You are on page 1of 42

LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

A QUEM SE APLICA A LGPD?


Do ponto de vista material, a LGPD se aplica a qualquer pessoa - natural ou jurídica de direito público ou
privado - que realize tratamento de dados pessoais, ou seja, exerça atividade em que se utilizem dados
pessoais (coleta, armazenamento, compartilhamento, exclusão etc.), inclusive nos meios digitais.

MAS O QUE É DADO PESSOAL?


Segundo a LGPD, dado pessoal é, em síntese, qualquer informação que possa levar à identificação de uma
pessoa, de maneira direta ou indireta. Exemplos: dados cadastrais (nome, CPF, endereço etc.), dados de
GPS, identificadores eletrônicos, hábitos de consumo, preferências, entre outros.

EFEITOS PRÁTICOS
O âmbito de aplicação material da LGPD é extremamente abrangente, abarcando a maior parte de projetos
e atividades do dia a dia empresarial.

EXEMPLOS DE SITUAÇÕES EM QUE A LGPD SE APLICA


Relações trabalhistas, relações consumeristas (inclusive quanto aos negócios offline), relação entre usuário e
serviço de internet, negócios B2B que utilizam dados pessoais de parceiros/representantes empresariais etc.

LGPD
02
www.opiceblum.com.br
ESCOPO DE APLICAÇÃO – Art. APLICAÇÃO EXTRATERRITORIAL – Art.
AUTORIDADE - VETADO NOTIFICAÇÕES OBRIGATÓRIAS 3º
1º Previsão de Autoridade Nacional
– Art. 48 Aplica-se também a empresas
Afeta qualquer atividade que de Proteção de Dados,
em caso de incidentes de que não possuem
envolva utilização de dados responsável por garantir
segurança envolvendo os estabelecimento no Brasil
pessoais, incluindo o tratamento cumprimento da Lei –
pela internet, de consumidores, (aguardando PL ou MP)
dados, nas situações aplicáveis
DADOS: SENSÍVEIS, DE MENORES
empregados, entre outros. E TRANSF. INTERNACIONAL
AUTORIZAÇÃO PARA O – Art. 11, 14 E 33
TRATAMENTO DE DADOS – Art.

Conheça os Regras específicas para tratar
dados sensíveis, transferência
O consentimento será umas das
10 possibilidades que
12 principais pontos internacional de dados e utilizar
dados de crianças e adolescentes
legitimarão o tratamento de
dados pessoais sobre a ASSESSMENT SOBRE O
TRATAMENTO DE DADOS – Art.
38
PRINCÍPIOS DE PROTEÇÃO
Necessidade de realizar
DE DADOS – Art. 6º
assessment de impacto à
Introduzidos 10 princípios da
proteção de dados (semelhante
proteção de dados, incluindo-se
ao DPIA) DO
MAPEAMENTO
o de demonstrar medidas
adotadas para cumprir a lei TRATAMENTO DE DADOS – Art.
(prestação de contas) SANÇÕES 37
Multa de até 50 milhões de Atividades de tratamento de
reais por infração, entre dados devem ser registradas em
DIREITOS DOS TITULARES relatório
outras sanções
DE DADOS – Art. 17 a 22
Titulares dos dados terão DATA PROTECTION OFFICER
amplos direitos: informação, (DPO) – Art. 41
acesso, retificação, Toda empresa responsável por
cancelamento, oposição, tratamento de dados deverá
portabilidade, entre outros. nomear Encarregado da Proteção
www.opiceblum.com.br de Dados Pessoais
Áreas Impactadas pela
LGPD

.............. ..............
Análise de Dados Segurança da
Informação

Titular dos Dados Pessoais

Marketing Serviços e Logística

....
Desenvolvimento de
Software e TI Recursos Humanos

Gerenciamento de
Produtos Compliance

Jurídico

LGPD
05
www.opiceblum.com.br
LGPD: Princípios

5
LGPD: Bases Legais

6
7
8
9
10
Conheça os
12 principais pontos
sobre a

SANÇÕES
Multa de até 50 milhões de
reais por infração, entre
outras sanções

www.opiceblum.com.br
Sanções Administrativas previstas na LGPD
O que a Autoridade Nacional
deve levar em conta
Sanções
Reincidência
Boa-fé Eliminação de dados pessoais

Condição econômica Bloqueio do tratamento de


Proporcionalidade dados

Multa de até 2% do faturamento


Pronta adoção de medidas corretivas do grupo no Brasil
Teto de R$ 50 milhões/infração
Mecanismos e procedimentos
internos de proteção de dados
Multa diária com o teto acima
Política de boas práticas e governança

Cooperação do infrator
Advertência

Grau do dano, gravidade Publicização da infração


Vantagem obtida ou pretendida

LGPD
10
www.opiceblum.com.br
13
WWW.LGPD.COM.BR

14
Sócia do escritório Opice Blum, Bruno, Abrusio e Vainzof Advogado Associados;

Advogada especializada em Direito Digital e suas vertentes;

Pós-graduada em Direito Processual Civil pela PUC/SP;

Coordenadora do Curso de Direito Digital da ESA - Escola Superior de Advocacia;

Coordenadora do Comitê de Estudos em Compliance Digital da LEC – Legal, Ethics, Compliance;

Professora convidada da Escola Paulista de Direito, Mackenzie e Insper.

Membro consultora da Comissão da Mulher Advogada da OAB – Ordem os Advogados do


Brasil/SP

Autora do livro “O Valor Probatório do Documento Eletrônico” (2010)

Coautora de artigos publicados nos livros “Educação Digital” (2015),


“Compliance: A Nova Regra do Jogo” (2016) e “Comentários à GDPR” (2018).
Lei Geral de
Proteção de Dados
DESAFIOS DA LGPD
JANEIRO DE 2019
O que temos notado

Escala Petabyte Estruturado, Não Volume de dados PI Vs PII


estruturado, Cloud, ... pessoais

Consciência de Bridge IT & “De-risk & De-identify” Conformidade


Localização dos dados Business Contínua

Arquitetura de TI Superfície de Visibilidade de Capturas


Ameaças Operadores desconhecidas
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 17
Os desafios de negócio da LGPD
Demonstrando Conformidade com os
Direcionando o gerenciamento de Requisitos Regulamentares
mudanças para toda a empresa

Colaboração entre funções


Aderindo às obrigações internas – Compliance, Cyber,
contratuais do cliente Privacy, Legal, etc

. Desenvolvendo Controles
Técnicos e Organizacionais
Efetivos

Mapas de inventário e fluxo de


dados específicos do processo
de negócios Recrutamento e Upskilling
de recursos

Interpretar as cláusulas regulamentares e


desenvolver um Framework

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 18
Os desafios de negócio – Proteção dos dados
Arquitetura de Segurança Operação de Segurança
Operação de
Segurança de Redes/Telecomunicações Segurança
Sistemas de Proteção contra Ataques Gestão de Identidades e Acessos
Inventário e classificação de Arquitetura de
Monitoramento de Segurança
informações Segurança
Criptografia em transmissão e Gestão de Incidentes
armazenamento de dados Threat Intelligence
Controles sobre Vazamento de
Políticas e Gestão de Operações Terceirizadas
Informações
Desenvolvimento Seguro Práticas
Proteção de
Segurança em Serviços de Cloud Banco de Dados
Dados e
Backups
Banco de Dados e Backups
Ações
Políticas e Práticas
educativas
Controles de integridade em bancos de Criação e implementação de políticas e
dados e outros meios de guarda de práticas
dados pessoais e sensíveis
Análise de aderência de políticas e
Geração e Armazenamento de trilhas de
Ações Educativas práticas
auditoria
Revisão dos controles sobre backups de
dados Campanhas Internas
Testes de Engenharia Social lógico e físico
Integração de novos funcionários
Adequação e integração de responsabilidades dos
colaboradores às Políticas Internas (RH, jurídico, compliance
etc.)

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 19
O Mapeamento dos
Fluxos de Processamento
(Art. 37)
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 20
O Mapeamento de dados
O mapeamento de dados permite identificar as informações que sua organização
mantém e como elas se movem de um local para outro, como de fornecedores até
clientes. Ao mapear o fluxo de dados, você poderá analisar a maneira mais eficaz o
processamento dos dados e identificar qualquer uso imprevisto ou não
intencional.

Um mapa de dados deve identificar os seguintes elementos principais:

Métodos de
Itens de dados (por Formatos (por exemplo,
transferência (por Locais (por exemplo,
exemplo, nomes, formulários impressos,
exemplo, correio, escritórios, nuvem,
endereços de email, entrada de dados on-
telefone, interno / terceiros)
registros) line, banco de dados)
externo)

Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais
que realizarem, especialmente quando baseado no legítimo interesse.

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 21
Mapeamento Avisos de
Privacidade

de dados é a Minimização
Direitos dos
indivíduos

fundação da Mapeamento
de dados

privacidade Privacidade
por Design
Violação de
dados

Assessment
de
Privacidade

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 22
Identificar salvaguardas
Identificar os dados pessoais
técnicas e organizacionais

Os desafios do Os dados pessoais podem residir


em vários locais e ser
armazenados em vários formatos,
apropriadas

O segundo desafio é identificar a

Mapeamento de como papel, eletrônico e até áudio.


O primeiro desafio é decidir quais
informações você precisa registrar
tecnologia apropriada - e as
política e os procedimentos para o
seu uso - para proteger as

Dados e em que formato. informações, além de determinar


quem controla o acesso a elas.

Compreender as obrigações
legais e regulamentares
Menosprezar os volumes
Determinar quais são as
obrigações legais e Muitos projetos de mapeamento
regulamentares de sua de dados falham no menosprezo
organização. Assim como a LGPD dos dados que nem sempre estão
ou GDPR, isso pode incluir outros aparentes nos principais processos
padrões de conformidade, como o de negócio e o seu volume
Padrão de Segurança de Dados do distribuído na Empresa.
Setor de (por exemplo, PCI DSS).

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 23
Qual o melhor método para minha Empresa?
MANUAL HÍBRIDO AUTOMATIZADO

O melhor é sempre relativo. O melhor programa para


uma Empresa pode não ser o melhor programa para
outra Empresa. Toda organização tem diferentes
necessidades de dados e conformidade.
O melhor mapa de dados do mundo não ajudará uma
organização se não o usar quando estiver concluído.
Este não é o tipo de coisa que deve ser feito e salvo
no servidor para ser usado somente se os reguladores
solicitarem.

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 24
Os principais passos do Mapeamento de Dados

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 25
Privacidade por Design
(PbD)

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 26
Relembrando os conceitos

Privacy by As entidades ficam obrigadas a implementar


medidas de segurança baseadas no risco,
Design levando em consideração a natureza, os
propósitos, o contexto e o escopo do
processamento dos dados.

As medidas devem ser implementadas tanto


Privacy by em nível técnico quanto operacional,
garantindo que o mínimo dos dados
Default pessoais seja coletado.

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 27
Os riscos das desconexões
CAMADA DE
COMPLIANCE
DPO REGULADORES PIAs AUDITORIAS

CAMADA DE GESTÃO DE
PROCESSOS GESTÃO DE PROCESSAMENTO DE DADOS
GESTÃO DE VIOLAÇÕES PROCESSAMENTO E
CONSENTIMENTO PESSOAIS
OPERADORES

INABILIDADE DE LINKAR O CONSENTIMENTO COM MULTIPLAS INSTANCIAS DE DADOS

INABILIDADE DE RECONCILIAR DIFERENTES FONTES DE DADOS DOS CLIENTES


OS RISCOS

INABILIDADE DE REMOVER CONSENTIMENTOS EM CADEIAS COMPLEXAS DE FORNECEDORES

INABILIDADE DE GERENCIAR ALTERAÇÕES E DELEÇÕES DE DADOS

CAMADA DE SEGURANÇA DA
PRIVACIDADE POR DESIGN QUALIDADE DE DADOS PERMISSÕES
TECNOLOGIA INFORMAÇÃO

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 28
Princípios fundamentais da Privacidade por Design
Antecipar, identificar e prevenir eventos A segurança do ciclo de vida de dados
antes que eles aconteçam. Significa agir As medidas de privacidade devem ser significa que todos os dados devem ser
com diligência antes de um incidente e totalmente integradas com os sistemas. armazenados com segurança conforme
não depois de um ocorrido. necessário e destruídos
quando não são mais necessários.

1 3 5
Garantir que os dados pessoais sejam Tanto a privacidade quanto a segurança Assegurar que as práticas e tecnologias
automaticamente protegidos em todos são importantes, e não há necessidade estão operando de acordo com
os sistemas de TI ou processos sem de compensações desnecessárias para objetivos e aptos a serem
esforços adicionais. alcançar ambos. inspecionados.

2 4 6

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 29
Qual a trajetória para a
LGPD?

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 30
FASE I: ASSESSMENT

Definição do Fluxos de Roadmap


Gap Assessment
escopo Dados estratégico

FASE II: DESENHO

Gestão de Riscos Avaliações de impacto de Política e Mapeamento e Governança de


de Terceiros e privacidade (PIA) e Definição de Inventário de Privacidade
Contratos privacidade por design Procedimentos Dados & Modelo Operacional
(PbD)

FASE III: IMPLEMENTAR E MONITORAR

Iterações de Treinamento de
Modelo de Testes de
Implementação do Privacidade
fábrica Assurance
Programa de Privacidade & Consciência

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 31
Visão do Assessment
MAPEAMENTO DE DADOS MANUAL

TOP DOWN GAP ASSESSMENT ROADMAP ESTRATÉGICO

ESCOPO DE PROCESSOS 10 BASES LEGAIS


PROJETO DE NEGÓCIO DE TRATAMENTO GAPS PROGRAMAS

MAPEAMENTO DE QUICK WINS IMPLEMENTAÇÕES


FLUXOS DE NEGÓCIO E
DADOS DADOS NÃO PROGRAMAS DE
ESCOPO DE COMPLIANCE ESTRUTURADOS REMEDIAÇÃO
PROJETO
QUICK WINS
LEGAL
BOTTOM UP

GESTÃO DE ISSUES
Dados Dados
Estruturados Não Estruturados
Monitoração Contínua

MAPEAMENTO DE DADOS AUTOMATIZADO

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 32
Conhecimento e
ferramentas

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 33
Exemplos práticos
SISTEMAS E
APLICAÇÕES INFORMAÇÕES
1 PESSOAS / SENSÍVEIS

FLUXO DE DADOS /
PROCESSO DE
ATIVIDADE DE REGRAS DE USO DOS
NEGÓCIO PROCESSAMENTO DADOS

PESSOAS
Privacy Compliance Solution
ENVOLVIDAS ARTIGOS DA LEI para sustentação do Programa

2
GAPS IDENTIFICADOS

Mapeamento CONTROLE DE
automatizado PLANOS DE AÇÃO

1 Mapeamento manual 2 Mapeamento automatizado

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 34
Exemplo – Mapeamento de dados

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 35
Exemplo – Mapeamento de dados

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 36
Exemplo – Gestão do programa

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 37
Exemplo – Gestão do programa

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 38
Para saber mais

GDPR: privacy The General Data The GC’s Guide to


Creepy
GDPR Booklet Protection
as a way of life or cool? GDPR
Regulation

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 39
Perguntas e
Respostas

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 40
Contato
LEANDRO AUGUSTO MARCO ANTONIO
Sócio Líder para Américas
Cyber Security & Privacy
T: +55 11 3940-3740 / 98245-6355
E: lantonio@kpmg.com.br

/in/lemarcoantonio

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. 41
Este documento não poderá ser divulgado, comentado ou copiado, no todo ou em parte, sem o nosso prévio consentimento por escrito. Qualquer divulgação para além da permitida poderá
prejudicar os interesses comerciais da KPMG Consultoria Ltda. A KPMG detém a propriedade deste documento, incluindo a propriedade do copyright e todos os outros direitos de propriedade
intelectual.

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative
(“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.

O nome KPMG e o logotipo são marcas registradas ou comerciais da KPMG International.