento há mais de 20 anos e é
arquiteto e software do SERPRO desde 2005. Nos
últimos anos atua especialmente com arquitetura,
qualidade de software, segurança e proteção de
dados (LGPD), sendo um dos criadores do "guia de
desenvolvimento confiável" do SERPRO.
Autor do blog ArteSoftware.com.br
Público Alvo:
Desenvolvedores, Profissionais de TI e
pessoas interessadas no tema LGPD
Assunto:
Adequação de Sistemas Legados
Organização: 39 Slides (~30min) em 6 partes:
Introdução
1. Papel frente a LGPD
2. Definição de Tratamentos
3. Definição de Pendências
4. Registro de Atividades
5. Daqui pra frente

3. A maioria dos sistemas foi pensado e
desenvolvido antes da LGPD e seu
design não seguiu as melhores
práticas de privacidade e proteção
de dados durante a concepção e a
construção
INTRODUÇÃO
O Legado

4. Escopo da Apresentação
Produtos e Soluções Legadas
1 2

5. Escopo da Apresentação
Ações Possíveis na Organização
1

6. Escopo da Apresentação
5 Pontos Chave “After Design”
0 . Capacitar as pessoas envolvidas na adequação
1. Definir o papel em relação ao tratamento de dados pessoais
2. Definir e mapear o tratamento de dados pessoais
3. Definir o que precisa ser feito e/ou adequado na solução
4. Implementar o registro de atividades de tratamento
5. Incorporar Privacy by Design daqui pra frente

7. Escopo da Apresentação
Capacitação e 5 Pontos Chave
Papel Tratamento Pendências Registro Futuro
Capacitação
(premissa)

8. Experiência: PPD é um
Assunto Independente
Jurídico
Compliance
Governança
de Dados
Segurança
Ouvidoria
Atendimento
PPD
Privacidade
e Proteção
de Dados

9. A organização deve ter clareza se
seu papel é de operador,
operador,
controlador
controlador ou
ou co-controlador
co-controlador em
relação a um ou mais tratamentos
de dados pessoais realizados no
sistema legado
Ponto Chave 1
Papel frente LGPD

10. Importância do Papel
Definição de Responsabilidades
Papel Controlador
Operador
Responsabilidades
(do controlador)
Responsabilidades
(do operador)

11. Operador e Controlador
Definição e Conceito
Coleta
Processamento
Retenção
Operador
Controlador
Ambientes
de Nuvem
Decisões
Bancos
de Dados
Bancos
de Dados
- Toma decisões
- Define a finalidade
- Define a base legal
- Define meios essenciais
- Define os dados pessoais
- Define retenção e exclusão
- Define compartilhamento
- É um papel opcional
- Não precisa de contrato formal
- Mantém registros de tratamentos (art. 37)
- Realiza tratamento sob instruções
- Pode ser responsabilizado
- Define meios não essenciais
(tecnologia, ferramentas, linguagens, seg. etc)
Log

12. Existe algum outro ator
envolvido no tratamento?
Você é o
controlador
Não
Você foi nomeado controlador
baseado em algum ato legal?
(Competência legal explícita)
Você é o
controlador
Sim
Não
Não
O tratamento é necessário a
fim de realizar uma tarefa para
a qual você é responsável?
(competência legal implícita)
Você é o
controlador
Sim
Não
Você decide:
- a finalidade para as quais os dados serão tratados?
- quais os dados pessoais devem ser coletados e tratados?
- quais categorias de indivíduos os dados irão se referir?
- se os dados tratados devem ser divulgados e a quem?
- por quanto tempo os dados pessoais serão armazenados?
Você é o
controlador
Sim
Não
Você é o
operador
Não, eu realizo o tratamento em nome de
outro ator de acordo com suas instruções
Eu tomo decisões sobre meios de tratamento
não essenciais (sistemas de TI ou outros meios
técnicos a serem isados para o tratamento ou
detalhes de medidas de segurança com base nos
objetivos gerais de segurança definidos por outro ator)
Não, eu realizo o tratamento em nome
de outro ator e exclusivamente de
acordo com suas instruções. Eu não
tomo por minha conta nenhuma decisão
relativa a finalidades e meios de trat.
Não
Não
Sei
Não sei quem
define finalidades
ou meios de
tratamento
Eu sou o controlador? (Critérios do GDPR)
https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf
https://edpb.europa.eu/

13. Controlador Conjunto
Co-controlador
Coleta
Co-Controlador Co-Controlador
- Tomam decisões conjuntas
- Definem a finalidade
- Definem a base legal
- Definem meios essenciais
- Definem os dados pessoais
- Definem retenção e exclusão
- Definem compartilhamento
Operador

14. Controlador Conjunto
Como Identificar?
PN
Processo de Negócio Tratamento (s)
Compartilhamento
Tomada de decisões conjunta
sobre o processo de negócio

15. Controlador Conjunto
Exemplo
PN
Processo de Negócio Tratamento (s)
Compartilhamento
(Terceiros)
Parceria para a Netshoes vender produtos no
marketplace da Magazine Luiza rodando na Amazon
Controlador
Independente
Controlador
Independente
Controladores
Conjuntos
Operador

16. Lei 13.709, “Art. 1. Esta lei dispõe
sobre o tratamento de dados
pessoais”
LGPD => Tratamento
Tratamento => Processo de Negócio
Ponto Chave 2
O Tratamento

17. Responsabilidades
Quem Mapeia o Tratamento?
Papel Tratamento
(Data Mapping)
Controlador
Operador
Finalidade Base Legal
Compartilhamentos
Dados
Semânticos
Titular
Dados
Físicos
Banco de
Dados
Medidas
Técnicas
Backup
Segurança

18. Tratamento de Dados Pessoais
Definição e Conceito
“toda operação realizada com dados
pessoais, como as que se referem a
coleta, produção, recepção,
classificação, utilização, acesso,
reprodução, transmissão, distribuição,
processamento, arquivamento,
armazenamento, eliminação,
avaliação ou controle da informação,
modificação, comunicação,
transferência, difusão ou extração”
[LGPD: 20 Operações]
Coleta
Processamento
Eliminação
Anonimização
Envio
Retenção

19. O Tratamento
Esquema Geral
Operador
Controlador
T
Tratamento de
Dado Pessoal
Agentes de
Tratamento
Dado
Pessoal
Titular
Base Legal
Finalidade
Realiza
F
o
r
n
e
c
e
Registro de
Tratamentos
Efetua

20. Processo de Negócio
Origem do Tratamento
PN
Processo de Negócio Tratamento (s)
●
O processo de negócio é o que a organização faz como atividade
●
Uma organização costuma ter vários processos de negócio
●
Os processos de negócio podem tratar dados pessoais ou não
●
Processo de Negócio Exemplo: Venda de produtos online

21. Data Mapping
Mapeamento dos Tratamentos
Data
Mapping
PN
Processo
de Negócio
PN
RAT
(Manifesto)
Metadados
Campo A
Campo B
Campo C
Campo D
Campo X
Campo Y
Campo Z
Metadados
Campo A
Campo Y
Campo X
Metadados
Campo X
Campo Y
Campo Z
Finalidade
Base Legal
Finalidade
Base Legal
Compartilhamentos
Finalidade
Base Legal
1
2
3

22. Exemplo de Tratamentos
O Marketplace
O Marketplace
●
Site de vendas online
●
Vários produtos
●
Vários fornecedores
●
Realiza entregas
●
Registra preferências
●
Sugere produtos

23. Granularidade
O Grande “Problema”
PN
Quantos tratamentos de dados pessoais
existem em um único processo de negócio?
Granularidade didática do marketplace:
3 Tratamentos de dados pessoais
1) Vender e entregar produtos
2) Salvar preferências do usuário
3) Recomendar produtos 1
2
3
Processo de negócio:
Vender produtos online
Data
Mapping

24. Tratamento 1
Vender e Entregar Produtos
Base Legal
Finalidade
Identificar o cliente, oferecer interface de seleção de produtos e
entregar os produtos escolhidos no endereço indicado.
“Execução de Contrato”
Artigo 7, V - quando necessário para a execução de contrato
ou de procedimentos preliminares relacionados a contrato do
qual seja parte o titular, a pedido do titular dos dados;
O cliente se identifica, efetua um pedido com um ou vários itens (produtos) e
informa um endereço de entrega. Também pode usar endereços salvos
anteriormente na plataforma. O produto será entregue por uma transportadora
contratada pela empresa do marketplace.
1

25. Tratamento 2
Salvar Preferências do Usuário
Base Legal
Finalidade
Armazenar dados de utilização e preferências do usuário para
melhorar a usabilidade do site
“Consentimento”
Artigo 7, I - mediante o fornecimento de consentimento pelo titular
O site do marketplace utiliza “cookies” para salvar escolhas e preferências do
usuário. Dessa forma, a usabilidade do site torna-se muito melhor além de
permitir que o usuário não precisa informar vários dados repetitivos toda vez
que efetuar uma compra.
2

26. Tratamento 3
Recomendação de Produtos
Base Legal
Finalidade
Recomendar produtos durante uma compra a partir de dados
de outras compras já efetuadas.
“Legítimo Interesse”
Artigo 7, IX - quando necessário para atender aos interesses legítimos
do controlador ou de terceiro, exceto no caso de prevalecerem direitos e
liberdades fundamentais do titular que exijam a proteção dos dados p...;
O site realiza milhões de vendas e por isso é capaz de “perceber” que alguns
produtos costumam ser comprados junto com outros. É possível ainda fazer
análise por cidade, bairro, idade entre outras características dos compradores.
Dessa forma, o site é capaz de dar boas dicas de compras aos usuários.
3

27. Após mapear e entender os
tratamentos de dados pessoais é
possível determinar o que deve ser
feito no sistema para que ele esteja
adequado à LGPD
Ponto Chave 3
Pendências

28. Mapear Ações Pendentes
GAP de Adequação
Papel Tratamento Pendências

29. Pendências Típicas
Em Sistemas e Organizações
●
Pessoal: Capacitação e indicação de encarregado e/ou equipe especializada
●
Canal de comunicação do titular (requerimento de direitos)
●
Mapeamento de tratamentos: Data Mapping
●
Mapeamento do ciclo de vida do dado pessoal
●
Esquema de resposta aos direitos do titular
●
Registro de atividades (artigo 37) [ponto chave 4]
●
Anonimização, pseudonimização, criptografia etc
●
Processo de desenvolvimento com privacy by design
●
Avisos / políticas de privacidade, termos de uso
Finalidade
Base Legal
Conjunto de Dados
Compartilhamentos
Medidas Técnicas
Contratos
etc

30. Praticamente nenhum sistema tem
um log ou recurso capaz de atender
ao artigo 37 e responder quando um
certo tratamento ocorreu para um
certo titular
Ponto Chave 4
Registro

31. Registro das Atividades
Pendência Muito Comum
Papel Tratamento Pendências Registro

32. Manifesto x Ocorrência
Declarado x Realizado
Registro de Ocorrências
dos Tratamentos para Cada Titular
Titular A
Titular B
Manifesto
dos
Tratamentos
(RAT)
Data
Mapping

33. O Registro de Tratamento
Manifesto + Ocorrência
Cliente A
Ocorrência
Data/Hora
Titular
Tratamento
Metadados
(Campos)
Dados Pessoais Registro
(Log)
Manifesto
(RAT)
Data
Mapping

34. Pontos de Log
Onde Colocar os Gatilhos?
Cada tratamento descrito no RAT deve gerar um ponto de log na aplicação
Os tratamentos costumam estar associados às transações de negócio
Camada 1
Visão
Camada 2
Controle
Camada 3
Persistência
Usuário
Banco de
Dados
Transação ou Caso de Uso 1
Transação ou Caso de Uso 2
Transação ou Caso de Uso 3
Pontos de Log
na aplicação

35. Após tratar privacidade e proteção
de dados em um sistema é
necessário prever esta disciplina
para as próximas etapas evolutivas
e para a própria organização
Ponto Chave 5
Incorporando

36. Ações Futuras
Incorporando PPD
Futuro
Capacitação
Pessoas
Processo

37. Consulte o Dentista
Escove os dentes você mesmo
●
PPD é um assunto da organização e não pode ser totalmente terceirizado
●
Operação pode ser terceirizada, controladoria não (definições)
●
Especialistas ajudam, mas a maior parte do trabalho é interno
●
TI, jurídico, segurança, governança dão apoio
●
A gestão de negócio/produto é responsável

38. Contatos
DOUGLAS SIVIOTTI
/douglas-siviotti
douglas.siviotti@gmail.com
facebook.com/
artesoftware.com.br
artesoftware.com.br
instagram.com/
artesoftware