Inspirada na lei europeia GDPR (General Data Protection Regulation) que já foi colocada em prática pela comunidade no final de maio de 2018, a LGPD já em vigor no Brasil com prazo de implantação até agosto 2020, tem como objetivo de reforçar a segurança jurídica dos dados pessoais dos indivíduos e mitigar abusos em relação a estes ativos tão poderosos e valiosos. Nesta apresentação iremos abordar um método de implantação da LGPD nas empresas do Brasil e os principais pontos de adequação a seus requisitos.
Detalhes internos da z14/Otimização de códigos - por Luiz Carlos Orsoni (MAFFEI)
LGPD Compliance em 13 meses
1. LGPD
Lei Geral de Proteção de Dados:
metodologia de implantação
19/04/2019 (v1.0)
Kleber Silva
CMG imPACt 2019 – 14º CMG Nacional
2. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 2
Agenda
1. INTRODUÇÃO
2. TRABALHOS RELACIONADOS
3. MOTIVAÇÃO
4. METODOLOGIA
4.1 CONSULTORIA / ASSESSMENT
4.2 RELATÓRIO DE ADEQUAÇÃO
4.3 SOLUÇÕES / PRODUTOS
5. CONCLUSÃO
5.1 TRABALHOS FUTUROS
3. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 3
1 - Introdução
O que é a LGPD?
LEI GERAL DE PROTEÇÃO DE DADOS
Tratamento de dados pessoais, promovido por
pessoa natural ou jurídica, de direito público ou
privado
Proteção dos direitos fundamentais de liberdade e
de privacidade e o livre desenvolvimento da
personalidade da pessoa natural no Brasil.
Sancionada sob o nº 13.709/18 em 15 em agosto de
2018 com prazo de 18 meses e modificada pela MP
nº 869/18 para 24 meses: terá início em 15 agosto
de 2020. Estamos no período de adequação!
4. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 4
1 - Introdução
Por que a LGPD foi criada?
A principal influência para a criação e maturação
da LGPD, foi a GDPR (General Data Protection
Regulation - EU 2016/679), que entrou em vigor
em maio de 2018 e regulamenta a questão para
os países europeus (União Européia)
É a mais significante legislação recente sobre
privacidade de dados (substitui a Data
Protection Directive de 1995) e serviu de modelo
para muitos outros países adotarem disposições
semelhantes ou reforçarem políticas existentes
5. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 5
1 - Introdução
A quem se aplica a LGPD?
Pessoas ou empresas que efetuam tratamento de
dados pessoais, por qualquer meio (digital ou físico),
tais como coleta, armazenamento, manipulação,
compartilhamento, exclusão e outros (Artigo 3º.)
Quem oferta serviços
para o mercado
Brasileiro
Quem coleta e trata
dados de pessoas
localizadas no Brasil
Quem possui
estabelecimento
comercial no Brasil
6. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 6
1 - Introdução
Quem regulamentará a LGPD?
Na MP nº 869/18 foi criada a Autoridade
Nacional de Proteção de Dados (ANPD),
órgão da administração pública federal
vinculado à Presidência da República, dotado
de autonomia técnica:
Zelar pela proteção de dados pessoais;
Editar normas e procedimentos sobre o tema;
Aplicar sanções em caso de descumprimento
de regras.
7. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 7
1 - Introdução
Quais as sanções e consequências?
Multa simples ou diária, de até 2% do faturamento do
último exercício da pessoa jurídica de direito
privado, grupo ou conglomerado no Brasil, excluídos
os tributos, de até R$ 50.000.000,00 por infração;
IMPACTO DIRETO
NO PATRIMÔNIO
8. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 8
1 - Introdução
Quais as sanções e consequências?
Publicitação da infração, quando devidamente
apurada e confirmada sua ocorrência;
Bloqueio dos dados pessoais a que se refere a
infração até a sua regularização;
Eliminação dos dados pessoais a que se refere a
infração.
Sanções administrativas,
civis ou penais definidas em
legislação específica (Artigo
52º.)
IMPACTO DIRETO
NA REPUTAÇÃO
9. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 9
1 - Introdução
O que constitui dados pessoais?
Qualquer informação cadastral relacionada a uma
pessoa física, que possa ser usada para identificar
direta ou indiretamente essa pessoa.
Pode ser qualquer dado, desde um nome, uma foto,
um endereço de e-mail, dados bancários, dados
biométricos, postagens em sites de redes sociais,
informações médicas, endereço IP do computador.
Os dados são sensíveis caso identifiquem origem
racial ou étnica, religião, opinião política,
sexualidade, condição de saúde, etc. (Artigo 5º.)
10. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 10
1 - Introdução
Quais atividades envolvem tratamento de
dados pessoais?
Hospedagem, manipulação, atualização,
criptografia, descriptografia, transferência,
modificação, armazenamento, análise,
recuperação, destruição, inclusão ou exclusão
de dados cadastrais pessoais.
As atividades podem ser manuais,
automatizadas ou semi-automatizadas.
(Artigo 5º Item X (10º.).
11. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 11
1 - Introdução
Quem são os agentes de tratamento de
dados pessoais e demais envolvidos?
Controlador: pessoa natural ou jurídica, de direito
público ou privado, a quem compete as decisões
referentes ao tratamento dos dados pessoais.
Operador: pessoa natural ou jurídica, de direito
público ou privado, que realiza o tratamento de
dados pessoais em nome do controlador.
Titular: pessoa natural a quem se referem os dados
pessoais que são objeto de tratamento.
12. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 12
1 - Introdução
Quem são os agentes de tratamento de
dados pessoais e demais envolvidos?
Encarregado: pessoa indicada pelo controlador para
atuar como canal de comunicação com os titulares
dos dados e a ANPD (redação dada pela MP 869/18).
(Artigo 5º Itens V, VI, VII, VIII, IX).
Terá sua identidade e informações de contato serão
divulgadas publicamente. (Artigo 41º)
É a mesma função do DPO (Data Protection Officer)
na GDPR. Este pode atuar nas filiais brasileiras
quando a empresa possui matriz na Europa
13. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 13
1 - Introdução
E quanto a nuvem?
A lei se aplica também para dados
armazenados e processados em nuvem!
A empresa responsável pela coleta dos dados
continua tendo o papel de Controlador,
enquanto a empresa responsável pelo serviço
de nuvem torna-se um agente de tratamento
de dados pessoais, isto é, o Operador.
14. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 14
2 – Trabalhos relacionados
MONTEIRO R. L.; Existe um direito à explicação na
Lei Geral de Proteção de Dados do Brasil? Instituto
Igarapé, Artigo estratégico 39. Dez/2018.
15. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 15
2 – Trabalhos relacionados
MACHADO D.; DONEDA, D.; Proteção de dados
pessoais e criptografia: tecnologias criptográficas
entre anonimização e pseudonimização de dados.
Revista dos Tribunais. vol. 998. Caderno Especial. p.
99-128. São Paulo: Ed. RT, dezembro 2018
16. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 16
2 – Trabalhos relacionados
PEREIRA A.L.D.; Big Data, e-health e
autodeterminação informativa: a lei 67/98, a
jurisprudência e o regulamento 2016/679 (GDPR).
FDUC- Artigos em Revistas Nacionais. Universidade
de Coimbra, Portugal. Junho de 2018
17. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 17
3 – Motivação
90% TI e não o contrário
A experiência com a GDPR já permitiu um
estudo da PWC que mostra uma distribuição
do orçamento de empresas que se adequaram
em apenas 10% na parte Jurídica, sugerindo
uma estimativa similar para a LGPD no Brasil:
Fonte: Benchmarking PWC US
Cybersecurity
10% Assessoria Jurídica
30%
60% Privacidade (Processos e Tecnologia)
18. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 18
3 – Motivação
The first GDPR fine issued in Italy
It was challenged the breach of article 32 of
the GDPR for the lack of appropriate technical
and organizational measures on the Rousseau
platform and a € 50,000 fine was issued.
Interestingly, the fine was not issued against
the Movimento 5 Stelle that is the data
controller of the platform, but against the
Rousseau that is the data processor.
https://www.gamingtechlaw.com/2019/04/first-gdpr-fine-
italy.html
19. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 19
4 – Metodologia
Modelo proposto
1. Consultoria / assessment para mapeamento
e análise de Gap da empresa, tanto de
tecnologia quanto jurídico, por segmento
2. Elaboração de relatório apontando as
adequações necessárias e o projeto de
implantações necessárias
3. Acompanhamento / gestão para
monitoramento e continuidade do processo
de compliance
20. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 20
3 – Motivação
Serviços, antes de Produtos/Soluções
Muitas consultorias/fornecedores tem criado e
oferecido produtos (softwares, hardwares)
para tornar a empresa compliance à LGPD,
genericamente, para qualquer segmento;
A abordagem preferida das empresas que
detém/manipulam os dados é o assessment /
mapeamento de sua TI, em busca dos gaps de
proteção: cybersecurity, processos,
armazenamento, backup, etc para em
seguida avaliar soluções no mercado
21. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil
21
4.1 – Consultoria/Assessment
Mapeamento
De Processos
Gap Analysis
Jurídico
Gap Analysis
Tecnológico
Consultoria
Relatórios
Mapeamento
dos Dados
22. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil
22
4.1 – Consultoria/Assessment
Cada segmento tem sua particularidade para
a proteção de seus dados, por exemplo:
VAREJO EDUCAÇÃO
SAÚDE MARKETING
23. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 23
4.2 – Relatório de adequação
Relatórios
Gestão
Adequação
de Processos e
Treinamento
Adequação
Jurídica
Adequação
Tecnológica
Classificação
Dos Dados
24. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 24
4.2 – Relatório de adequação
Gestão
Seguro
Cibernético
Gestão de
Contratos e
Processos
Manutenção
Tecnológica
Governança
Riscos e
Compliance
25. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 25
4.3 – Tipos de soluções
Produtos para adequação tecnológica
Indexação de dados sensíveis
DLP: Data Loss Prevention
Firewall para Banco de Dados
NAS com FileServer
Backup e Replicação de dados
CASB: Cloud Access Security Broker
SIEM: Security Information and Event
Management
26. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 26
5 – Conclusão
Consultoria de tecnologia com respaldo
jurídico (integrada a um escritório de
advocacia)
Prazo apertado: 13 meses
Ainda sem visibilidade/previsão da rigidez da
ANPD nas sanções. Será que poderia virar a
nova indústria de multa?
Órgãos públicos sofreriam apenas publicitação
dos incidentes, sem multas.
Empresas de geração de leads sobreviverão?
27. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 27
5.1 – Trabalhos futuros
CMG 2020
Apresentação de cases práticos de
implementação da metodologia com
particularidades por segmentos
Avaliação das diversas soluções tecnológicas e
quais artigos das leis são atendidas por elas
Retorno de investimento (ROI) do serviço e
aquisição das soluções
Histórico de sanções aplicadas no Brasil
28. Proibida cópia ou divulgação sem permissão escrita do CMG Brasil 28
Perguntas? Comentários!
Obrigado pela sua atenção!
kleber@pise4.com.br / (11) 98970-3801
ricardo.navarro@pise4.com.br / (11) 98610-1166