KPMG e Opice Blum - Desafios LGPD Fortaleza PDF

LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
A QUEM SE APLICA A LGPD?

Do ponto de vista material, a LGPD se aplica a qualquer pessoa - natural ou jurídica de direito público ou
privado - que realize tratamento de dados pessoais, ou seja, exerça atividade em que se utilizem dados
pessoais (coleta, armazenamento, compartilhamento, exclusão etc.), inclusive nos meios digitais.
MAS O QUE É DADO PESSOAL?

Segundo a LGPD, dado pessoal é, em síntese, qualquer informação que possa levar à identificação de uma
pessoa, de maneira direta ou indireta. Exemplos: dados cadastrais (nome, CPF, endereço etc.), dados de
GPS, identificadores eletrônicos, hábitos de consumo, preferências, entre outros.
EFEITOS PRÁTICOS
O âmbito de aplicação material da LGPD é extremamente abrangente, abarcando a maior parte de projetos
e atividades do dia a dia empresarial.
EXEMPLOS DE SITUAÇÕES EM QUE A LGPD SE APLICA

Relações trabalhistas, relações consumeristas (inclusive quanto aos negócios offline), relação entre usuário e
serviço de internet, negócios B2B que utilizam dados pessoais de parceiros/representantes empresariais etc.
LGPD
02
www.opiceblum.com.br
ESCOPO DE APLICAÇÃO – Art. APLICAÇÃO EXTRATERRITORIAL – Art.
AUTORIDADE - VETADO NOTIFICAÇÕES OBRIGATÓRIAS 3º
1º Previsão de Autoridade Nacional
– Art. 48 Aplica-se também a empresas
Afeta qualquer atividade que de Proteção de Dados,
em caso de incidentes de que não possuem
envolva utilização de dados responsável por garantir
segurança envolvendo os estabelecimento no Brasil
pessoais, incluindo o tratamento cumprimento da Lei –
pela internet, de consumidores, (aguardando PL ou MP)
dados, nas situações aplicáveis
DADOS: SENSÍVEIS, DE MENORES
empregados, entre outros. E TRANSF. INTERNACIONAL
AUTORIZAÇÃO PARA O – Art. 11, 14 E 33
TRATAMENTO DE DADOS – Art.
7º
Conheça os Regras específicas para tratar
dados sensíveis, transferência
O consentimento será umas das
10 possibilidades que
12 principais pontos internacional de dados e utilizar
dados de crianças e adolescentes
legitimarão o tratamento de
dados pessoais sobre a ASSESSMENT SOBRE O
TRATAMENTO DE DADOS – Art.
38
PRINCÍPIOS DE PROTEÇÃO
Necessidade de realizar
DE DADOS – Art. 6º
assessment de impacto à
Introduzidos 10 princípios da
proteção de dados (semelhante
proteção de dados, incluindo-se
ao DPIA) DO
MAPEAMENTO
o de demonstrar medidas
adotadas para cumprir a lei TRATAMENTO DE DADOS – Art.
(prestação de contas) SANÇÕES 37
Multa de até 50 milhões de Atividades de tratamento de
reais por infração, entre dados devem ser registradas em
DIREITOS DOS TITULARES relatório
outras sanções
DE DADOS – Art. 17 a 22
Titulares dos dados terão DATA PROTECTION OFFICER
amplos direitos: informação, (DPO) – Art. 41
acesso, retificação, Toda empresa responsável por
cancelamento, oposição, tratamento de dados deverá
portabilidade, entre outros. nomear Encarregado da Proteção
www.opiceblum.com.br de Dados Pessoais
Áreas Impactadas pela
LGPD
.............. ..............
Análise de Dados Segurança da
Informação
Titular dos Dados Pessoais
Marketing Serviços e Logística
....
Desenvolvimento de
Software e TI Recursos Humanos
Gerenciamento de
Produtos Compliance
Jurídico
LGPD
05
LGPD: Princípios
5
LGPD: Bases Legais
6
7
8
9
10
Conheça os
12 principais pontos
sobre a
SANÇÕES
Multa de até 50 milhões de
reais por infração, entre
outras sanções
Sanções Administrativas previstas na LGPD
O que a Autoridade Nacional
deve levar em conta
Sanções
Reincidência
Boa-fé Eliminação de dados pessoais
Condição econômica Bloqueio do tratamento de

Proporcionalidade dados
Multa de até 2% do faturamento

Pronta adoção de medidas corretivas do grupo no Brasil
Teto de R$ 50 milhões/infração
Mecanismos e procedimentos
internos de proteção de dados
Multa diária com o teto acima
Política de boas práticas e governança
Cooperação do infrator
Advertência
Grau do dano, gravidade Publicização da infração

Vantagem obtida ou pretendida
LGPD
10
13
WWW.LGPD.COM.BR
14
Sócia do escritório Opice Blum, Bruno, Abrusio e Vainzof Advogado Associados;
Advogada especializada em Direito Digital e suas vertentes;
Pós-graduada em Direito Processual Civil pela PUC/SP;
Coordenadora do Curso de Direito Digital da ESA - Escola Superior de Advocacia;
Coordenadora do Comitê de Estudos em Compliance Digital da LEC – Legal, Ethics, Compliance;
Professora convidada da Escola Paulista de Direito, Mackenzie e Insper.
Membro consultora da Comissão da Mulher Advogada da OAB – Ordem os Advogados do

Brasil/SP
Autora do livro “O Valor Probatório do Documento Eletrônico” (2010)
Coautora de artigos publicados nos livros “Educação Digital” (2015),

“Compliance: A Nova Regra do Jogo” (2016) e “Comentários à GDPR” (2018).
Lei Geral de
Proteção de Dados
DESAFIOS DA LGPD
JANEIRO DE 2019
O que temos notado
Escala Petabyte Estruturado, Não Volume de dados PI Vs PII

estruturado, Cloud, ... pessoais
Consciência de Bridge IT & “De-risk & De-identify” Conformidade

Localização dos dados Business Contínua
Arquitetura de TI Superfície de Visibilidade de Capturas

Ameaças Operadores desconhecidas
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 17
Os desafios de negócio da LGPD
Demonstrando Conformidade com os
Direcionando o gerenciamento de Requisitos Regulamentares
mudanças para toda a empresa
Colaboração entre funções

Aderindo às obrigações internas – Compliance, Cyber,
contratuais do cliente Privacy, Legal, etc
. Desenvolvendo Controles
Técnicos e Organizacionais
Efetivos
Mapas de inventário e fluxo de

dados específicos do processo
de negócios Recrutamento e Upskilling
de recursos
Interpretar as cláusulas regulamentares e

desenvolver um Framework
Os desafios de negócio – Proteção dos dados
Arquitetura de Segurança Operação de Segurança
Operação de
Segurança de Redes/Telecomunicações Segurança
Sistemas de Proteção contra Ataques Gestão de Identidades e Acessos
Inventário e classificação de Arquitetura de
Monitoramento de Segurança
informações Segurança
Criptografia em transmissão e Gestão de Incidentes
armazenamento de dados Threat Intelligence
Controles sobre Vazamento de
Políticas e Gestão de Operações Terceirizadas
Informações
Desenvolvimento Seguro Práticas
Proteção de
Segurança em Serviços de Cloud Banco de Dados
Dados e
Backups
Banco de Dados e Backups
Ações
Políticas e Práticas
educativas
Controles de integridade em bancos de Criação e implementação de políticas e
dados e outros meios de guarda de práticas
dados pessoais e sensíveis
Análise de aderência de políticas e
Geração e Armazenamento de trilhas de
Ações Educativas práticas
auditoria
Revisão dos controles sobre backups de
dados Campanhas Internas
Testes de Engenharia Social lógico e físico
Integração de novos funcionários
Adequação e integração de responsabilidades dos
colaboradores às Políticas Internas (RH, jurídico, compliance
etc.)
O Mapeamento dos
Fluxos de Processamento
(Art. 37)
O Mapeamento de dados
O mapeamento de dados permite identificar as informações que sua organização
mantém e como elas se movem de um local para outro, como de fornecedores até
clientes. Ao mapear o fluxo de dados, você poderá analisar a maneira mais eficaz o
processamento dos dados e identificar qualquer uso imprevisto ou não
intencional.
Um mapa de dados deve identificar os seguintes elementos principais:
Métodos de
Itens de dados (por Formatos (por exemplo,
transferência (por Locais (por exemplo,
exemplo, nomes, formulários impressos,
exemplo, correio, escritórios, nuvem,
endereços de email, entrada de dados on-
telefone, interno / terceiros)
registros) line, banco de dados)
externo)
Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais
que realizarem, especialmente quando baseado no legítimo interesse.
Mapeamento Avisos de
Privacidade
de dados é a Minimização
Direitos dos
indivíduos
fundação da Mapeamento
de dados
privacidade Privacidade
por Design
Violação de
dados
Assessment
de
Privacidade
Identificar salvaguardas
Identificar os dados pessoais
técnicas e organizacionais
Os desafios do Os dados pessoais podem residir

em vários locais e ser
armazenados em vários formatos,
apropriadas
O segundo desafio é identificar a
Mapeamento de como papel, eletrônico e até áudio.

O primeiro desafio é decidir quais
informações você precisa registrar
tecnologia apropriada - e as
política e os procedimentos para o
seu uso - para proteger as
Dados e em que formato. informações, além de determinar

quem controla o acesso a elas.
Compreender as obrigações
legais e regulamentares
Menosprezar os volumes
Determinar quais são as
obrigações legais e Muitos projetos de mapeamento
regulamentares de sua de dados falham no menosprezo
organização. Assim como a LGPD dos dados que nem sempre estão
ou GDPR, isso pode incluir outros aparentes nos principais processos
padrões de conformidade, como o de negócio e o seu volume
Padrão de Segurança de Dados do distribuído na Empresa.
Setor de (por exemplo, PCI DSS).
Qual o melhor método para minha Empresa?
MANUAL HÍBRIDO AUTOMATIZADO
O melhor é sempre relativo. O melhor programa para

uma Empresa pode não ser o melhor programa para
outra Empresa. Toda organização tem diferentes
necessidades de dados e conformidade.
O melhor mapa de dados do mundo não ajudará uma
organização se não o usar quando estiver concluído.
Este não é o tipo de coisa que deve ser feito e salvo
no servidor para ser usado somente se os reguladores
solicitarem.
Os principais passos do Mapeamento de Dados
Privacidade por Design
(PbD)
Relembrando os conceitos
Privacy by As entidades ficam obrigadas a implementar

medidas de segurança baseadas no risco,
Design levando em consideração a natureza, os
propósitos, o contexto e o escopo do
processamento dos dados.
As medidas devem ser implementadas tanto

Privacy by em nível técnico quanto operacional,
garantindo que o mínimo dos dados
Default pessoais seja coletado.
Os riscos das desconexões
CAMADA DE
COMPLIANCE
DPO REGULADORES PIAs AUDITORIAS
CAMADA DE GESTÃO DE
PROCESSOS GESTÃO DE PROCESSAMENTO DE DADOS
GESTÃO DE VIOLAÇÕES PROCESSAMENTO E
CONSENTIMENTO PESSOAIS
OPERADORES
INABILIDADE DE LINKAR O CONSENTIMENTO COM MULTIPLAS INSTANCIAS DE DADOS
INABILIDADE DE RECONCILIAR DIFERENTES FONTES DE DADOS DOS CLIENTES

OS RISCOS
INABILIDADE DE REMOVER CONSENTIMENTOS EM CADEIAS COMPLEXAS DE FORNECEDORES
INABILIDADE DE GERENCIAR ALTERAÇÕES E DELEÇÕES DE DADOS
CAMADA DE SEGURANÇA DA
PRIVACIDADE POR DESIGN QUALIDADE DE DADOS PERMISSÕES
TECNOLOGIA INFORMAÇÃO
Princípios fundamentais da Privacidade por Design
Antecipar, identificar e prevenir eventos A segurança do ciclo de vida de dados
antes que eles aconteçam. Significa agir As medidas de privacidade devem ser significa que todos os dados devem ser
com diligência antes de um incidente e totalmente integradas com os sistemas. armazenados com segurança conforme
não depois de um ocorrido. necessário e destruídos
quando não são mais necessários.
1 3 5
Garantir que os dados pessoais sejam Tanto a privacidade quanto a segurança Assegurar que as práticas e tecnologias
automaticamente protegidos em todos são importantes, e não há necessidade estão operando de acordo com
os sistemas de TI ou processos sem de compensações desnecessárias para objetivos e aptos a serem
esforços adicionais. alcançar ambos. inspecionados.
2 4 6
Qual a trajetória para a
LGPD?
FASE I: ASSESSMENT
Definição do Fluxos de Roadmap

Gap Assessment
escopo Dados estratégico
FASE II: DESENHO
Gestão de Riscos Avaliações de impacto de Política e Mapeamento e Governança de

de Terceiros e privacidade (PIA) e Definição de Inventário de Privacidade
Contratos privacidade por design Procedimentos Dados & Modelo Operacional
(PbD)
FASE III: IMPLEMENTAR E MONITORAR
Iterações de Treinamento de
Modelo de Testes de
Implementação do Privacidade
fábrica Assurance
Programa de Privacidade & Consciência
Visão do Assessment
MAPEAMENTO DE DADOS MANUAL
TOP DOWN GAP ASSESSMENT ROADMAP ESTRATÉGICO
ESCOPO DE PROCESSOS 10 BASES LEGAIS

PROJETO DE NEGÓCIO DE TRATAMENTO GAPS PROGRAMAS
MAPEAMENTO DE QUICK WINS IMPLEMENTAÇÕES

FLUXOS DE NEGÓCIO E
DADOS DADOS NÃO PROGRAMAS DE
ESCOPO DE COMPLIANCE ESTRUTURADOS REMEDIAÇÃO
PROJETO
QUICK WINS
LEGAL
BOTTOM UP
GESTÃO DE ISSUES
Dados Dados
Estruturados Não Estruturados
Monitoração Contínua
MAPEAMENTO DE DADOS AUTOMATIZADO
Conhecimento e
ferramentas
Exemplos práticos
SISTEMAS E
APLICAÇÕES INFORMAÇÕES
1 PESSOAS / SENSÍVEIS
FLUXO DE DADOS /
PROCESSO DE
ATIVIDADE DE REGRAS DE USO DOS
NEGÓCIO PROCESSAMENTO DADOS
PESSOAS
Privacy Compliance Solution
ENVOLVIDAS ARTIGOS DA LEI para sustentação do Programa
2
GAPS IDENTIFICADOS
Mapeamento CONTROLE DE
automatizado PLANOS DE AÇÃO
1 Mapeamento manual 2 Mapeamento automatizado
Exemplo – Mapeamento de dados
Exemplo – Mapeamento de dados
Exemplo – Gestão do programa
Exemplo – Gestão do programa
Para saber mais
GDPR: privacy The General Data The GC’s Guide to

Creepy
GDPR Booklet Protection
as a way of life or cool? GDPR
Regulation
Perguntas e
Respostas
Contato
LEANDRO AUGUSTO MARCO ANTONIO
Sócio Líder para Américas
Cyber Security & Privacy
T: +55 11 3940-3740 / 98245-6355
E: lantonio@kpmg.com.br
/in/lemarcoantonio
Este documento não poderá ser divulgado, comentado ou copiado, no todo ou em parte, sem o nosso prévio consentimento por escrito. Qualquer divulgação para além da permitida poderá
prejudicar os interesses comerciais da KPMG Consultoria Ltda. A KPMG detém a propriedade deste documento, incluindo a propriedade do copyright e todos os outros direitos de propriedade
intelectual.
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative
(“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
O nome KPMG e o logotipo são marcas registradas ou comerciais da KPMG International.

KPMG e Opice Blum - Desafios LGPD Fortaleza PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

KPMG e Opice Blum - Desafios LGPD Fortaleza PDF

Загружено:

Авторское право:

Доступные форматы

LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

A QUEM SE APLICA A LGPD?

MAS O QUE É DADO PESSOAL?

EXEMPLOS DE SITUAÇÕES EM QUE A LGPD SE APLICA

Titular dos Dados Pessoais

Marketing Serviços e Logística

Condição econômica Bloqueio do tratamento de

Multa de até 2% do faturamento

Grau do dano, gravidade Publicização da infração

Advogada especializada em Direito Digital e suas vertentes;

Pós-graduada em Direito Processual Civil pela PUC/SP;

Coordenadora do Curso de Direito Digital da ESA - Escola Superior de Advocacia;

Coordenadora do Comitê de Estudos em Compliance Digital da LEC – Legal, Ethics, Compliance;

Professora convidada da Escola Paulista de Direito, Mackenzie e Insper.

Membro consultora da Comissão da Mulher Advogada da OAB – Ordem os Advogados do

Autora do livro “O Valor Probatório do Documento Eletrônico” (2010)

Coautora de artigos publicados nos livros “Educação Digital” (2015),

Escala Petabyte Estruturado, Não Volume de dados PI Vs PII

Consciência de Bridge IT & “De-risk & De-identify” Conformidade

Arquitetura de TI Superfície de Visibilidade de Capturas

Colaboração entre funções

Mapas de inventário e fluxo de

Interpretar as cláusulas regulamentares e

Um mapa de dados deve identificar os seguintes elementos principais:

Os desafios do Os dados pessoais podem residir

O segundo desafio é identificar a

Mapeamento de como papel, eletrônico e até áudio.

Dados e em que formato. informações, além de determinar

O melhor é sempre relativo. O melhor programa para

Privacy by As entidades ficam obrigadas a implementar

As medidas devem ser implementadas tanto

INABILIDADE DE LINKAR O CONSENTIMENTO COM MULTIPLAS INSTANCIAS DE DADOS

INABILIDADE DE RECONCILIAR DIFERENTES FONTES DE DADOS DOS CLIENTES

INABILIDADE DE REMOVER CONSENTIMENTOS EM CADEIAS COMPLEXAS DE FORNECEDORES

INABILIDADE DE GERENCIAR ALTERAÇÕES E DELEÇÕES DE DADOS

Definição do Fluxos de Roadmap

FASE II: DESENHO

Gestão de Riscos Avaliações de impacto de Política e Mapeamento e Governança de

FASE III: IMPLEMENTAR E MONITORAR

TOP DOWN GAP ASSESSMENT ROADMAP ESTRATÉGICO

ESCOPO DE PROCESSOS 10 BASES LEGAIS

MAPEAMENTO DE QUICK WINS IMPLEMENTAÇÕES

MAPEAMENTO DE DADOS AUTOMATIZADO

1 Mapeamento manual 2 Mapeamento automatizado

GDPR: privacy The General Data The GC’s Guide to

O nome KPMG e o logotipo são marcas registradas ou comerciais da KPMG International.

Вам также может понравиться