1. LGPD para Desenvolvedores
Proteção de Dados no Desenvolvimento
DÉBORA MODESTO & DOUGLAS SIVIOTTI
Recife, Outubro de 2020

2. Sobre
Organização:
Parte 1 – O que é LGPD?
- Contexto da indústria de dados pessoais
- Resumo simplificado da lei
Parte 2 – Como aplicar LGPD no desenvolvimento?
- Disciplina da proteção de dados
- Privacidade by Design
- O ciclo de vida de desenvolvimento de software e
algumas atividades de proteção de dados
DOUGLAS SIVIOTTI
DÉBORA MODESTO
Analista de sistemas com especialização em
engenharia de software pela Universidade Federal
do Rio Grande do Sul.
Atua com desenvolvimento há mais de 20 anos e é
arquiteto e software do SERPRO desde 2005.
Nos últimos anos atua especialmente com
arquitetura, qualidade de software, segurança e
proteção de dados (LGPD), sendo um dos criadores
do "guia de desenvolvimento confiável" do SERPRO.
Autor do blog ArteSoftware.com.br
Mestre em Informática pela Universidade
Federal do Estado do Rio de Janeiro.
Atua desde 2010 no Serviço Federal de
Processamento de Dados (SERPRO).
Gerente de projetos, vivenciando todas as dores
e alegrias de uma equipe de desenvolvimento
no contexto da empresa pública e agora, lidando
com a proteção de dados em seus projetos.
Autora do blog ArteSoftware.com.br

3. O que é
LGPD?

4. regras
regras
As regras do futebol existem para
As regras do futebol existem para
que o jogo funcione, não para
que o jogo funcione, não para
impedir os jogadores de jogar
impedir os jogadores de jogar

5. Regras para a indústria de dados pessoais

6. Na Mira da LGPD
(Quase todo mundo)

7. Na indústria de dados pessoais o produto é você!

8. Desenvolvedor
Produto Consumidor

9. Desenvolvedor
Produto Consumidor
T
Titular dos
Dados Pessoais
“Pessoa natural a quem se
referem os dados pessoais”
É o “dono” dos dados

10. Dado
Pessoal
“informação relacionada a pessoa identificada ou identificável”
Nome
CPF
Endereço
Etnia*
Religião*
Foto*
Biometria*
Localização
Histórico de Compras
Cliques
Rating
Preferências
* Dado pessoal sensível

11. Operador
Controlador
Agentes de
Tratamento pessoa natural ou jurídica, de direito público
ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais
pessoa natural ou jurídica, de direito público
ou privado, que realiza o tratamento de
dados pessoais em nome do controlador
Nuvem

12. Operador
Controlador
T
Agentes de
Tratamento
Dado
Pessoal
Titular
esquema 1
LGPD: “Esta Lei dispõe sobre o tratamento de dados pessoais”...

13. Tratamento
O que o controlador
faz com os dados

14. Tratamento de
Dados Pessoais
“toda operação realizada com dados
pessoais, como as que se referem a
coleta, produção, recepção,
classificação, utilização, acesso,
reprodução, transmissão, distribuição,
processamento, arquivamento,
armazenamento, eliminação, avaliação
ou controle da informação, modificação,
comunicação, transferência, difusão ou
extração” [LGPD: 20 Operações]
Coleta
Processamento
Eliminação
Anonimização
Tráfego
Retenção

15. Base Legal
Finalidade
o que sustenta
o que sustenta
um tratamento?
um tratamento?

16. Finalidade
Marketplace
Vender Produtos
Online
Salvar Cookie
de preferências
Recomendações
de produtos
É necessário coletar os dados do
comprador para entregar os produtos
É necessário salvar dados do usuário
para melhorar a usabilidade
É necessário processar histórico de
compras para fazer recomendações
realização do tratamento para propósitos legítimos, específicos,
explícitos e informados ao titular, sem possibilidade de tratamento
posterior de forma incompatível com essas finalidades (princípio)

17. Base Legal
Marketplace
Vender Produtos
Online
Salvar Cookie
de preferências
Recomendações
de produtos
Execução de contrato
(hipótese do artigo 7)
Consentimento para salvar cookie
(hipótese do artigo 7)
Legítimo interesse do controlador
(hipótese do artigo 7)
Embasamento na LGPD para que o tratamento seja legítimo.
Artigo 7 (10 hipóteses), artigo 11 (sensíveis), artigo 23 (poder
público) e outras leis (e.g. marco civil da internet)

18. Operador
Controlador
T
Tratamento de Dado Pessoal
Agentes de
Tratamento
Dado
Pessoal
Titular
Base Legal
Finalidade
esquema 2
Realiza
F
o
r
n
e
c
e

19. 10 Princípios da LGPD
Finalidade
Adequação
Necessidade
Livre Acesso
Qualidade dos dados
Transparência
Segurança Prevenção
Não Discriminação Responsabilização
Art. 6 - As atividades de tratamento de dados pessoais
deverão observar a boa-fé e os seguintes princípios:
Princípios

20. Como aplicar
LGPD
no desenvolvimento?

21. como aplicar?
Disciplina de Proteção
de Dados Pessoais
Conhecimento
Jurídico
Governança
de Dados Segurança da
Informação
Negócio
Tecnologia da
Informação
Processos
PD

22. Processos
Privacidade
by Design

23. Os 7 Princípios da Privacidade by Design
1 Proativo, não reativo; Preventivo, não corretivo
2
3
4
5
6
7
Privacidade como Configuração Padrão (privacidade by default)
Privacidade Embutida no Design
Funcionalidade Completa - Soma Positiva, não Soma Zero
Segurança de Ponta a Ponta - Proteção Total do Ciclo de Vida
Visibilidade e Transparência - Mantenha Aberta
Respeito pela Privacidade do Usuário- “Usuario-cêntrico”
PbD

24. Como praticar Privacidade By Design?

25. Guia da CNIL
(França/GDPR)
0 Desenvolva em Conformidade com a GDPR
1 Identifique os Dados Pessoais
2 Prepare seu Desenvolvimento
3 Proteja seu Ambiente de Desenvolvimento
4 Gerencie seu Código Fonte
5 Faça uma Escolha Informada da Arquitetura
6 Proteja seus Sites, Aplicativos e Servidores
7 Minimize a Coleta
8 Gerencie Perfis de Usuário
9 Controle suas Bibliotecas e SDKs
10 Garanta a Qualidade do Código e sua Doc.
11 Teste seus Aplicativos
12 Informe os Usuários
13 Prepare-se para o Exercício dos Direitos
14 Defina um Período de Retenção
15 Leve em Consideração a Base Legal
16 Use Análise em seus sites e aplicativos https://www.cnil.fr/en/gdpr-developers-guide

26. Como praticar Privacidade By Design?
Ações Tempestivas no
Ciclo de Vida do Produto

27. Tempestividade
Tempestividade
By Design = Desde a concepção
By Design = Desde a concepção
Atuar no momento certo
Atuar no momento certo

28. Tempestividade
Tempestividade
Início
Fim
- Etapas bem definidas
- Atividades por etapa
- Verificação mais crítica
- Times especialistas
Além do ciclo do
“software”: Preparação e
Sustentação

29. Tempestividade
Tempestividade
Microsoft SDL
SDL = Security Development Lifecycle (Ciclo de Vida do Desenvolvimento Seguro)
Ciclo de vida explícito dividido em etapas que contém atividades específicas

30. Tempestividade
Tempestividade
Guia da autoridade norueguesa
de proteção de dados pessoais
Bem similar ao SDL
Verificação
Entrega
Preparação
Requisitos
Codificação
Design
Sustentação
https://www.datatilsynet.no/en/about-privacy/virksomhetenes-plikter/innebygd-personvern/data-protection-by-design-and-by-default/

31. Capacitação
Finalidades Bases Legais
Personificação
Ameaças
Rastreabilidade
DAST
Checklist
Resposta
a Incidentes
Prestação
de Contas
Adequação Retroativa
Riscos
Acesso
Viabilidade
Empatização
Harmonização
Ciclo de Vida
Metadados
Descontinuidade
Avaliação Final
SAST
DevOps
Tratamentos
Relacionamento
Simulação Escolha Tec.

32. Finalidades
Bases Legais
Ameaças
Rastreabilidade
DAST/SAST
Checklist
Resposta
a Incidentes
Prestação
de Contas
Riscos
Viabilidade
Harmonização Avaliação Final
Tratamentos
Relacionamento
Simulação

33. O quanto a LGPD impacta o
trabalho do desenvolvedor?

34. Multa de até 2%
do Faturamento
Até 50 Milhões
por infração
Bloqueio
e/ou
Eliminação
do Dado
Suspensão
e/ou
Proibição
de tratamento

35. Dá pra ser um desenvolvedor
data protection full stack?
Tem como ser ágil e cascateado
ao mesmo tempo?

36. Nossos Contatos
DÉBORA MODESTO DOUGLAS SIVIOTTI
/modestodebora
deb.modesto@gmail.com
/douglas-siviotti
douglas.siviotti@gmail.com
facebook.com/
artesoftware.com.br
artesoftware.com.br
instagram.com/
artesoftware