-6 0

0 8 8 em
Tópicos especiais 2 8 .
9. 5
Gestão de 3 6Negócios:
Privacidade,ar i Proteção de
r e g
a rDados e LGPD
C
s
u e
r ig
od Prof. Fabiano Castello
n oR
a
J uli
 Nossa agenda 0
8 -6
overview regulamentação 28.8
0
e proteção de dados69.5
r i 3
e ga
principais termos rr
a e conceitos
s C
u e
r ig
o d
R
ianoprojeto de aderência a LGPD
u l
J
2
 • nossa aula de hoje 8 -6 0
0 .8
– powerpoint apenas como.5guia 2 8
69
(só vou compartilhar ar a
i 3 tela quando
e g
necessário) a rr
s C
ue
– interaçãorigplanejada (mentimeter)
o d
– perguntas,
n o R perguntas, perguntas!
l ia
Ju
3
 • plataforma PECEGE -6 0
– slides da aula 8 0 8
8 .
• www.cdatalab.com.br/lgpd 69. 52
3 r i
– a lei! ga
r e
– morfologia LGPDCar
e s
– FAQ LGPD igu
d r
o de segurança de
– guia prático
R
n o
informações e proteção de dados
l ia
Ju
4
 -6 0
8
overview .528.8 0
3 69
i
regulamentação a rr e gar e
s C
e
proteção
R o d r ig u de
n o
a
5 J u li dados
 -6 0
8 0 8
8 .
9. 52
r i 36
e ga
a rr
u esC
d rig
Ro
n o
l ia
J u
6
 -6 0
8 0 8
8 .
9. 52
r i 36
e ga
a rr
u esC
d rig
Ro
n o
l ia
J u
7
 -6 0
8 0 8
8 .
9. 52
r i 36
e ga
a rr
u esC
d rig
Ro
n o
l ia
J u
8
 O nosso problema não é a 08-60
8 .8
tecnologia. . 5 2
3 69
i
ar as
O nosso problemaregsão
a r
mudanças nauessociedade C
r ig
decorrentes o d dos avanços da
o R
a n
li
tecnologia.
u
9 J
mas ainda tem uma outra 8-60
.8 0
consideração importante!
.5 2 8
3 69
ar i
r e g
a r
u e sC
d rig
Ro
Sarbanes Oxley Lei 12.846/13
o
n
l iaaspectos multidiciplinares
J u
10
 -6 0
8 0 8
8 .
9. 52
r i 36
ga
• Lei 13.709/2018re
• GDPR
a r (LGPD) • HIPPA

s C
• ISO 27.001 (segurança) • Privacy Shield
u
• Lei e
12.965/2014 • Leis estaduais
r ig e.g. CCPA 2018
d
(Marco Civil da Internet)

Ro o
• Lei 13.853 (ANPD)

ia n • ISO27.701 (privacidade)
um
Ju ambiente
l regulatório mais robusto...
13 13
 ...com definições (novas) importantes... 6 0
0 8 -
.8
Privacidade 9. 5 2 8
6
DadosePessoais gar i 3
r
DadosesSensíveis Ca
r
u
o d r ig Anonimização
R
a n o ...com foco no indivíduo
li.i.e. regulamentações voltadas para direitos individuais
J u
14 14
1 A lei aplica-se ao seu negócio? 0
8 -6
Aplica-se a entidades que .8 0
Aplica-se à pessoas ou
coletem, armazenem ou
52 8
entidades (públicas ou
9.
tratem dados de pessoas
naturais localizadas na EU, r i 36
privadas) localizadas em
teritório nacional,
independente de e ga independente do país sede
nacionalidade e de ser a rr ou de onde os dados estejam
residente na EU.
u esC localizados (desde que o

d r ig tratamento dos dados sejam

em território nacional).
R o
o
n Empregados
l ia Fornecedores
J u
15 Consumidores Prestadores Visitantes
2 Quais as principais obrigações? 0
8 -6
0
• Comunicar titular e autoridades sobre vazamentos
.8
• Consentimento rigoroso, livre, claro,.5 2 8
inequívoco e
para finalidades específicas 36
9
ar i
• Nomeção de DPO (“Dataeg Protection Officer” ou
a rr
“Encarregado pelo Tratamento de Dados Pessoais”)
s C
u e
• Exigências específicas sobre transferência de dados,
r
portabilidade ige direito de esquecimento
o d
o R de impacto à proteção de dados (“DPIA”)
• Avaliação
n
a
J uli
16
3 Penalidades 0
8 -6
.8 0
52 8
9.
r i36
e g a
a rr
Multas administrativas C
de Advertência e multa de até
u e s
10 a 20 milhões de euros 2% do faturamento,
g
ou 2 a 4% dorifaturamento limitado a R$50 milhões
o d da entidade, por infração
anual global
o
o que Rfor maior
ia n
u l
17 J
4 Vigência 0
8 -6
.8 0
52 8
9.
r36
i
e ga
a rr
Vigente desde maio C Vigente a partir de
de 2018
u e s fevereiro de 2020
r ig agosto de 2020
o d
o R PL-5762/19 24 meses
n
18 J u l ia
? PL-1027/20 18 meses
PL-1179/20 2021 Jan/Ago
 5 Fiscalização 0
8 -6
.8 0
52 8
9.
r i 36 Pilar notificação
Autoridade Nacional de
e g a
Proteção de Dados
a r r
Receber comunicações
incidente de segurança
sobre a ocorrência de qualquer
que possa acarretar risco ou prejuízo
(ANPD) foi vetada na lei relevanteC
original, depois criada
u e s aos titulares dos dados (data breach notification)
Pilar sancionador
pela MP 869/2018 e r i g
finalmente virou a Leiod
Propor ações judiciais
R de
13.853 em 8 deojunho Pilar investigativo
a n Instaurar procedimento preparatório, inquérito civil público e
2019
u li procedimento administrativo

19 J
6 Incertezas | Insegurança Jurídica 0
8 -6
.8 0
COVID-19 52 8
9.
36
até que ponto o COVID será utilizada como justificativa?

Criação da ANPD ar i
r e g
Será criada até agosto de 2020?
a r
Legislações conflitantesue sC
r ig
LGPD x Base Cidadão; LGPD x Lei Transparência; LGPD x Cadastro Positivo

R od
nomultas
Aplicação de
ia
l
dosimetria; incremental?
u
20 J
 Privacidade Segurança
-6 0 da
de Dados 80 8
Informação
8 .
9. 52
ACESSO A SUA
r i 36
INFORMAÇÃO
e ga
a rr
u esC
d rig COMO VOCÊ
PUBLICO ou
Ro PROTEGE
PRIVADO
n o Proteção
SUAS

l ia INFORMAÇÕES

J u de Dados
21
 Privacidade INDIVÍDUO Segurança
-6 0 da
de Dados 80 8
Informação
CORPORAÇÃO
8 .
9. 52
ACESSO A SUA
r i 36
INFORMAÇÃO
e ga
a rr
u esC
d rig COMO VOCÊ
PUBLICO ou
Ro PROTEGE
PRIVADO
n o Proteção
SUAS

l ia INFORMAÇÕES

J u de Dados
22 INDIVÍDUO CORPORAÇÃO
 O tema privacidade de dados está na grande0
mídia... 8 -6
8 0 .
52 8
6 9
Com base em 503milhões
. de perfis do
a i
Facebook foi rpossível realizar uma
r e
campanhha g de publicidade hiper-
a r
segmentada.
s C
ig ue Há uma discussão até que ponto isto
od r influenciou a eleição de Trump
o R
ian
u l
23 J
 ...o público começa a perceber o valor de seus0
dados pessoais... 8 -6
8 0 .
52 8
9 .
r i 36 “antes de eu colocar
e ga meu nome na lousa,
a rr
u esC preciso saber para

d rig que você vai usar este

Ro dado”
n o
l ia
J u
24
...é assunto 0
do ENEN... 8 -6
.8 0
52 8
9.
r i 36
e ga
a rr
u esC
d rig
Ro
n o
l ia
J u
25
 ...os governos se interessam...60
0 8 -
.8
. 528
369
ar i
r e g
a r
u esC
d rig
Ro
n o
l ia
J u
26
 ...mas também são tão vítimas quanto a
-6 0
iniciativa privada. Exemplos no exterior...
0 8
8 .8
9. 52
r i 36
RSA: dados de 40MM
e ga
UBER: dados de 57MM de Anthem: dados de 79MM de
de funcionários
a rr
clientes e de 600k
motoristas
clientes

u e sC
Governos dos EUA:
d r ig
dados de 22MM de
o
oR
funcionários PSN: dados de 77MM de JP Morgan: dados de
federais
a n clientes 76MM de clientes e 7MM de

uli Home Depot: dados de

pequenos negócios

J pagamentos de 56MM de
27 clientes
 ..e no Brasil
também. -6 0
8 0 8
8 .
9. 52
r i 36
AES Eletropaulo: 6MM de ga
Boa vista: 350MM de dados
de brasileiros (potencial) clientes afetados rr e Ashley Madison: +300 mil
clientes em São Paulo

C a
u e s
BB: vazamento
r ig
iOS e Android. od
pelo aplicativo

Número de R
n o Colégio

l ia
afetados não Bandeirantes: Ingresso.com: erro no controle
de sessões do site expôs
J u informado. histórico de

28 alunos dados de clientes

E para que servem seus dados?
a.k.a. quem consegue seus dados faz o que com eles? -6 0
8 0 8
8 .
9. 52
r i 36
e ga Fraudes diversas

a rr
sC
Marketing Digital Hyper
Segmentado
u e
d r ig
R o
n o
l ia
J u
Espionagem Industrial Roubo de identidade
Chantagem
29 digital (Identity theft)
E para que servem seus dados?
a.k.a. quem consegue seus dados faz o que com eles? -6 0
8 0 8
8 .
9. 52
r i 36
e g a
Usar seu cartão de
crédito em comércio
Comprar linhas de
celular para realizar
a rrAbrir contas correntes
em seu nome para
Solicitar em seu nome
reembolsos falsos ao
eletrônico atividades ilegais C lavar dinheiro seguro saúde
e
implicando você
u s
r ig
o d
o R
ian
u l
30 J “Ransonware”: resgate
para devolver os seus
Base para identificação
de alvos e planejamento
dados de sequestros físicos
 Privacidade Segurança
-6 0 da
de Dados 80 8
Informação
8 .
9. 52
36 i
O “hype” existe e gaporque
r a
rr
mídia coloca s C o foco na
a
u e
questão o d r igda privacidade, mas
o verdadeiro
o R problema é o
ia n
u l
31 crime cibernético
J
 Privacidade Segurança
-6 0 da
de Dados 80 8
Informação
8 .
9. 52
36 i
O “hype” existe e gaporque
r a
rr
mídia coloca s C o foco na
a
u e
questão o d r igda privacidade, mas
o verdadeiro
o R problema é o
ia n
u l
32 crime cibernético
J
 -6 0
8 0 8
8 .
9. 52
r i 36
e ga
a rr
u esC
d rig
Ro
n o
l ia
J u
33
a) proteção contra uso ou acesso Segurança 0 da
8 -6
não-autorizado à informação 80
Informação
8 .
9 52
.
b) proteção contra negação de rserviço 3 6 à usuários
a i
autorizados r e g
a r
c) Manutenção da integridade s C e da
u e
confidencialidade r ig da informação
o d2004; Morris e Thompson, 1979; Sieberg, 2005; Smith, 2002
R
Brostoff,
o
a n
u li
34 J
Confidencialidade Integridade Disponibilidade
 é como nos filmes 0
2
8
8
-
.
6
8
0

5
de hollywood. 69.
r i 3
e ga
rr
a diferença é que
Ca
u e s
r ig
o d
demora mais.
o R
ia n
u l
J
35
 -6 0
8 0 8
8 .
9. 52
r i 36
e ga
a rr
u esC
d rig
n o Ro 6 passos para aderência
ia
J u l à GDPR e LGPD
36
0 antes de você
0
começar... 8 -6
.8 0
...sugerimos
52 8
9.
fortemente ver o
documentário “Terms r i 36
e ga
and Conditions May
a rr
Apply”
u e sC
d r ig
R o
n o
l ia
J u
disponível no Netflix. Procure por

37 “Sujeito a termos e condições” (2013)

0 antes de você
0
começar... 8 -6
.8 0
...e assista também
52 8
9.
“privacidade
hackeada” r i 36
e ga
a rr
u e sC
d r ig
R o
n o
l ia
J u
38 Disponível no Netflix
 1 trabalhe para obter os patrocinadores corretos
0
8 -6
.8 0
• “tone from the top”: alta
52 8
9.
administração, conselho de
administração e comitês r i 36
e ga
• primeira linha de defesa: TI and
a rr SI
• segunda linha de defesa: s C
riscos,
e
igu
controles internos,rcompliance e
legal o d
o R
• terceiraia n de defesa: auditoria
linha
u l
39 J
interna
 2 realize um diagnóstico detalhado para definir o escopo do
que é preciso fazer para aderência à legislação -6 0
0 8
.8
2 8
• mapear informações que precisam ser protegidas,9. 5 áreas,
3 6
a i
sistemas, ambientes, plataformas e rprofissionais envolvidos
• identificar políticas que precisamr e gser criadas ou as já
r
existentes que precisam sser Caatualizadas
u e
• identificar documentos
r ig que precisar ser revisados e.g. termos
de consentimento o d
o R
a n
u li
40 J
 3 nomear um DPO com as seguintes principais atribuições
0
8 -6
0
.8
• coordenar os esforços sobre proteção de dados
5 2 8 em todos os
departamentos envolvidos, principalmente 9 .
6 CSO e CIO
r i 3
• participar de projetos para assegurar
e ga privacy by design
• conduzir e monitorar DPIA ar r
s Csobre boas práticas de proteção
• promover conscientização
u e
r ig
de dados; inserir proteção de dados na agenda da
d
o que o assunto faça parte da cultura
organização até
o R
i
• ser o ponto n
a de contato com autoridades reguladoras
u l
41 J
4 estabelecer políticas
0
8 -6
.8 0
• classificação de informações
52 8
9.
(pública, restrita, sensível,
confidencial ou crítica) r i 36
e ga
• comunicação e relacionamento
a rr
C
com autoridades (particularmente
s
importante no casoig u
de
e
vazamentos) od
r
o R
ian
u l
42 J
 5 implementar programa robusto de segurança de
0
8-6
informação, incluindo monitoramento e testes periódicos
.8 0
• adoção de pelo menos um framework
. 28
5
específico e.g. ISO27001, PCI-DSS ou NIST 6
3 9
• revisão de controles básicos de ITGC ar i
e.g. topologia de rede, controle de r e g
acesso,
a r
segregação de ambientes, DEVs
s C
e
u de vulnerabilidades e
r ig
• teste de intrusão, varredura
detecção de tráfego
o d de dados não criptografados
o
na rede interna R
a n
li
• monitoramento através de SOC (próprio ou terceiro)
43 Ju
 segurança de 0
-6
informação precisa .8 0 8
2 8
de uma abordagem 69. 5
3
profissional... gari
re a r
u e sC
ig
d r
... e esta
R o aqui
n o
seguramente
l ia
44 Junão é ☺ ☺ ☺
6 conscientizar colaboradores e stakeholders
0
8 -6
.8 0
52 8
9.
r i 36
ga
https://youtu.be/6Yl0AZN-ZRQ
r e
a r
u esC
d rig
Ro
n o
l ia
J u
45
6 conscientizar colaboradores e stakeholders
0
8 -6
0
• engajamento.8 e
5 8
2 de segurança
6 9 .
cultura
r i 3 de informação
e ga • comunicação e
a rr treinamento
s C
u e • “gamification”
r ig
Rod
n o de um lado toda a
l ia tecnologia... e de outro
J u o erro humano
46
 Benefícios 6 0
0 8 -
• Ambiente seguro, riscos .8
8
minimizados 9.52
3 6
ar i
• Evita desembolsos com multas
r e g
• “Tranquilidade
a r Executiva”:
s C
segurança de informação tira o
e
u sono de todo executivos há
r ig
o d
o R anos!
a n
J uli
47
 6 0
alguns conceitos 2
0
8
8
.
-
8
9. 5
6
fundamentais rr e gar i 3
da
Ca
s
o d r igLGPD
u e

o R
ian
u l
J
51
 0
LGPD: 2 8 .8 0 8 -6

9. 5
principais termos r e gar i 3 6
e
a r
questõesrigufrequentes
es
C
o d
(FAQ)
uli
a n o R
J
52
 dado pessoal -6 0
[conceito central da LGPD] 0 88
2 8 .
qualquer informação relacionada a uma pessoa
9 . 5
natural (física) identificada ou que possa 3 6ser identificada a
a r i
g I)
partir dos dados coletados. (art. e5o,
r
a r
tratamento s C
e
toda operação realizada i u
g com dados pessoais, como coleta,
o d r
o R
utilização, processamento, armazenamento e eliminação
a n
(art. 5o,liX).
Ju
53
 titular -6 0
pessoa física, a quem se referem os dados pessoais 8 8
0que
são objeto de tratamento(art. 5°, V). 2 8 .
9. 5
controlador 3 6
a r i
pessoa jurídica ou física que coleta
e g dados pessoais e toma
todas as decisões em relaçãoaa rrforma e finalidade do
s C
e 37).
tratamento dos dadosu(art.
r ig
operador Rou od processador
n o ou física que realiza o tratamento de dados
pessoa jurídica
l ia
Ju sob as ordens do Controlador (art. 39).
pessoais
54
 encarregado (DPO) -6 0
pessoa física indicada pelo controlador para ser a80 8
ponte
entre o controlador, os titulares e a ANPD, bem 2 8 .
como
9. 5
orientar os funcionários do Controlador3sobre 6 práticas de
tratamento de dados, entre outras (art. ar i 41)
r e g
a identidade e as informações a r contato do DPO devem
de
s C de preferência no site do
e
ser públicas, claras e objetivas,
u
g
controlador (art. 41,ri§1º)
o d
o R
a n
u li
J
55
 consentimento -6 0
deve ser fornecido por escrito ou por outro meio que 8 0 8
8 .
2do titular, em
demonstre a efetiva manifestação de vontade 9. 5
3 6
cláusula destacada dos demais termos
ar i contratuais (art. 8°,
§1º) re g
a r
o controlador está impedido s Cde dar tratamento diverso
u e
daquele informadore, igse alteradas as finalidades iniciais,
deve obter novo o d
consentimento do titular (art. 8°, §6º)
o R
ia n
u l
o consentimento pode ser revogado (art. 8°, §5º)
J
56
 modelos de consentimento -6 0
distinção importante! 8 0 8
8 .
opt-in mensagens de marketing ou de36caráter 52
9. comercial
só são enviadas para aqueles que expressem,
ar i prévia e
explicitamente, o seu consentimento r e g em recebê-las
a r
s C
opt-out inclusão automática
g u e em mailing lists e afins - a
inclusão não depende r i
d do consentimento do destinatário
R o
n o
lia
J u
57
 incidente de segurança 0
8 -6
.8 0
52 8
ocorrência identificada de um sistema,
69. serviço ou
rede, que indica uma possível violação r i 3 da política
e ga
de segurança da informação rr ou falha de controles,
ou uma situação previamente Ca desconhecida, que
u e s
possa ser relevante
r ig para a segurança da
d
Ro caso, dados pessoais).
informação (no
o
ia n
u l
J
58
 -6 0
8
estrutura de69. um 52 8 .8 0

r i 3
a
projeto
sC
a rrLGPD
e g
u e
d rig
Ro
n o
l ia
J u
59
 Ciclo da LGPD na Organização 0
8 -6
.8 0
52 8
9.
avaliação 36
r i
e ga
a rr
C
implementação
s
u e
d rig
Ro
an o monitoramento
u l i
J
61
 Projeto LGPD para Avaliação
-6 0
0 8
1 2 328.8
9. 5
3 6 governança em
conscientização e
a r i
planejamento
r g
diagnóstico
e proteção de dados
a r
s C
4 r u e 5
3
ig
d do
o
garantia
n oR
exercício dos governança em
lia direitos dos
treinamento
proteção de dados
J u titulares
62
 1 6 0
🔧 entendimento inicial do negócio 0 8 - e
conscientização e da estrutura organizacional 8 .8
planejamento . 5 2
🔧 levantamento de6pessoal
3 9 envolvido
a r i
e locais de trabalho
🔧 definição r e gda equipe do projeto
📓cronograma
tentativo (full a r part time)
time,
s C
📓comunicação
u
🔧 e“timeframe” de aderência à LGPD
corporativa
r ig🔧 reunião de kick off
📓palestra sobre
o d
proteção de dados
o R
(para equipe
projeto)lia
n do

Ju
63
 2 6 0
🔧 levantamentos de processos 0 8 -
de
negócio, áreas, processos, 8 .8
diagnóstico . 5 2
infraestrutura e 6
3 9
controles de TI
(ITGC)
ar i
📓matrizes de fluxos de 🔧 consolidação
r e g da equipe de LGPD
dados pessoais e de a r
🔧 cronograma de execução do projeto
controle de s C
e
privacidade de
dados d rigu
📓 cronograma e Ro
n o
equipe do projeto
l ia
J u
64
 3 6 0
🔧 identificação de controles 0e8de - gaps
governança em em relação à proteção 8 .
de8 dados
proteção de dados . 5 2
🔧 políticas vigentes 6 9referentes à
informaçõesrei 3 segurança
e g
o classificaçãoa de informação
📓planos de ação de
gaps de governança a rr
o retenção e descarte
e recomendações C
os privacidade: como a organização vai lidar
u e com dados em geral, e pessoais em
d rig particular
o
n oR 🔧 quantificação do “passivo de
dados” (dados que já foram coletados, ou que ainda
a
J uli estão sendo coletados, que não estão relacionados ao “uso
legítimo”; eficiência do “opt-out”)
65
 4 6 0
garantia do 🔧 mapeamento de controles0e8-
exercício dos procedimentos relacionados 8 .8 aos
direitos dos . 5 2
titulares
direitos do titular:
3 69
o “opt-out”
o direito deg ar i
esquecimento
📓planos de ação ref. a
ponto rr e
de atenção: aspectos legais
direitos do titular
C a (“accountability”)
o inventário
u e s (ex.: google take out)

d rig o portabilidade: mesmo conceito de operadora

Ro de celular; ponto de atenção intra-setores

n o 🔧 definição de planos de ação

l ia (remediar x abandonar)
J u
66
 5 6 0
🔧 adequação técnica de 0 8 -
colaboradores diretamente 8 .8
treinamento
. 5 2
envolvidos com LGPD
3 69
ar i
🔧 plano de comunicação e
📓plano de
r e g
conscientização dos colaboradores
comunicação a r
corporativa
u esC
📓agenda de
palestras sobre d rig
proteção de dados Ro
n o
(para organização)
📓plano de l ia
J u
treinamento técnico
67
 -6 0
8 0 8
8 .
9. 52
r i 36
e ga
a rr
u esC
d rig
Ro
n o
l ia
J u
71 www.linkedin.com/in/fabianocastello