Este documento discute a abordagem do SERPRO para atender os direitos dos titulares de dados pessoais de acordo com a LGPD. Apresenta o problema complexo de haver múltiplos controladores e domínios e propõe uma solução com funcionalidades integradas e uma rede de profissionais capacitados em privacidade e proteção de dados.
2. 2
Sobre Esta Apresentação
—
Tema: Abordagem do SERPRO para
atendimento dos direitos do titular
de dados pessoais
Agenda:
1. O Problema
2. Organizando o Problema
3. A Solução
4. Pessoas como Parte da Solução
Analista de sistemas com especialização em
engenharia de software pela Universidade Federal
do Rio Grande do Sul.
Atua com desenvolvimento há mais de 20 anos e é
arquiteto de software do SERPRO desde 2005.
Nos últimos anos atua especialmente com
arquitetura, qualidade de software, segurança e
proteção de dados (LGPD), sendo um dos criadores
do "guia de desenvolvimento confiável" do SERPRO.
4. 4
Direitos na LGPD
—
Artigo 18
1 I - Confirmação
2 II - Acesso
3 III - Correção
4 IV - Adequação
5 V - Portabilidade
6 VI - Eliminação
7 VII - Compartilhamento
8 VIII - Regovação Cons.
9 Peticionar (p. 1o)
10 Opor-se (p. 2o)
A LGPD defina no artigo 18
uma série de direitos que
o titular de dados pode
exigir do controlador de
dados
6. 6
Cenário Complexo: Muitos Controladores
—
Titular
Solução de
Resposta
SERPRO
Zona de Controlador A
(e.g. SERPRO como Controlador)
Zona de Controlador B
(e.g. RFB)
Zona de Controlador C
(e.g. DENATRAN, PGFN)
Zona de Controlador X
Zona de Controlador Y
Confirmação Acesso Correção Eliminação
Adequação Portabilidade
Informação sobre
Compartilhamento
Informação sobre
Não Consentimento Revogação
Reclamação
Oposição
7. 7
O Problema: Multiplicidade
—
Titular
Solução de
Resposta
SERPRO
Zona de Controlador A
(e.g. SERPRO como Controlador)
Zona de Controlador B
(e.g. RFB)
Zona de Controlador C
(e.g. DENATRAN, PGFN)
Zona de
Domínio 1
Zona de
Domínio 3
Zona de
Domínio 2
Zona de
Domínio 4
Zona de
Domínio 5
Solução 1.1
Solução 2.1
Solução 1.2
Solução 2.2 Solução 3.3
Solução 5.3
Solução 5.1
Solução 3.1
Solução 5.2
Solução 4.1 Solução 4.2
Solução 2.2
17. Primeira Versão (Maio/2021)
— Direito LGPD art. 18 NEC Fluxo
Previsto
Elementos Custo e
Recursos
Insumos
Necessários
1 I - Confirmação + Info 1 Automático PDC + AR Computacional Estrutural: MCS
2 II - Acesso 2 Manual PDC + FM Áreas Fim Operacional BD
3 III - Correção 3 Manual PDC + FM Áreas Fim Operacional BD
4 IV - Adequação 5 Manual PDC + FM Ar. Fim ALTO Ope. BD+Sw
5 V - Portabilidade 2 Manual PDC + FM Áreas Fim Operacional BD
6 VI - Eliminação 5 Manual PDC + FM Áreas Fim Operacional BD
7 VII - Compartilhamento 1 Automático PDC + AR Áreas LGPD Doc/Estrut
8 VIII - Regovação Cons. 6 Automático PDC Computacional Estrutural: PDC
9 Peticionar (p. 1o) 7 Manual PDC + FM Áreas LGPD Depende
10 Opor-se (p. 2o) 7 Manual PDC + FM Áreas LGPD Depende
19. 19
Adequação em Escala (e.g. SERPRO)
—
Negócio
DIRCL (interno e externo)
ADM, RH
(interno)
Operação
DIOPE
Desenvolvimento
DIDES
Segurança
&
Privacidade
SUPSI / SUPPD
Contexto do Controlador
Empresa / CNPJ base
Subcontexto
Área, depto., divisão etc
Escopo de Negócio
Sistema, Processo, Serviço etc
Granularidade Áreas de Atuação
Contexto do Operador
Medidas Técnicas
21. 21
Abordagem SERPRO de Organização
—
COMO?
Contexto do Controlador
Empresa / CNPJ base
Subcontexto
Área, depto., divisão etc
Escopo de Negócio
Sistema, Processo, Serviço etc
Granularidade
Encarregado
DPO do SERPRO
Subencarregado
Um por cada unidade (superint. +-30)
DPO Local
Especialista no Negócio e em P&PD
Rede SERPRO de Privacidade e
Proteção de Dados
22. 22
Lições Aprendidas
—
- Não dá pra “comprar” adequação à LGPD
A empresa, processos e negócios devem se adequar
“Top/Down” é mais eficiente em larga escala
- A automatização tem limite e não é barato (A)
A ação de pessoas capacitadas é fundamental (M)
Primeiro pessoas, depois ferramentas