O objetivo deste material é a apresentação de uma Jornada de Adequação Corporativa à nova Legislação de Proteção de Dados - LGPD - considerando-se um Framework | Sistema proposto pela Exin.
Apresentação de melhores práticas para a estruturação de um Sistema responsável pelo gerenciamento e por mitigar os riscos de proteção de dados e privacidade envolvidos em todo o ciclo de vida de dados pessoais no ambiente corporativo, considerando-se a coleta e o processamento de dados pessoais.
Sistema proposto PD&P (Proteção de Dados e Privacidade) inclui uma metodologia consolidada em processos, fases, etapas, políticas, procedimentos e várias ferramentas técnicas.
O Framework proposta é composto por 5 Fases a saber:
- Fase-1: Preparação
- Fase-2: Organização
- Fase-3: Desenvolvimento e Implementação
- Fase-4: Governança
- Fase-5 Avaliação e Melhoria
Nesta abordagem iremos detalhar a FASE-3: Desenvolvimento e Implementação.
2. Nossos Mantras
✓ Não se gerencia o que não se mede, não se mede o que
não se define, não se define o que não se entende, não há
sucesso no que não se gerencia....
Willian E. Deming
3. LGPD - Lei Geral de Proteção de Dados
Sistema de Gestão de Proteção de Dados - SGPD
❑ Objetivo: estruturar um processo responsável pelo gerenciamento e por mitigar os riscos de
proteção de dados e privacidade envolvidos em todo o ciclo de vida de dados pessoais no
ambiente corporativo, considerando-se a coleta e o processamento de dados pessoais.
❑ Sistema proposto PD&P (Proteção de Dados e Privacidade) inclui uma metodologia consolidada
em processos, fases, etapas, políticas, procedimentos e várias ferramentas técnicas.
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento
e Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
Fases
Etapas
Ações
Resultados
Fonte: Kyriazoglou, J., Data Protection and
Privacy Management System. Data
Protection and Privacy Guide – vol.1
Fase-3
Desenvolvimento
e Implementação
4. ❑ ambiente corporativo “preparado” para a Proteção e Privacidade dos
Dados Pessoais, considerando-se:
❖ processos corporativos mapeados e consolidados
❖ requisitos técnicos e operacionais da proteção de dados e a
privacidade que afetam sua empresa;
LGPD - Lei Geral de Proteção de Dados
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento
e Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
30/12/2019 Monitoração Integradas - Monitoração Luz Apagada Slide: 4 / 26
Sistema de Gestão de Proteção de Dados – SGPD
IMPORTÂNCIA - Fase-1: Preparação
Fases
8 Etapas
Ações
10 Resultados
5. ❑ Etapas devidamente executadas !!!
❖ Etapa #1: Realizar a Análise de Privacidade
❖ Etapa #2: Coletar Leis de Privacidade
❖ Etapa #3: Analisar o impacto da Privacidade no negócio
❖ Etapa #4: Realizar Auditorias e Avaliações dos dados iniciais
❖ Etapa #5: Estabelecer a estrutura organizacional de Governança de Dados
❖ Etapa #6: Estabelecer Fluxo de Dados e Inventário de Dados Pessoais
❖ Etapa #7: Estabelecer programa de Proteção de Dados e Privacidade
❖ Etapa #8: Esboçar Planos de Implementação de ações de Proteção de
Dados e Privacidade
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
30/12/2019 Monitoração Integradas - Monitoração Luz Apagada Slide: 5 / 26
LGPD - Lei Geral de Proteção de Dados
Sistema de Gestão de Proteção de Dados – SGPD
IMPORTÂNCIA - Fase-1: Preparação
Fases
8 Etapas
Ações
10 Resultados
6. ❑ Resultados Materializados
(1) Relatório de Análises de Proteção de Dados e Privacidade – Etapa #1
(2) Manual de Leis de Privacidade – Etapa #2 e #3
(3) Relatório de Auditoria de Dados Pessoais – Etapa #4
(4) Sistema de Fluxo de Dados – Etapa #6
(5) Inventário de Dados Pessoais – Etapa #6
(6) Política de Proteção de Dados – Etapa #6
(7) Plano de Treinamento em Privacidade – Etapa #7
(8) Programa de Proteção de Dados & Privacidade – Etapa #7
(9) Orçamento da estruturação da Gestão de Proteção de Dados – Etapas #1 a #8
(10) Planos de Implementação de Ações de Proteção de Dados e Privacidade –
Etapas #1 a #8
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
LGPD - Lei Geral de Proteção de Dados
Sistema de Gestão de Proteção de Dados – SGPD
IMPORTÂNCIA - Fase-1: Preparação
30/12/2019 Monitoração Integradas - Monitoração Luz Apagada Slide: 6 / 26
Fases
8 Etapas
Ações
10 Resultados
7. ❑ Objetivo Principal
❖ Estabelecer as estruturas e mecanismos organizacionais responsáveis por atender às
necessidades de privacidade de dados pessoais da empresa, considerando.se:
❖ Desenhar e implementar o programa de proteção de dados e
privacidade.
❖ Designar um Encarregado de Dados – pessoa física
LGPD - Lei Geral de Proteção de Dados
❖ Envolver e comprometer todas as partes envolvidas com proteção de
dados e privacidade.
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
❖ Estabelecer as estruturas organizacionais adequadas para uma efetiva
proteção de dados e implementação de privacidade.
30/12/2019 Monitoração Integradas - Monitoração Luz Apagada Slide: 7 / 26
Sistema de Gestão de Proteção de Dados – SGPD
IMPORTÂNCIA - Fase-2: Organização
Fases
7 Etapas
Ações
9 Resultados
8. ❑ Etapas
❖ Etapa #1: Definir e implementar o “como manter” o programa, as
políticas e controles de governança de privacidade de dados.
❖ Etapa #2: Atribuir e manter a matriz de atribuições e responsabilidades
pela Proteção de Dados e Privacidade – PD&P – Matriz RACI
❖ Etapa #3: Definir e implementar o “como manter” o envolvimento dos níveis táticos e
estratégicos da organização – gerência senior – na Proteção de Dados e
Privacidade – PD&P.
❖ Etapa #4: Estabelecer e manter a continuidade do compromisso de todos os níveis
hierárquicos da organização com a Proteção de Dados e Privacidade – PD&P.
❖ Etapa #5: Estabelecer e manter um plano de comunicação corporativa regular para
direcionamentos, questões e problemas de Proteção de Dados e Privacidade.
❖ Etapa #6: Estabelecer e manter processos e procedimentos que garantam o envolvimento
das partes interessadas em questões de Proteção de Dados e Privacidade
❖ Etapa #7: Implementar e operar sistemas informatizados para a sustentação da Proteção de
Dados e Privacidade corporativa.
LGPD - Lei Geral de Proteção de Dados
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
Sistema de Gestão de Proteção de Dados – SGPD
IMPORTÂNCIA - Fase-2: Organização
Fases
7 Etapas
Ações
9 Resultados
9. ❑ Resultados previstos
(1) Estratégia de Proteção de Dados e Privacidade atualizada – Etapa #1.
(2) Programa de Proteção de Dados e Privacidade atualizado – Etapa #1.
(3) Controles de Governança de Dados atualizados - Etapa#1.
(4) Nomeação do Encarregado da Proteção de Dados Pessoais – pessoa física - Etapa #2.
(5) Plano de Comunicação para todas questões de PD&P - Etapas #3, #4, #5 e #6
(6) Rede corporativa de PD&P - Etapa #4
(7) Função de Proteção de Dados e Privacidade incluída nas descrições de cargos - Etapa #4
(8) Plano atualizado de conscientização, comunicação e treinamento em privacidade - Etapa #5
(9) Sistema informatizado de Proteção de Dados e Privacidade - Etapa #7.
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
LGPD - Lei Geral de Proteção de Dados
30/12/2019 Monitoração Integradas - Monitoração Luz Apagada Slide: 9 / 26
Sistema de Gestão de Proteção de Dados – SGPD
IMPORTÂNCIA - Fase-2: Organização
Fases
7 Etapas
Ações
9 Resultados
10. ❑ Objetivo Principal
❖ Desenvolver e implementar medidas e controles específicos de Proteção e Privacidade de dados
considerando-se:
o projetar um sistema de classificação de dados;
o desenvolver e implementar políticas, procedimentos e controles para adequação
corporativa às leis e requisitos de proteção de dados e privacidade.
LGPD - Lei Geral de Proteção de Dados
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
30/12/2019 Monitoração Integradas - Monitoração Luz Apagada Slide: 10 / 26
Sistema de Gestão de Proteção de Dados – SGPD
Fase-3: Desenvolvimento e Implementação
Fases
7 Etapas
Ações
7 Resultados
11. ❑ Etapas
❖ Etapa #1: Desenvolver e implementar estratégias, planos e
políticas de Proteção de Dados e Privacidade.
❖ Etapa #2: Implementar procedimento específico para aprovação do
processamento de dados pessoais (Ciclo de Vida).
❖ Etapa #3: Registrar bancos de dados que contenham dados
pessoais.
❖ Etapa #4: Desenvolver e implementar um sistema para a
transferência internacional de dados pessoais (caso necessário).
❖ Etapa #5: Executar atividades de integração de Dados Pessoais e
Privacidade dentro do contexto Corporativo.
❖ Etapa #6: Executar plano de treinamento específico da Política
Corporativa de Dados Pessoais e Privacidade.
❖ Etapa #7: Implementar controles de Segurança de Dados.
LGPD - Lei Geral de Proteção de Dados
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
Sistema de Gestão de Proteção de Dados – SGPD
Fase-3: Desenvolvimento e Implementação
Fases
7 Etapas
Ações
7 Resultados
12. ❑ Etapa #1: Desenvolver e implementar estratégias, planos e políticas de Proteção
de Dados e Privacidade
LGPD - Lei Geral de Proteção de Dados
30/12/2019 Monitoração Integradas - Monitoração Luz Apagada Slide: 12 / 26
Sistema de Gestão de Proteção de Dados – SGPD
Fase-3: Desenvolvimento e Implementação
❖ Esta etapa é responsável por desenvolver e implementar estratégias, planos, políticas
e controles adequados:
o a partir da consolidação dos requisitos técnicos e operacionais do negócio;
o a partir da consolidação de uma Matriz de Responsabilidade.
❖ Desenvolver e implementar um Sistema de Classificação de Dados Pessoais
considerando-se:
o classificação os dados pessoais como "disponíveis publicamente", "confidenciais", "sensíveis",
etc.;
o controle e redução do escopo “do que precisa ser” e “como” deve ser protegido;
o criação e implementação de procedimentos para classificação de dados considerando-se
detalhes sobre a propriedade de dados, requisitos de retenção, requisitos de uso e de
proteção com base no nível de classificação e requisitos legais.
❖ Atualizar:
o Estratégia de Proteção de Dados e Privacidade atualizada;
o Programa de Proteção de Dados e Privacidade atualizado;
o os Controles de Governança de Dados atualizados.
G
O
V
E
R
N
A
N
Ç
A
S
I
S
T
E
M
A
S
S
E
G
U
R
A
N
Ç
A
D
P
O
-
C
O
N
S
U
L
T
O
R
P
R
O
C
E
S
S
O
S
N
E
G
Ó
C
I
O
.
.
.
.
.
.
Fases
7 Etapas
Ações
7 Resultados
13. ❑ Etapa #2: Definir e implementar um procedimento para aprovação do
processamento de dados pessoais:
❖ Em algumas situações as empresas e organizações devem obter aprovação dos
reguladores de proteção de dados e privacidade antes de coletar e processar dados
pessoais (GDPR - Artigo 36 – Consulta Prévia;
❖ processamento de dados pessoais sensíveis; processamento de dados pessoais com
a finalidade de avaliar aspectos pessoais do indivíduo ou determinar a elegibilidade
do indivíduo para um direito, benefício ou contrato; e coleta e processamento em
larga escala (por exemplo, Big Data), etc.
❖ Consolidar: Procedimento para aprovação do processamento de dados pessoais.
LGPD - Lei Geral de Proteção de Dados
30/12/2019 Monitoração Integradas - Monitoração Luz Apagada Slide: 13 / 26
Sistema de Gestão de Proteção de Dados – SGPD
Fase-3: Desenvolvimento e Implementação
G
O
V
E
R
N
A
N
Ç
A
S
I
S
T
E
M
A
S
S
E
G
U
R
A
N
Ç
A
D
P
O
-
C
O
N
S
U
L
T
O
R
P
R
O
C
E
S
S
O
S
N
E
G
Ó
C
I
O
.
.
.
.
.
.
Fases
7 Etapas
Ações
7 Resultados
14. ❑ Etapa #3: Registrar Bancos de Dados contendo Dados Pessoais
❖ Em algumas situações as empresas e organizações devem notificar /
registrar junto aos reguladores de proteção de dados que seus Bancos de
Dados contém Dados Pessoais, e qual é o processamento pretendido
(GDPR - Artigo 36 – Consulta Prévia).
❖ Resultado previsto: Documento de registro de Bases de Dados
contendo Dados Pessoais.
LGPD - Lei Geral de Proteção de Dados
30/12/2019 Monitoração Integradas - Monitoração Luz Apagada Slide: 14 / 26
Sistema de Gestão de Proteção de Dados – SGPD
Fase-3: Desenvolvimento e Implementação
G
O
V
E
R
N
A
N
Ç
A
S
I
S
T
E
M
A
S
D
P
O
-
C
O
R
P
O
R
A
T
I
V
O
P
R
O
C
E
S
S
O
S
N
E
G
Ó
C
I
O
.
.
.
.
.
.
I
N
F
R
A
E
S
T
R
U
T
U
R
A
D
P
O
-
C
O
N
S
U
L
T
O
R
Fases
7 Etapas
Ações
7 Resultados
15. LGPD - Lei Geral de Proteção de Dados
30/12/2019 Monitoração Integradas - Monitoração Luz Apagada Slide: 15 / 26
Sistema de Gestão de Proteção de Dados – SGPD
Fase-3: Desenvolvimento e Implementação
❑ Etapa #4: Desenvolver e implementar um sistema para a
transferência internacional de Dados Pessoais (se necessário).
❖ O envio de dados pessoais para o exterior, mesmo dentro da organização, pode
aumentar os riscos de proteção de dados e a complexidade de gerenciá-los devido
aos diferentes requisitos da lei de privacidade.
❖ Manter uma documentação sobre todos os fluxos internacionais de dados pessoais,
acompanhando seu uso e cumprimento de mecanismos de transferência
transfronteiras, tais como: códigos corporativos de conduta, como regras corporativas
vinculantes (BCR), cláusulas contratuais, aprovações da autoridade de proteção de
dados, possíveis dependências de isenção dos requisitos de transferência, conforme
estabelecido na lei.
❖ Governos e reguladores criam cláusulas modelo para facilitar a transferência de
dados pessoais de um regime de proteção à privacidade para um destinatário em um
país que não fornece proteções adequadas para dados pessoais.
❖ Resultado previsto: Sistema transferência internacional de Dados Pessoais.
G
O
V
E
R
N
A
N
Ç
A
S
I
S
T
E
M
A
S
D
P
O
-
C
O
R
P
O
R
A
T
I
V
O
P
R
O
C
E
S
S
O
S
N
E
G
Ó
C
I
O
.
.
.
.
.
.
I
N
F
R
A
E
S
T
R
U
T
U
R
A
D
P
O
-
C
O
N
S
U
L
T
O
R
16. LGPD - Lei Geral de Proteção de Dados
30/12/2019 Monitoração Integradas - Monitoração Luz Apagada Slide: 16 / 26
Sistema de Gestão de Proteção de Dados – SGPD
Fase-3: Desenvolvimento e Implementação
❑ Etapa #5: Executar atividades de integração da gestão de Dados
Pessoais e Privacidade no dia-a-dia corporativo
❖ Direcionamentos de Proteção de Dados e Privacidade precisam ser incorporados em todos
os aspectos estratégicos, táticos e operacionais do dia-a-dia corporativo, considerando-se:
o Retenção de registros corporativos de tratamento de dados pessoais;
o Contratação de Colaboradores, Terceiros e Parceiros;
o Acesso ao site:
o Marketing digital;
o Mídia social:
o Dispositivos portáteis e inteligentes – BYOD;
o Saúde e Segurança;
o Desenvolvimento de Sistemas, Produtos e Processos – “Privacy by Design”.
❖ Resultado previsto: Atividades estratégicas, táticas e operacionais do dia-a-dia
corporativo devidamente integradas aos direcionamentos de Proteção de Dados
Pessoais e Privacidade.
G
O
V
E
R
N
A
N
Ç
A
S
I
S
T
E
M
A
S
D
P
O
-
C
O
R
P
O
R
A
T
I
V
O
P
R
O
C
E
S
S
O
S
N
E
G
Ó
C
I
O
.
.
.
.
.
.
I
N
F
R
A
E
S
T
R
U
T
U
R
A
D
P
O
-
C
O
N
S
U
L
T
O
R
Fases
7 Etapas
Ações
7 Resultados
17. LGPD - Lei Geral de Proteção de Dados
30/12/2019 Monitoração Integradas - Monitoração Luz Apagada Slide: 17 / 26
Sistema de Gestão de Proteção de Dados – SGPD
Fase-3: Desenvolvimento e Implementação
❑ Etapa #6: Executar plano de treinamento corporativo para Dados Pessoais e Privacidade
❖ plano contínuo de treinamento e conscientização (colaboradores, terceiros, parceiros e
demais contratados) quanto aos direcionamentos de Proteção de Dados e Privacidade de
Dados Pessoais envolvidos nas atividades, procedimentos, programas, sistemas, projetos e
funções no dia-a-dia corporativo, considerando-se:
o treinamento básico e contínuo de privacidade para toda a equipe;
o treinamento adicional de privacidade para novas necessidades – “Privacy by Design”;
o considerar aspectos de treinamento de privacidade de dados em todos os treinamentos
corporativos - tema constante;
o conscientização contínua dos aspectos de Privacidade de Dados no dia-a-dia corporativo;
o Manter a certificação profissional de privacidade de dados para o pessoal de privacidade;
o Monitorar indicadores do nível corporativo de reconhecimento, de conscientização e de
treinamento dos aspectos de Privacidade de Dados.
❖ Resultado previsto: Executar plano de treinamento corporativo para Dados
Pessoais e Privacidade.
G
O
V
E
R
N
A
N
Ç
A
S
I
S
T
E
M
A
S
D
P
O
-
C
O
R
P
O
R
A
T
I
V
O
P
R
O
C
E
S
S
O
S
N
E
G
Ó
C
I
O
.
.
.
.
.
.
I
N
F
R
A
E
S
T
R
U
T
U
R
A
D
P
O
-
C
O
N
S
U
L
T
O
R
18. LGPD - Lei Geral de Proteção de Dados
30/12/2019 Monitoração Integradas - Monitoração Luz Apagada Slide: 18 / 26
Sistema de Gestão de Proteção de Dados – SGPD
Fase-3: Desenvolvimento e Implementação
❑ Etapa #7: Implementar controles de Segurança de Dados
❖ implementar um conjunto de controles de Segurança da Informação voltados
especificamente a Proteção dos Dados Pessoais mantidos nos sistemas de TI e bases
de dados da empresa (manual e automatizado), considerando-se:
o Passo 1: Incluir aspectos de Privacidade de Dados na Política de Segurança corporativa;
o Passo 2: Incluir Privacidade de Dados na Política de Segurança da Informação;
o Passo 3: Incluir Privacidade de Dados na Política de uso de recursos corporativos, aceitável;
o Passo 4: Incluir Privacidade de Dados em Avaliações de Riscos de Segurança;
o Passo 5: Implementar controles técnicos de Segurança de TI;
o Passo 6: Implementar controles de segurança de recursos humanos;
o Passo 7: Incluir Privacidade de Dados no planejamento de Continuidade de Negócios;
o Passo 8: Desenvolver e implementar uma estratégia de prevenção de perda de dados;
o Passo 9: Realizar testes regulares de segurança de dados;
o Passo 10: Manter a certificação de segurança.
❖ Resultado previsto: Medidas e controles de Segurança de Dados implementados.
S
E
G
U
R
A
N
Ç
A
D
P
O
-
C
O
R
P
O
R
A
T
I
V
O
P
R
O
C
E
S
S
O
S
N
E
G
Ó
C
I
O
.
.
.
.
.
.
I
N
F
R
A
E
S
T
R
U
T
U
R
A
D
P
O
-
C
O
N
S
U
L
T
O
R
19. ❑ Resultados previstos
1. Sistema de Classificação de Dados Pessoais - Etapa #1.
2. Procedimento para aprovação do processamento de dados pessoais - Etapa #2.
3. Documento de registro de Bases de Dados contendo Dados Pessoais - Etapa #3.
4. Sistema transferência internacional de Dados Pessoais - Etapa #4.
5. Atividades estratégicas, táticas e operacionais do dia-a-dia corporativo devidamente integrados
com Dados Pessoais e Privacidade - Etapa #5.
6. Executar plano de treinamento corporativo para Dados Pessoais e Privacidade - Etapa #6.
7. Implementar controles de Segurança de Dados - Etapa #7.
Fases
Etapas
Ações
Resultados
LGPD - Lei Geral de Proteção de Dados
30/12/2019 Monitoração Integradas - Monitoração Luz Apagada Slide: 19 / 26
Sistema de Gestão de Proteção de Dados – SGPD
Fase-3: Desenvolvimento e Implementação
O resultado da Fase 3 é desenvolver e implementar um
conjunto de medidas de Proteção de Dados e Privacidade para
a governança de Dados Pessoais de forma eficiente e eficaz.