2. 2
QUEM
SOMOS
Consultores associados da área de tecnologia, segurança da
informação e jurídica com foco em privacidade de dados, compliance,
auditoria, segurança da informação e definição de estratégias para
construção de frente de defesa contra ameaças cibernéticas e à
proteção de dados.
3. 4
Lei Geral de Proteção de Dados (LGPD)
O que é?
Regulamenta como as organizações passarão a utilizar dados
pessoais enquanto informação relacionada à pessoa natural
identificada ou identificável.
Lei 13.709/2018 MP 869/2018
29/05/2019, Aprovadana Câmara
Impõe uma profunda transformação no sistema de proteção de dados brasileiro, em boa medida
alinhada com a regulação europeia de proteção de dados (GDPR).
4. 5
ESCOPO DAS PROTEÇÕES
A legislação busca proteger primeiro os cidadãos,
independentemente do país de origem das empresas com as
quais estão se estabelecendo uma relação.
Todo tratamento de dados pessoais feito no território
nacional, em meio digital ou não.
5. 6
DADOS PESSOAIS E DP SENSÍVEIS
Dado pessoal é toda informação que permita identificar ou tornar
identificável pessoa natural (nome, CPF, RG, IP, cookies,etc)
Dado pessoal sensível são um tipo especial de dado pessoal que
inclui:
• Crianças e adolescentes;
• Origem racial ou étnica;
• Religiosa, filosófica ou de filiação política;
• Saúde;
• Dado sobre a vida sexual ou opção sexual;
• Dado genético ou biométricos.
Lei 13.709/2018
Art. 5º
7. 8
A QUEM SE APLICA?
Aplica-se a pessoais físicas e jurídicas que realizem operação de
tratamento de dados pessoais com intuito de oferecer produtos
ou serviços a indivíduos localizados no território brasileiro.
Lei 13.709/2018
ART 1º
8. 9
MELHORES PRÁTICAS E GOVERNANÇA
DE DADOS
Obriga, formalmente, que os controladores e operadores
façam uso de melhores práticas para a gestão do
tratamento de dados pessoais.
9. 10
PRINCÍPIOS NORTEADORES
✓ Finalidade
✓ Adequação
✓ Necessidade
✓ Livre acesso
✓ Qualidade dos dados
✓ Transparência
✓ Segurança
✓ Prevenção
✓ Não discriminação
✓ Responsabilização e prestação
de contas
Lei 13.709/2018
ART. 6º
10. 11
PAPÉIS FUNDAMENTAIS
TITULAR
Dono dos dados pessoais.
CONTROLADOR
PJ ou PF a quem compete as decisões
sobre o tratamento.
OPERADOR
Realiza o tratamento dos dados
pessoais em nome do controlador.
ENCARREGADO
Pessoa que atua como canal de
comunicação entre o controlador,
portadores e Autoridades de Dados.
11. 12
DIREITO AO CONSENTIMENTO
O consentimento é uma manifestação da livre vontade,
informada e inequívoca, que autoriza o tratamento de dados
pessoais para uma finalidade determinada.
Autorizações genéricas, isto é, que não têm como escopo uma
finalidade específica, explícita e informada serão nulas.
Lei 13.709/2018
ART. 7º E 8º
12. 13
DIREITO AO ACESSO FACILITADO
O titular dos dados tem direito ao acesso facilitado às
informações sobre o tratamento de seus dados pessoais
e de exigir correção de dados incompletos, inexatos ou
desatualizados.
Lei 13.709/2018
ART. 9º
13. 14
DIREITO AO ESQUECIMENTO
Toda pessoa tem direito de ser esquecido, isto é, de ter
seus dados removidos de um banco de dados existente ou
de saber se seus dados estão ou não presentes em algum
banco de dados, salvo casos específicos.
Lei 13.709/2018
ART. 16
14. 15
DIREITO À PORTABILIDADE
O titular dos dados poderá, mediante requisição
expressa, solicitar a transferência de seus dados
pessoais a outro fornecedor de serviço ou produto.
15. 16
DIREITO À EXPLICAÇÃO
Toda pessoa tem o direito de solicitar uma explicação
sobre como seus dados são tratados, incluindo
informações relativas à finalidade, forma e duração,
identificação do controlador, bem como se seus dados
são compartilhados e com quem.
16. 17
RELACIONAMENTO COM TERCEIROS
A LGPD leva às organizações a tomarem um considerável
cuidado com todo o ciclo de vida dos dados, incluindo a troca
desses dados com terceiros, tais como parceiros,
fornecedores, empresas de marketing e pesquisa, entre
outros.
17. 18
RESPEITO INCONDICIONAL AO
PORTADOR DE DADOS PESSOAIS
Entender que o usuário é mais que uma fonte de dados e que deve
ser tratado com o devido respeito quanto aos direitos
fundamentais da privacidade e da liberdade.
18. 19
TRANSFERÊNCIA INTERNACIONAL DE
DADOS
A LGPD obriga as organizações a adotarem cautelas no envio de
dados a organizações no exterior e observar práticas de segurança
de acordo com os requisitos estabelecidos na lei, entre eles:
adoção de procedimentos e a elaboração de documentos, tais
como contratos e regras corporativas vinculantes, no tratamento
desses dados.
20. 21
O ENCARREGADO DE DADOS
É fundamental ter um profissional exclusivo responsável pelo
processo de gestão da proteção de dados pessoais e segurança
da informação.
Poderá ser pessoa física ou jurídica.
Lei 13.709/2018
ART. 41
21. 22
RESPONSABILIDADES DO
ENCARREGADO DE DADOS
• Seus dados de contato devem estar públicos;
• Aceitar reclamações e comunicações dos titulares;
• Orientar funcionários sobre boas práticas de proteção de dados;
• Gerenciar o processo de segurança e proteção de dados pessoais
na organização;
• Intermediar a organização junto a ANPD e demais órgãos
correlatos.
Lei 13.709/2018
ART. 41
22. 23
INCIDENTES E FALHAS
Para estar de acordo com a legislação, toda organização precisará
colocar em prática e manter um processo de monitoração de seus
sistemas e possuir um processo de resposta a incidentes de
vazamento de dados pessoais.
23. 24
SANÇÕES E MULTAS
As sanções administrativas não excluem demais situações como o ressarcimento por danos
provocados ao portadores por incidente com dados pessoais.
ADVERTÊNCIA MULTAS PUBLICIZAÇÃO BLOQUEIO
Com indicação de
prazos para adoção
de medidas
corretivas.
Até 2% sobre o
faturamento anual,
limitada a R$
50.000.000,00 por
incidente.
Após devidamente
apurada e
confirmada a
infração.
Parcial do
funcionamento de
banco de dados e ou
do tratamento de
dados.
ELIMINAÇÃO
Eliminação dos
dados pessoais a
que se refere a
infração.
26. 27
Mapeamento, identificação de riscos, mitigação
e melhoria continua para definição de um
sólido processo de gestão em segurança das
informações do negócio como um todo.
ARQUITETURA DE SEGURANÇA DA
INFORMAÇÃO
Adequação às normas de proteção de dados,
tais como a LGPD e a GDPR, bem como
definição da melhor estratégia para criar seu
processo de governaça corporative de dados.
GOVERNANÇA DE DADOS
COMO PODEMOS AJUDAR
NOSSOS SER VI Ç OS E ABOR D AGENS
Conscientizar a todos que fazem parte do
ecossistema de proteção de dados e
segurança da informação, bem como,
propiciar cursos específicos sobre a temática
para as equipes técnicas.
TREINAMENTOS E WORKSHOPS
Condução de testes de intrusão (pentests), que
simulam ataques de hackers reais, e assim levar a
organização a compreender na prática suas
brechas e vulnerabilidades.
SIMULAÇÃO DE ATAQUE
CIBERNÉTICOS
Orientação jurídica diante a necessidade de
responder a incidentes de dados, responder à
ANPD, previsões contratuais de privacidade de
dados e representações tanto judiciais quanto
extrajudiciais sobre proteção de dados.
SUPORTE JURÍDICO
Condução de auditorias externas de verificação e
validação de controles e práticas para proteção de
dados pessoais e segurança da informação de
acordo com as melhores práticas do mercado.
AUDITORIAS
27. 28
COMO PODEMOS AJUDAR
C ONSULTOR I A PAR A AD EQUAÇ ÃO À LGPD
IMPLANTAÇÃO
DA LGPD
Diagnóstico
inicial
Análise de
Gaps
Avaliação
de riscos
Adequação
à LGPD
Melhoria
contínua
Identificação e entendimento do negócio
e da situação atual
Verificação das inconformidades de
requisitos com as normas e boas
práticas de proteção de dados
Avaliação de cenários de riscos para
priorização de ações
Projeto para atendimento dos
requisitos da LGPD
Definição de ações para verificação e
correção de pontos de melhoria
28. 29
CRONOGRAMA DO PROJETO DE ADEQUAÇÃO
C ONSULTOR I A PAR A AD EQUAÇ ÃO À LGPD
Fase 1 – Levantamento e Diagnóstico Inicial
Reunião de
abertura
Fase 2 – Avaliação de Gaps
Levantamento e
análise de Gaps
Identificar principais
cenários de riscos
Fase 3 – Análise de Riscos
Avaliar e analisar
riscos dos cenários
de gaps
Fase 4 – Projeto de Adequação e implantação
Definir arquitetura
de governança de
dados
Entre 10 e 30 horas
Entre 20 e 50 horas
Entre 20 e 30 horas
Varia de acordo com as necessidades definidas
na fase anterior
Envio dos questionários
de levantamento
Mapeamento do fluxo de
dados pessoais
Estabelecer políticas
e procedimentos
Rever contratos e
estabelecer
instrumentos legais
Estabelecer
controles de
segurança
Elaborar plano de
ação
Rever e adequar
controles de TI
Estabelecer papéis
e funções
(...)
Mapeamento de
inconsistências com
requisitos da LGPD
Selecionar
opções de
tratamento
29. 30
ALGUMAS ENTREGAS DO PROJETO DE ADEQUAÇÃO
C ONSULTOR I A PAR A AD EQUAÇ ÃO À LGPD
O projeto comtempla as seguintes entregas:
✓ Estruturação da arquitetura de governança para a
privacidade de dados;
✓ Política de privacidade de dados pessoais;
✓ Políticas de captura de dados de navegação no site
da organização;
✓ Política de guarda e gestão de consentimentos;
✓ Definição de papéis e responsabilidades na
governança de dados;
✓ Estabelecimento de boas práticas em segurança da
informação;
✓ Elaboração da política de segurança da informação;
✓ Procedimento de comunicação e tratamento junto
aos titulares de dados;
✓ Relatório de análise e avaliação de riscos para
proteção de dados;
✓ Implantação de metodologia para o DPIA;
✓ Estabelecimento da figura do DPO;
✓ Conscientização e treinamentos sobre Privacidade
de Dados;
✓ Mapa de fluxo de dados pessoais e processos de
negócio;
✓ Política de tratamento de dados pessoais com
terceiros;
✓ Política de transferência de dados pessoais para o
exterior;
✓ Avaliação de contratos que envolvam dados
pessoais;
✓ Definição de cláusulas vinculantes sobre tratamento
de dados pessoais;
✓ Política de tratamento de dados pessoais entre
controlador e operador;
✓ Revisão de tecnologias quanto aderência aos
princípios e pilares do privacy by design e privacy by
default.
30. 31
COMO PODEMOS AJUDAR
ESC R I TÓR IO D E ENC AR R EGADO D E D AD OS C OM O SER VI Ç O
Escritório
de
proteção
de dados
Estabelecer a
governança
de dados
Gerir
práticas,
pessoas e
tecnologia
voltadaa
proteçãode
dados
Comunicar e
atender aos
titulares
Intermediar
questões
junto a ANPD
Propiciar
conscientização a
todos os
envolvidos na
cadeia de
tratamento de
dados
Melhorar
continuamente
o processo
No serviço de Escritório de Proteção de
Dados que oferecemos, sua organização
não precisará se preocupar em manter o
processo de gestão da LGPD e buscar a
contratação de profissional específico para
isso, evitando assim custos desnecessários
com infraestrutura de gestão e pessoal.