Visão genérica de condução de um projeto de adequação da LGPD, primeiros passos relacionados ao mapa de dados e avaliação de impacto (RPID, DPIA)

1. LGPD
Lei Geral de Proteção de Dados

2. 2
LGPD - Mapa de Adequação
1. Observância dos requisitos de tratamento;
• Obtenção de consentimento;
• Existência de interesses legítimos;
• Tratamento para a tutela de saúde; etc…
2. Tratamento de acordo com os princípios aplicáveis à
gestão de dados;
• Apenas para a finalidade objeto do consentimento;
• Mínimo de dados necessários para atingir o
propósito do tratamento; etc…
3. Observância dos direitos do titular quanto a ser
dados;
• Acesso, correção, portabilidade, eliminação e
revogação, etc.
4. Adoção de controles, processos, boas práticas e
governança;
• DPO - Encarregado pelo tratamento de dados
pessoais;
• Políticas de privacidade;
• Processo de avaliação sistemático de impactos e
riscos à privacidade; etc..

3. Os cinco pilares de um programa de privacidade
Inventário de dados - é o ponto de partida. Serve
para mapear todos os dados pessoais aos quais a
empresa tem acesso.
DPIA - Análise de risco na perspectiva do
indivíduo.
Requerimentos dos titulares dos dados - (a)
mapear pontos de contato com titulares de dados
para processar requerimentos (ex: acesso,
retificação), (b) estabelecer fluxos e treinar
envolvidos, (c) procedimentos claros para
gerenciamento de crises.
Políticas e contratos - Cláusulas padrão,
prioridades para aditamento de existentes,
políticas específicas e claras, avisos de
privacidade.
Compliance - Como analisamos que estamos em
conformidade, evidências, sistemas, terceiros, etc.
3
Mudança e Promoção da Cultura de
Privacidade
- Plano de comunicação;
- Treinamentos presenciais, vídeos, etc.
- Tone at the top - mensagem dos líderes
- Empoderamento do DPO
02
Requerimentos
Reqs dos
titulares de
dados
01
Dados
Inventário de
dados pessoais
03
Políticas e
Contratos
Políticas de
privacidade
04
DPIA
Análise de
impacto de
privacidade
05
Compliance
Como nós
estamos?

4. Podemos ajudar você com os primeiros passos…
Mapa de Dados
O mapeamento de dados é uma forma de catalogação dos dados que você coleta, como é usado, onde está
armazenado e como ele percorre toda a sua organização e além dela (ciclo de vida do dado).
Nós apoiamos você e sua empresa com uma revisão crítica e recomendações para atualização do mapa de
dados.
Avaliação de Impacto à Proteção de Dados (DPIA)
A nova lei geral de proteção de dados LGPD entra em vigor em agosto de 2020. Além do inventário de dados,
as empresas precisarão completar a Avaliação de Impacto à Proteção de Dados, também referida como DPIA
(Data Protection Impact Assessment) que pode ser conduzida de maneira mais eficiente com o RISKID. Nessa
etapa os possíveis riscos que uma empresa pode enfrentar ao processar dados confidenciais são
identificados.
4
Utilizamos o RISKID para executar o
trabalho sem onerar o projeto para o
cliente.
RISKID é um software online de
gerenciamento de riscos com foco na
colaboração e facilidade de uso.
Permite agilizar e facilitar o processo de
colaboração entre as equipes, além de
propiciar uma experiência diferenciada
para os usuários.
O cliente pode optar em continuar
utilizando a licença do software para
manter evidente e contínuo o processo
de avaliação de impacto durante a
vigência da Lei.
Recomendamos primeiro elaborar um mapa de dados e em seguida completar uma primeira avaliação de
impacto para delimitar quais os riscos mais críticos e onde devem ser definidas ações prioritárias.

5. Requerimentos mínimos sugeridos para inventário de dados
5
Quem? - Dados de que categoria são processados? Ex.Clientes, funcionários, etc.
O que? - Quais dados? sensíveis? de crianças e adolescentes? (ex: nome, email, telefone, etc)
Porque? - Qual propósito o dado é utilizado: cadastro, operacional, folha de pagamento, etc.
Como? - De onde os dados são obtidos: do próprio funcionário, Facebook, LinkedIn, etc
Aplicação / Sistema - onde dados são processados
Consentimento - Evidência de consentimento (S/N)
Acesso - Quem tem acesso a informação?
Terceiros - Dados são processados por terceiros?
Retenção - Qual o período de retenção?

6. Para avaliar o impacto é necessário compreender o ciclo de vida
do dado pessoal nos processos de negócio
6

7. RISKID - Passos da Avaliação de Impacto
7
1
Identificação de Riscos
Juntos no RISKID, fazemos um inventário dos riscos
relacionados ao processamento de dados.
Com o objetivo de alcançar uma visão completa dos impactos
à privacidade.
Avaliação de Riscos
Os riscos são avaliados quanto à probabilidade e impacto.
Dessa forma, as opiniões sobre os riscos são rapidamente
coletadas e processadas pelo sistema como insumo para
uma boa discussão sobre os riscos.
Discussão dos Riscos
O RISKID processa todas as entradas dos participantes e
indica claramente quais riscos devem ser discutidos.
Estes são os riscos que os participantes não concordam
entre si. Promovendo uma discussão desses pontos as pessoas
evoluem no entendimento do risco umas das outras e
aumentam a percepção de risco. E é disso que se trata!
Planos de Ação
As medidas são determinadas para os principais riscos.
Também iremos determinar imediatamente os proprietários
de risco e promotores de cada plano de ação
2
3
4
Registro de Riscos
O registro de risco, incluindo o plano de ação, vem
diretamente do sistema e consolida todas as etapas
completadas anteriormente.
5

8. Resultados do DPIA - Exemplo
8

9. Casos Recentes

10. ❖FIESP expõe dados sensíveis de 34 milhões de pessoas
(por Felipe Payão para Tecmundo – 21 nov. 2018 – https://www.tecmundo.com.br/segurança/136386-fiesp-expõe-dados-sensíveis-500-mil-pessoas- htm)
A Federação das Indústrias do Estado de São Paulo (FIESP) expôs os dados de cerca de 34 milhões de
pessoas, de acordo com o pesquisador de segurança Bob Diachenko. Os dados foram encontrados em
uma base de dados Elasticsearch com 180.104.892 registros que deixavam acessíveis informações como
nome completo, número de RG, número de identificação CPF, gênero, data de nascimento, endereço
completo, e-mail e número telefônico.
A FIESP reúne 52 unidades representativas no estado de São Paulo, que representam 133 sindicatos
patronais e 130 mil indústrias. Após contato do pesquisados e do pessoal do Cibersecurity.net, a FIESP
corrigiu a falha que deixa os dados abertos. Em números completos, a base expôs 34.817.273 pessoas.
“Nós relatamos anteriormente que a falta de autenticação permitia a instalação de malware ou
ransomware nos servidores Elasticsearch. A configuração pública permite a possibilidade de
cibercriminosos gerenciarem todo o sistema com privilégios administrativos completos. Uma vez que o
malware esteja no local, os criminosos podem acessar remotamente os recursos do servidor e até iniciar
uma execução de código para roubar ou destruir completamente quaisquer dados salvos contidos no
servidor”, comentou Diachenko sobre a Elasticsearch.
10

11. ❖Netshoes admite vazamento de dados de contas brasileiras
(por Claudio Yugepara Tecmundo – 27 fev. 2018 – https://www.tecmundo.com.br/segurança/127662-netshoes-admite-governo-eua-vazamento- dados-contas-brasileiras.htm)
O TecMundo noticiou no dia 16 de janeiro mais um vazamento monstro da Netshoes, com dados
sensíveis de mais de 1 milhão de clientes – o anterior, no final de 2017, envolveu 500 mil consumidores.
Na época, a empresa afirmou não ter identificado indícios de invasão e que, “a exemplo dos dados
divulgados pelo hacker no fim do ano passado, esta nova lista não inclui informações bancárias, de
cartões de crédito ou senhas de acesso”. Agora, em nota enviada à Comissão de Títulos e Câmbio
(Securities and Exchange Comission – SEC) dos Estados Unidos, a companhia confirma o ataque.
O grupo ainda afirma que cibercriminosos tentaram extorqui-lo e as autoridades brasileiras foram
acionadas. Atualmente, a polícia brasileira investiga o caso. A Netshoes realizou o comunicado junto à
SEX porque possui ações em negociação nos Estados Unidos, onde o órgão é responsável por regular os
mercados. No final de janeiro, o próprio Ministério Público do Distrito Federal e Territórios recomendou à
Netshoes informar as pessoas afetadas e não pagar valores ao hacker que obteve os dados.
11

12. Carlos Santiago
carlos@vicenzisantiago.com
+55 (11) 97682-1108
Obrigado