Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)

LGPD
Lei Geral de Proteção de Dados:
metodologia de implantação
19/04/2019 (v1.0)
Kleber Silva
CMG imPACt 2019 – 14º CMG Nacional

Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 2
Agenda
1. INTRODUÇÃO
2. TRABALHOS RELACIONADOS
3. MOTIVAÇÃO
4. METODOLOGIA
4.1 CONSULTORIA / ASSESSMENT
4.2 RELATÓRIO DE ADEQUAÇÃO
4.3 SOLUÇÕES / PRODUTOS
5. CONCLUSÃO
5.1 TRABALHOS FUTUROS

1 - Introdução
 O que é a LGPD?
LEI GERAL DE PROTEÇÃO DE DADOS
 Tratamento de dados pessoais, promovido por
pessoa natural ou jurídica, de direito público ou
privado
 Proteção dos direitos fundamentais de liberdade e
de privacidade e o livre desenvolvimento da
personalidade da pessoa natural no Brasil.
 Sancionada sob o nº 13.709/18 em 15 em agosto de
2018 com prazo de 18 meses e modificada pela MP
nº 869/18 para 24 meses: terá início em 15 agosto
de 2020. Estamos no período de adequação!

1 - Introdução
 Por que a LGPD foi criada?
 A principal influência para a criação e maturação
da LGPD, foi a GDPR (General Data Protection
Regulation - EU 2016/679), que entrou em vigor
em maio de 2018 e regulamenta a questão para
os países europeus (União Européia)
 É a mais significante legislação recente sobre
privacidade de dados (substitui a Data
Protection Directive de 1995) e serviu de modelo
para muitos outros países adotarem disposições
semelhantes ou reforçarem políticas existentes

1 - Introdução
A quem se aplica a LGPD?
 Pessoas ou empresas que efetuam tratamento de
dados pessoais, por qualquer meio (digital ou físico),
tais como coleta, armazenamento, manipulação,
compartilhamento, exclusão e outros (Artigo 3º.)
Quem oferta serviços
para o mercado
Brasileiro
Quem coleta e trata
dados de pessoas
localizadas no Brasil
Quem possui
estabelecimento
comercial no Brasil

1 - Introdução
 Quem regulamentará a LGPD?
 Na MP nº 869/18 foi criada a Autoridade
Nacional de Proteção de Dados (ANPD),
órgão da administração pública federal
vinculado à Presidência da República, dotado
de autonomia técnica:
Zelar pela proteção de dados pessoais;
Editar normas e procedimentos sobre o tema;
Aplicar sanções em caso de descumprimento
de regras.

1 - Introdução
 Quais as sanções e consequências?
 Multa simples ou diária, de até 2% do faturamento do
último exercício da pessoa jurídica de direito
privado, grupo ou conglomerado no Brasil, excluídos
os tributos, de até R$ 50.000.000,00 por infração;
IMPACTO DIRETO
NO PATRIMÔNIO

1 - Introdução
 Quais as sanções e consequências?
 Publicitação da infração, quando devidamente
apurada e confirmada sua ocorrência;
 Bloqueio dos dados pessoais a que se refere a
infração até a sua regularização;
 Eliminação dos dados pessoais a que se refere a
infração.
 Sanções administrativas,
civis ou penais definidas em
legislação específica (Artigo
52º.)
IMPACTO DIRETO
NA REPUTAÇÃO

1 - Introdução
 O que constitui dados pessoais?
 Qualquer informação cadastral relacionada a uma
pessoa física, que possa ser usada para identificar
direta ou indiretamente essa pessoa.
 Pode ser qualquer dado, desde um nome, uma foto,
um endereço de e-mail, dados bancários, dados
biométricos, postagens em sites de redes sociais,
informações médicas, endereço IP do computador.
 Os dados são sensíveis caso identifiquem origem
racial ou étnica, religião, opinião política,
sexualidade, condição de saúde, etc. (Artigo 5º.)

1 - Introdução
 Quais atividades envolvem tratamento de
dados pessoais?
 Hospedagem, manipulação, atualização,
criptografia, descriptografia, transferência,
modificação, armazenamento, análise,
recuperação, destruição, inclusão ou exclusão
de dados cadastrais pessoais.
 As atividades podem ser manuais,
automatizadas ou semi-automatizadas.
(Artigo 5º Item X (10º.).

1 - Introdução
 Quem são os agentes de tratamento de
dados pessoais e demais envolvidos?
 Controlador: pessoa natural ou jurídica, de direito
público ou privado, a quem compete as decisões
referentes ao tratamento dos dados pessoais.
 Operador: pessoa natural ou jurídica, de direito
público ou privado, que realiza o tratamento de
dados pessoais em nome do controlador.
 Titular: pessoa natural a quem se referem os dados
pessoais que são objeto de tratamento.

1 - Introdução
 Quem são os agentes de tratamento de
dados pessoais e demais envolvidos?
 Encarregado: pessoa indicada pelo controlador para
atuar como canal de comunicação com os titulares
dos dados e a ANPD (redação dada pela MP 869/18).
(Artigo 5º Itens V, VI, VII, VIII, IX).
 Terá sua identidade e informações de contato serão
divulgadas publicamente. (Artigo 41º)
 É a mesma função do DPO (Data Protection Officer)
na GDPR. Este pode atuar nas filiais brasileiras
quando a empresa possui matriz na Europa

1 - Introdução
 E quanto a nuvem?
 A lei se aplica também para dados
armazenados e processados em nuvem!
 A empresa responsável pela coleta dos dados
continua tendo o papel de Controlador,
enquanto a empresa responsável pelo serviço
de nuvem torna-se um agente de tratamento
de dados pessoais, isto é, o Operador.

2 – Trabalhos relacionados
 MONTEIRO R. L.; Existe um direito à explicação na
Lei Geral de Proteção de Dados do Brasil? Instituto
Igarapé, Artigo estratégico 39. Dez/2018.

 MACHADO D.; DONEDA, D.; Proteção de dados
pessoais e criptografia: tecnologias criptográficas
entre anonimização e pseudonimização de dados.
Revista dos Tribunais. vol. 998. Caderno Especial. p.
99-128. São Paulo: Ed. RT, dezembro 2018

 PEREIRA A.L.D.; Big Data, e-health e
autodeterminação informativa: a lei 67/98, a
jurisprudência e o regulamento 2016/679 (GDPR).
FDUC- Artigos em Revistas Nacionais. Universidade
de Coimbra, Portugal. Junho de 2018

3 – Motivação
 90% TI e não o contrário
 A experiência com a GDPR já permitiu um
estudo da PWC que mostra uma distribuição
do orçamento de empresas que se adequaram
em apenas 10% na parte Jurídica, sugerindo
uma estimativa similar para a LGPD no Brasil:
Fonte: Benchmarking PWC US
Cybersecurity
10% Assessoria Jurídica
30%
60% Privacidade (Processos e Tecnologia)

3 – Motivação
 The first GDPR fine issued in Italy
 It was challenged the breach of article 32 of
the GDPR for the lack of appropriate technical
and organizational measures on the Rousseau
platform and a € 50,000 fine was issued.
 Interestingly, the fine was not issued against
the Movimento 5 Stelle that is the data
controller of the platform, but against the
Rousseau that is the data processor.
 https://www.gamingtechlaw.com/2019/04/first-gdpr-fine-
italy.html

4 – Metodologia
 Modelo proposto
1. Consultoria / assessment para mapeamento
e análise de Gap da empresa, tanto de
tecnologia quanto jurídico, por segmento
2. Elaboração de relatório apontando as
adequações necessárias e o projeto de
implantações necessárias
3. Acompanhamento / gestão para
monitoramento e continuidade do processo
de compliance

3 – Motivação
 Serviços, antes de Produtos/Soluções
 Muitas consultorias/fornecedores tem criado e
oferecido produtos (softwares, hardwares)
para tornar a empresa compliance à LGPD,
genericamente, para qualquer segmento;
 A abordagem preferida das empresas que
detém/manipulam os dados é o assessment /
mapeamento de sua TI, em busca dos gaps de
proteção: cybersecurity, processos,
armazenamento, backup, etc para em
seguida avaliar soluções no mercado

Proibida cópia ou divulgação sem permissão escrita do CMG Brasil
21
4.1 – Consultoria/Assessment
Mapeamento
De Processos
Gap Analysis
Jurídico
Gap Analysis
Tecnológico
Consultoria
Relatórios
Mapeamento
dos Dados

Proibida cópia ou divulgação sem permissão escrita do CMG Brasil
22
4.1 – Consultoria/Assessment
 Cada segmento tem sua particularidade para
a proteção de seus dados, por exemplo:
VAREJO EDUCAÇÃO
SAÚDE MARKETING

4.2 – Relatório de adequação
Relatórios
Gestão
Adequação
de Processos e
Treinamento
Adequação
Jurídica
Adequação
Tecnológica
Classificação
Dos Dados

4.2 – Relatório de adequação
Gestão
Seguro
Cibernético
Gestão de
Contratos e
Processos
Manutenção
Tecnológica
Governança
Riscos e
Compliance

4.3 – Tipos de soluções
 Produtos para adequação tecnológica
 Indexação de dados sensíveis
 DLP: Data Loss Prevention
 Firewall para Banco de Dados
 NAS com FileServer
 Backup e Replicação de dados
 CASB: Cloud Access Security Broker
 SIEM: Security Information and Event
Management

5 – Conclusão
 Consultoria de tecnologia com respaldo
jurídico (integrada a um escritório de
advocacia)
 Prazo apertado: 13 meses
 Ainda sem visibilidade/previsão da rigidez da
ANPD nas sanções. Será que poderia virar a
nova indústria de multa?
 Órgãos públicos sofreriam apenas publicitação
dos incidentes, sem multas.
 Empresas de geração de leads sobreviverão?

5.1 – Trabalhos futuros
 CMG 2020
 Apresentação de cases práticos de
implementação da metodologia com
particularidades por segmentos
 Avaliação das diversas soluções tecnológicas e
quais artigos das leis são atendidas por elas
 Retorno de investimento (ROI) do serviço e
aquisição das soluções
 Histórico de sanções aplicadas no Brasil

Perguntas? Comentários!
Obrigado pela sua atenção!
kleber@pise4.com.br / (11) 98970-3801
ricardo.navarro@pise4.com.br / (11) 98610-1166

Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)

Mais conteúdo relacionado

Mais procurados

Semelhante a Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)

Mais de Joao Galdino Mello de Souza

Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)