O objetivo deste material é a apresentação de uma Jornada de Adequação Corporativa à nova Legislação de Proteção de Dados - LGPD - considerando-se um Framework | Sistema proposto pela Exin.
Apresentação de melhores práticas para a estruturação de um Sistema responsável pelo gerenciamento e por mitigar os riscos de proteção de dados e privacidade envolvidos em todo o ciclo de vida de dados pessoais no ambiente corporativo, considerando-se a coleta e o processamento de dados pessoais.
Sistema proposto PD&P (Proteção de Dados e Privacidade) inclui uma metodologia consolidada em processos, fases, etapas, políticas, procedimentos e várias ferramentas técnicas.
O Framework proposta é composto por 5 Fases a saber:
- Fase-1: Preparação
- Fase-2: Organização
- Fase-3: Desenvolvimento e Implementação
- Fase-4: Governança
- Fase-5 Avaliação e Melhoria
2. Nossos Mantras
✓ Não se gerencia o que não se mede, não se mede o que não se define,
não se define o que não se entende, não há sucesso no que não se
gerencia....
Willian E. Deming
28/12/2019 LGPD – LEI GERAL DE PROTEÇÃO DE DADOS - SGPD Slide: 2 / 22
3. LGPD - Lei Geral de Proteção de Dados
Sistema de Gestão de Proteção de Dados - SGPD
❑ Objetivo: estruturar um processo responsável pelo gerenciamento e por mitigar os riscos de
proteção de dados e privacidade envolvidos em todo o ciclo de vida de dados pessoais no
ambiente corporativo, considerando-se a coleta e o processamento de dados pessoais.
❑ Sistema proposto PD&P (Proteção de Dados e Privacidade) inclui uma metodologia consolidada
em processos, fases, etapas, políticas, procedimentos e várias ferramentas técnicas.
Fonte: Kyriazoglou, J., Data Protection
and Privacy Management System. Data
Protection and Privacy Guide – vol.1
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento
e Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
5 Fases
36 Etapas
Ações
44 Resultados
4. Sistema de Gestão de Proteção de Dados – SGPD
Fase-1: Preparação
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
Fases
8 Etapas
Ações
10 Resultados
❑ Objetivo Principal
❖ preparar o ambiente corporativo para a Proteção e Privacidade dos Dados Pessoais,
considerando-se:
❖ mapear e consolidar os processos corporativos envolvidos direta ou indiretamente com o
processamento automatizado ou manual de dados pessoais
❖ analisar as necessidades e os requisitos técnicos e operacionais da proteção de dados e a
privacidade que afetam sua empresa;
28/12/2019 LGPD – LEI GERAL DE PROTEÇÃO DE DADOS - SGPD Slide: 4 / 22
LGPD - Lei Geral de Proteção de Dados
5. Sistema de Gestão de Proteção de Dados – SGPD
Fase-1: Preparação
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
❖ identificar as leis, padrões e normas regulatórias relevantes
relacionados à proteção de dados e privacidade, as quais o negócio
corporativo está sujeito:
❖ e estabelecer um plano de ação em função dos requisitos técnicos e operacionais,
dos processos consolidados, da legislação e normas regulatórias aos quais o negócio
está sujeito, para preparar a empresa a gerenciar seus dados pessoais considerando-
se a Proteção de Dados e Privacidade (PD&P).
LGPD - Lei Geral de Proteção de Dados
✓ Regulamentações setoriais:
BACEN, CVM, ANVISA, etc
✓ Código de Defesa do Consumidor
✓ Lei de Crimes Cibernéticos
✓ Lei do Cadastro Positivo
✓ Lei de Acesso à Informação
✓ Marco Civil da Internet
✓ Lei de Liberdade Econômica
✓ Lei da Desburocratização
✓ PCI, HIPPA, Governança, etc.
✓ Outras Legislações e
Regulamentações
✓ GDPR - AEE - Lei Européia de
Proteção de Dados e
Privacidade
✓ LGPD - Brasil - Lei Geral de
Proteção de Dados
Fases
8 Etapas
Ações
10 Resultados
28/12/2019 LGPD – LEI GERAL DE PROTEÇÃO DE DADOS - SGPD Slide: 5 / 22
6. Sistema de Gestão de Proteção de Dados – SGPD
Fase-1: Preparação
❑ Etapas
❖ Etapa #1: Realizar a Análise de Privacidade
❖ Etapa #2: Coletar Leis de Privacidade
❖ Etapa #3: Analisar o impacto da Privacidade no negócio
❖ Etapa #4: Realizar Auditorias e Avaliações dos dados iniciais
❖ Etapa #5: Estabelecer a estrutura organizacional de Governança de Dados
❖ Etapa #6: Estabelecer Fluxo de Dados e Inventário de Dados Pessoais
❖ Etapa #7: Estabelecer programa de Proteção de Dados e Privacidade
❖ Etapa #8: Esboçar Planos de Implementação de ações de Proteção de
Dados e Privacidade
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
LGPD - Lei Geral de Proteção de Dados
Fases
8 Etapas
Ações
10 Resultados
28/12/2019 LGPD – LEI GERAL DE PROTEÇÃO DE DADOS - SGPD Slide: 6 / 22
7. Sistema de Gestão de Proteção de Dados – SGPD
Fase-1: Preparação
❑ Etapa #1: Realizar a Análise de Privacidade
❖ Consolidar uma visão corporativa do negócio quanto aos processos
que se utilizam direta ou indiretamente Dados Pessoais, e identificar
todos os aspectos Legais e de Regulamentação aos quais o
negócio está sujeito.
❖ Avaliar o contexto corporativo quanto a prontidão requerida para Proteção e
Privacidade de Dados.
❖ Gerar um Relatório consolidado
✓ Quem envia Dados Pessoais e Dados Pessoais Sensíveis para a empresa?
✓ Como a empresa recebe estes Dados Pessoais ?
✓ Qua tipo de Dados Pessoais são coletados em cada ponto de entrada dos processos de
Negócio ?
✓ Onde e como os Dados Pessoais são armazenados e mantidos ?
✓ Qual a política de acesso aos Dados Pessoais ?
LGPD - Lei Geral de Proteção de Dados
Fases
8 Etapas
Ações
10 Resultados
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
28/12/2019 LGPD – LEI GERAL DE PROTEÇÃO DE DADOS - SGPD Slide: 7 / 22
8. Sistema de Gestão de Proteção de Dados – SGPD
Fase-1: Preparação
❑ Etapa #2: Coletar Leis de Privacidade
❖ Consolidar todas a legislação, regulamentações, regras, normas de
proteção de dados e privacidade em nível nacional e internacional.
identificar as leis, padrões e normas regulatórias relevantes
relacionados à proteção de dados e privacidade, as quais o negócio
corporativo está sujeito:
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
LGPD - Lei Geral de Proteção de Dados
✓ Regulamentações setoriais:
BACEN, CVM, ANVISA, etc
✓ Código de Defesa do Consumidor
✓ Lei de Crimes Cibernéticos
✓ Lei do Cadastro Positivo
✓ Lei de Acesso à Informação
✓ Marco Civil da Internet
✓ Lei de Liberdade Econômica
✓ Lei da Desburocratização
✓ PCI, HIPPA, Governança, etc.
✓ Outras Legislações e Regulamentações
✓ GDPR - AEE - Lei Européia de
Proteção de Dados e Privacidade
✓ LGPD - Brasil - Lei Geral de Proteção
de Dados
Fases
8 Etapas
Ações
10 Resultados
28/12/2019 LGPD – LEI GERAL DE PROTEÇÃO DE DADOS - SGPD Slide: 8 / 22
9. Sistema de Gestão de Proteção de Dados – SGPD
Fase-1: Preparação
❑ Etapa #2: Coletar Leis de Privacidade
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria❖ Alguns Princípios de Legislação de Geral de Proteção de Dados, se faz
necessário um foco específico:
✓ Processamento legítimo
✓ Finalidades específicas
✓ Dados pessoais relevantes.
✓ Dados pessoais precisam estar
corretos e atualizados.
✓ Dados pessoais devem ser
processados somente durante o
período necessário para o
propósito previamente declarado.
✓ Dados pessoais devem ser
coletados e processados de acordo
com os direitos dos titulares.
✓ Medidas técnicas e
organizacionais precisam ser
adotadas para a proteção.
✓ Tratamento da transferência
internacional de dados pessoais
para outros países.
LGPD - Lei Geral de Proteção de Dados
Fases
8 Etapas
Ações
10 Resultados
28/12/2019 LGPD – LEI GERAL DE PROTEÇÃO DE DADOS - SGPD Slide: 9 / 22
10. Sistema de Gestão de Proteção de Dados – SGPD
Fase-1: Preparação
❑ Etapa #3: Analisar o impacto da Privacidade no negócio
❖ Revisar, estudar e entender o impacto dessas regras, regulamentos
e padrões de proteção de dados e privacidade no dia-a-dia das
operações corporativas..
❖ Gerar um log de acompanhamento - Manual de Leis de Privacidade.
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
❑ Etapa #4: Realizar Auditorias e Avaliações dos dados iniciais
❖ Executar uma Avaliação Inicial de Proteção de Dados corporativo, para identificar e
divulgar como a empresa está lidando como as regulamentações e possíveis riscos
existentes para o negócio de para os indivíduos.
❖ Normas e guias de reguladores de mercado ou outras entidades – apoio.
LGPD - Lei Geral de Proteção de Dados
Fases
8 Etapas
Ações
10 Resultados
28/12/2019 LGPD – LEI GERAL DE PROTEÇÃO DE DADOS - SGPD Slide: 10 / 22
11. Sistema de Gestão de Proteção de Dados – SGPD
Fase-1: Preparação
❑ Etapa #5: Estabelecer a estrutura organizacional de Governança de Dados
❖ Criar Comitê de Governança de Dados
✓ Revisar impactos e riscos
✓ Assegurar que medidas de controles sejam implementadas para
mitigação de riscos
❖ Apontar e treinar os Papéis de Governança de Dados
✓ Pelas melhores práticas o DPO | Encarregado de Proteção de Dados
será identificado somente na Fase 2 e Etapa #2.
✓ Identificar o Gerente de Segurança da informação
✓ Identificar todos os demais papéis envolvidos na qualidade de Dados
Pessoais.
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
LGPD - Lei Geral de Proteção de Dados
Fases
8 Etapas
Ações
10 Resultados
28/12/2019 LGPD – LEI GERAL DE PROTEÇÃO DE DADOS - SGPD Slide: 11 / 22
12. Sistema de Gestão de Proteção de Dados – SGPD
Fase-1: Preparação
❑ Etapa #6: Estabelecer Fluxo de Dados e Inventário de Dados Pessoais
❖ Conhecer os FLUXOS DE DADOS PESSOAIS e os respectivos
PROCESSOS envolvidos direta ou indiretamente nestes fluxos é
determinante para se implementar e monitorar a Proteção de Dados
e Privacidade (PD&P).
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
❖ Consolidar e documentar os FLUXOS DE DADOS PESSOAIS
internos e externos da empresa em formato gráfico.
LGPD - Lei Geral de Proteção de Dados
Fases
8 Etapas
Ações
10 Resultados
28/12/2019 LGPD – LEI GERAL DE PROTEÇÃO DE DADOS - SGPD Slide: 12 / 22
13. Sistema de Gestão de Proteção de Dados – SGPD
Fase-1: Preparação
❑ Etapa #6: Estabelecer Fluxo de Dados e Inventário de Dados Pessoais
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
❖ Criar e formalizar o Mapeamento e Inventário de Dados
Pessoais mantidos por vários departamentos, sistemas,
parceiros e terceiros, incluindo:
✓ todos os formatos de Dados Pessoais: eletrônico e em papel;
✓ identificação dos colaboradores responsáveis para cada um
destes Dados Pessoais;
✓ classificação do tipo de Dado Pessoal tratado:
colaboradores, clientes, copropriedade com outras empresas,
etc.
✓ Onde e como estes Dados Pessoais são mantidos e
armazenados: servidores, dispositivos móveis, na nuvem,
mídias, etc.
LGPD - Lei Geral de Proteção de Dados
Fases
8 Etapas
Ações
10 Resultados
28/12/2019 LGPD – LEI GERAL DE PROTEÇÃO DE DADOS - SGPD Slide: 13 / 22
14. Sistema de Gestão de Proteção de Dados – SGPD
Fase-1: Preparação
❑ Etapa #6: Estabelecer Fluxo de Dados e Inventário de Dados Pessoais
Ciclo de Vida dos Dados
Gerar /
Coletar
Usar Compartilhar Arquivar Excluir
Rastreabilidade
Crescimento Transformar
Mover
Hierarquizar
Anonimizar
Pseudonimizar
Controle de
Acesso
Comportamento
Direitos de
Acesso
Fuga de Dados
Risco de Acesso
Backup
Criptografia
Reter
Recuperar
Preservar
Auditar
Expirar
Deletar
Destruir
Armazenar
Identificar
Classificar
Armazenar
Preservar
Proteger
Visibilidade
Dark Data
Geração ou Coleta de
dados
Estrutura de Permissões de
Acessos
Regras de Retenção /
Exclusão
LGPD - Lei Geral de Proteção de Dados
Fases
8 Etapas
Ações
10 Resultados
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
28/12/2019 LGPD – LEI GERAL DE PROTEÇÃO DE DADOS - SGPD Slide: 14 / 22
15. Sistema de Gestão de Proteção de Dados – SGPD
Fase-1: Preparação
❑ Etapa #6: Estabelecer Fluxo de Dados e Inventário de Dados Pessoais
Método de Coleta de
Dados Pessoais
Origem da Coleta de
Dados Pessoais
Periodicidade da Coleta
de Dados Pessoais
Formato dos Dados
Pessoais Coletados
Tipos dos Dados
Pessoais Coletados
Volume dos Dados
Pessoais Coletados
Acessos aos Dados
Pessoais Coletados
Finalidade da Coleta
dos Dados Pessoais
Onde e como os Dados
Pessoais estão
armazenados
Período de Retenção
dos Dados Pessoais
estão armazenados
Política de Atualização
dos Dados Pessoais
Responsável pelo
Tratamento dos Dados
Pessoais
Medidas de Controle de
Acesso
Medidas de Incidentes
de Seguraça da
Informação
Medidas de Vazamento
de Dados Pessoais
Demais...... Demais...... Demais......
Processos envolvidos
na Coleta de Dados
Pessoais
Sistemas envolvidos
na Coleta dos Dados
Pessoais
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
LGPD - Lei Geral de Proteção de Dados
Fases
8 Etapas
Ações
10 Resultados
28/12/2019 LGPD – LEI GERAL DE PROTEÇÃO DE DADOS - SGPD Slide: 15 / 22
16. Sistema de Gestão de Proteção de Dados – SGPD
Fase-1: Preparação
❑ Etapa #6: Estabelecer Fluxo de Dados e Inventário de Dados Pessoais
Considerar TODOS os Ambiente s
Operacionais Corporativos
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
LGPD - Lei Geral de Proteção de Dados
Fases
8 Etapas
Ações
10 Resultados
28/12/2019 LGPD – LEI GERAL DE PROTEÇÃO DE DADOS - SGPD Slide: 16 / 22
17. Sistema de Gestão de Proteção de Dados – SGPD
Fase-1: Preparação
❑ Etapa #7: Estabelecer programa de Proteção de Dados e Privacidade
❖ Plano de Treinamento de Privacidade de Dados
✓ Plano de comunicação
✓ Plano de conhecimento específico
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
❖ Estratégia Corporativa de Proteção de Dados e Privacidade - PD&P
✓ Cultura corporativa em Proteção de Dados e Privacidade
✓ Escopo do programa corporativo de PD&P
✓ Estabelece a matriz de responsabilidade do Encarregado da Proteção de
Dados
✓ Detalha a estratégia para alcançar as principais prioridades de PD&P
❖ Programa de Proteção de Dados e Privacidade - PD&P
✓ Enfatiza o valor reconhecido pela organização quanto a Proteção de Dados e
Privacidade
✓ Identifica os principais objetivos do Programa Corporativo de PD&P
✓ Detalha a estratégia de PD&P e os Controles de Governança para se atingir os
objetivos de Privacidade previamente definidos.
LGPD - Lei Geral de Proteção de Dados
Fases
8 Etapas
Ações
10 Resultados
28/12/2019 LGPD – LEI GERAL DE PROTEÇÃO DE DADOS - SGPD Slide: 17 / 22
18. Sistema de Gestão de Proteção de Dados – SGPD
Fase-1: Preparação
❑ Etapa #7: Estabelecer programa de Proteção de Dados e Privacidade
LGPD - Lei Geral de Proteção de Dados
Política de Segurança da Informação
Classificação da Informação
Governança, Risco e Conformidade (GRC)
Gestão de Identidade e Acesso (IAM)
Plano de Disaster Recovery
Plano de Continuidade de Negócio
Governança
Gerenciamento
Ciclo de Vida dos
Dados
Atribuições DPO
Testes de Penetração
Gestão de Vulnerabilidades
Threat Hunting
Resposta de Incidentes de Segurança
Resposta às Violações de Dados
Identificação
Inventário e
Classificação de
Dados
Prevenção de
Violação de Dados
Next Generation Firewall (NGFW)
Data Loss Prevention (DLP) & Data Privacy
Enterprise Information Archiving
Web Application Firewall (WAF)
User Behavior Analytics
Phishing Simulation & Training Broker (CASB)
Encryption
Advanced Threat Detection
Instrusion Prevention System (IPS)
Backup
Cloud Workload Security (CWS)
Database Activy Monitoring (DAM)
Database Audit and Protection (DA)
Database Access Management (PAM)
Segurança
Gerenciamento dos
Dados em Uso
Gerenciamento dos
Dados em Repouso
Dados em
Movimento
Segurança da
Informação
Privacidade
de Dados
Fases
8 Etapas
Ações
10 Resultados
28/12/2019 LGPD – LEI GERAL DE PROTEÇÃO DE DADOS - SGPD Slide: 18 / 22
19. Sistema de Gestão de Proteção de Dados – SGPD
Fase-1: Preparação
Etapa #8: Esboçar Planos de Implementação de ações de Proteção de Dados e
Privacidade
❖ Em razão da consolidação dos efetivos resultados das Etapas #1 a #7,
consolida-se um Relatório para o Board Corporativo:
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
✓ Consolidação das informações das etapas de análise preparação
✓ Conjunto de Planos de Ações específicos para a execução do processo
completo de Proteção de Dados e Privacidade de cada Fase.
✓ Orçamento para implementação
LGPD - Lei Geral de Proteção de Dados
Fases
8 Etapas
Ações
10 Resultados
28/12/2019 LGPD – LEI GERAL DE PROTEÇÃO DE DADOS - SGPD Slide: 19 / 22
20. Sistema de Gestão de Proteção de Dados – SGPD
Fase-1: Preparação
❑ Resultados previstos
1. Relatório de Análises de Proteção de Dados e Privacidade - Etapa #1
2. Manual de Leis de Privacidade - Etapa #2 e #3
3. Relatório de Auditoria de Dados Pessoais - Etapa #4
4. Sistema de Fluxo de Dados - Etapa #6
5. Inventário de Dados Pessoais - Etapa #6
6. Política de Proteção de Dados - Etapa #6
7. Plano de Treinamento em Privacidade - Etapa #7
8. Programa de Proteção de Dados & Privacidade - Etapa #7
9. Orçamento da estruturação da Gestão de Proteção de Dados - Etapas #1 a #8
10. Planos de Implementação de Ações de Proteção de Dados e Privacidade -
Etapas #1 a #8
Fase-1
Preparação
Fase-2
Organização
Fase-3
Desenvolvimento e
Implementação
Fase-4
Governança
Fase-5
Avaliação e
Melhoria
LGPD - Lei Geral de Proteção de Dados
Fases
8 Etapas
Ações
10 Resultados
28/12/2019 LGPD – LEI GERAL DE PROTEÇÃO DE DADOS - SGPD Slide: 20 / 22