Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Quem somos ?
A TRUZZI Advogados é um escritório de advocacia especializado em direito digitale segurança da informação, que atua nas esferas consultiva e contenciosa do
direito digital desde 2005.
Equipe e especialização:
• Direito Digital e Segurança da Informação: Giselle Truzzi
• Propriedade intelectual, direito tributário e compliance: Marcelo Nogueira Mallen da
Silva
• Forense Digital: Erasmo Guimarães
• Marketing Legal e Promoções comerciais: Marcela Macedo
• Processo Civil e Comunicação Digital: Leonardo Serra de Almeida Pacheco
Portfólio Consultivo em Direito Digital
• Serviços jurídicos para Contencioso em Direito Digital – Serviços Jurídicos
• Análise, revisão e elaboração de contratos e termos de confidencialidade
• Acompanhamento de perícias técnicas e elaboração de parecer jurídico
• Elaboração e revisão de termos de uso e políticas de privacidade de sites,
portais e aplicativos
• Desenvolvimento de treinamento in-company sobre segurança da informação,
direito digital e conscientização do uso de recursos tecnológicos.
• Auditoria de sites, portais, aplicativos e monitoramento da marca ou dados
pessoais/nome na internet e remoção de conteúdo ofensivo/difamatório
publicado na internet.
• Registro de marca, proteção da propriedade industrial, intelectual e dos direitos
autorais.
• Elaboração e revisão de Política de Segurança da Informação (PSI) e Normas
de Segurança da Informação (NSI)
Em 2.014 a Orchestra Networks a Infogix, a Syncsort e a Adaptive decidiramunir-se para criação de uma subsidiária de suas soluções para América Latina,
desta forma surgiu a DRZ com presença regional e focada em soluções de
software para gerenciamento de dados em grandes clientes.
A Smart Data & Analytics (SDNA) é parte da DRZ porém ocada em serviçosespecializados de transformação digital, compliance, gerenciamento dedados, analytics e inteligência artificial.
Nosso propósito:Apoiar as organizações para se tornarem competitivas na era digital,expandindo sua capacidade de diferenciação, antecipando demandas domercado e regulatórias, com soluções inovadoras, flexíveis e adaptáveis parasuperar desafios de negócio.
Nosso portfólio de serviços:
• Governança de dados e informações (Data-driven)
• Gerenciamento de dados corporativos e compliance
• Data Science, Advanced Analytics e Inteligência Artificial
• Inovação e transformação digital
Nossos Escritórios:
GDPR – Contexto Geral
GDPR - General Data ProtectionRegulation - 25 de Maio de 2018
Objetivo: Proteger cidadãos europeus
(dados privados e violações)
O que é protegido?Qualquer informação relacionada a pessoa que pode ser utilizada direta ou indiretamente p.ex. (nome, fotos, e-mail, detalhes bancários, posts em mídias sociais, informações médicas, endereços IP, incluindo mas não limitado a contatos de clientes, funcionários, contratados, etc.
Quem é Regulado?Todas as empresas ou organizações de posse de dados pessoais residentes na união europeia, independente de sua localização
Controladores de dados: entidade que determina os fins, condições e meios de tratamento dos dados pessoais
Processadores de dados: empresas que processam dados pessoais em nome dos controladores de dados
PenalidadesMultas de 4% do volume de negócios globais anuais por violação dos princípios básicos da GDPR ou 20 milhões de euros; ou 2% por não ter seus registros em ordem (Art. 30), não notificando a autoridade de supervisão sobre uma violação de dados incluindo avaliação de impacto. O mais importante agora é mostrar a responsabilidade da organização para o GDPR
LGPD – Contexto Geral
LGPD – Lei Geral de Proteção de Dados de 14 de Agosto de 2018 –Vigente a partir de 14 de Agosto de 2020
Objetivo: Proteger cidadãos brasileiros
(dados privados e violações)
O que é protegido?Qualquer informação relacionada a pessoa que pode ser utilizada para identificá-lo p.ex. (nome, documentos, fotos, e-mail, posts em mídias sociais, informações médicas, incluindo mas não limitado a contatos de clientes, funcionários, contratados, etc.
Quem é Regulado?Todas as empresas ou organizações de posse de dados pessoais, independente de sua localização
Controladores de dados: entidade que determina os fins, condições e meios de tratamento dos dados pessoais
Processadores de dados: empresas que processam dados pessoais em nome dos controladores de dados
PenalidadesMultas simples ou diárias de até 2% do faturamento líquido do último ano, limitado a R$50 milhões, POR INFRAÇÃO, além de outras penalidades.
Entendendo melhor a LGPD
Titulares
A pessoal natural a quem se referem os dados pessoais que
são objeto de tratamento
Controlador
Pessoal natural ou jurídica, de direito público ou privado, a quem competem
as decisões referentes aos tratamentos de dados pessoais
Operador
Pessoa natural ou jurídica, de direito público ou privado
que realiza o tratamento de
dados em nome do controlador
Atores da LGPD Compreensão
Tratamento
ANPD
Agencia responsável pela regulação sobre a proteção de dados
pessoais. Responsável por
zelar, implementar e fiscalizar a LGPD.
Dados Pessoais
Dados Sensíveis
Encarregado (DPO)
Anonimização
01. FINALIDADE Propósitos legítimos, específicos e informados ao titular.
02. ADEQUAÇÃO Compatibilidade do tratamento com a finalidade informada.
03. NECESSIDADE Utilização dos dados mínimos necessários para o tratamento, de acordo com a finalidade.
04. LIVRE ACESSO Acesso fácil e gratuito aos dados tratados, bem como à forma e duração do tratamento.
05. QUALIDADE DOS DADOS Dados exatos, claros, relevantes e atualizados (de acordo com a necessidade e para o cumprimento da finalidade).
06. TRANSPARÊNCIA Informações claras, precisas e acessíveis aos titulares dos dados.
07. SEGURANÇA Medidas técnicas e administrativas para proteção dos dados pessoais.
08. PREVENÇÃO Adoção de medidas para prevenir a ocorrência de eventuais danos em virtude do tratamento de dados.
09. NÃO DISCRIMINAÇÃO Proibição de realização do tratamento para fins discriminatórios, ilícitos ou abusivos.
10. RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS
Adoção de medidas eficazes e capazes de comprovar o atendimento
LGPD – Os 10 princípios para o tratamento de dados pessoais (Art. 6º)
LGPD – As 10 autorizações (bases legais) dadas pela LGPD (Art. 7º)
01. CONSENTIMENTO É a única base legal onde se necessita de autorização do titular
02. CUMPRIMENTO DE OBRIGAÇÃO LEGAL Se houver uma portaria, órgão regulador ou entidade legal em que o controlador deve prestar contas
03. EXECUÇÃO DE POLÍTICA PÚBLICA O estado pode tratar dados para segurança pública, saúde etc.
04. EXECUÇÃO DE CONTRATO Quando é necessário tratar o dado para execução de um contrato, respeitando o princípio da finalidade
05. EXERCÍCIO REGULAR DO DIREITO Sempre que for necessário exercer um direito do controlador
06. PROTEÇÃO DA VIDA OU A VIDA Sempre que for necessário tratar o dado para proteger a vida do titular
07. TUTELA DE SAÚDE Não é necessário consentimento do ponto de vista público.
08. ATIVIDADE ACADÊMICA Não é necessário consentimento para finalidades acadêmicas
09. PROTEÇÃO DE CRÉDITO Não é necessário consentimento no sentido regulado, p.ex. SPC, SERASA, etc.
10. LEGÍTIMO INTERESSENão é necessário consentimento desde que o tratamento esteja baseado em situação concreta e que traga benefícios ao titular e estejam alinhadas com as expectativas do titular.
Ainda não esta claro...
Tenho que pedir consentimento a todos os titulares?
Este é um assunto jurídico ou de tecnologia?
Meus processos de negócio tem que se adequar a LGPD?
Quem esta no centro do processo de adequação a LGPD?
Posso continuar cedendo minha base de dados para meus parceiros de negócio?
Posso enquadrar tudo como Legítimo interesse?
Será que as medidas tomadas foram o suficiente?
O que ocorrerá no momento em que a lei entrar em vigor e a população tiver conhecimento?
A chave para adequação a LGPD
Governança de dados LGPD
Data PrivacyOfficer
Jurídico
Líderes de Negócio
TI
Controle geral para
responder aos titulares,
órgãos de fiscalização e
áreas de negócio
Fundamentar o
atendimento a LGPD,
gerir contratos, políticas
em parceria com o DPO
Garantir que as regras
estabelecidas são
aplicadas nos meios
digitais
Fazer valer a aplicação
da lei nos processos de
negócio e adapta-los a
nova realidade
Compliance GDPR e LGPD
EXPERIÊNCIAO EBX-MDM é utilizado atualmente por diversas empresas da União Europeia para o
tratamento da GDPR.
TEMPLATEPartindo desta experiência, em conjunto com nossos parceiros especialistas em direito
digital, construímos nosso template para LGPD, acelerando o processo de adequação,
dado o curto prazo disponibilizado pelo governo.
COMPLIANCEEste template atende plenamente os requisitos da LGPD, tratando os dados pessoais de
forma única, centralizada, governada, segura e integrada com os demais sistemas e
aplicações.
Funcionalidades Data Privacy LGPD sobre a solução EBX5 (MDM)
Workflows
Colaborativo
LifecycleFinalidade
Gestão de Processos
Direito de ser esquecido
Portabilidade de dados
Gestão Sistemas e Aplicações
Livre acesso de titulares integrado
Gestão de Ocorrências
Anonimização
Integrações via Serviços (REST/SOAP)
Gestão de Consentimentos
Auditoria
Controle de Acesso e
segurança
Qualidade de Dados
Rastreabilidade de dados
(Data Lineage)
Governança Legal integrada
Ciclo de vida de titulares
Resposta a demanda de
titulares integrada
Portal de Governança
Modelos Semânticos
Mobile
EBX GO
Gestão de Hierarquias
Gestão de operadores e
parceiros
Insights Dashboards e
KPIs
Funcionalidades nativas do EBX5 Funcionalidades aplicação Data Privacy - LGPD
Facilidade de acesso ao ambiente ebx5 para colaboração junto a workflows relacionados a LGPD, acompanhamento de ocorrências em sistemas IOS e Android
Funcionalidade de match e merge de dados, evitando dados de titulares duplicados, com falhas em seu conteúdo que possam gerar incidentes e ações contra o controlador
Acesso a legislação na integra, seus artigos, parágrafos, regras e aplicações. Além de um glossário de termos para simplificar a compreensão dos termos utilizados.
Qualidade de Dados
Governança Legal integrada
Mobile
EBX GO
Jurídico
TI
Data PrivacyOfficer
Funcionalidades Data Privacy LGPD sobre a solução EBX5 (MDM)
Funcionalidades nativas do EBX5 Funcionalidades aplicação Data Privacy - LGPD
Funcionalidade – Descrição e skill de uso
Workflow colaborativo entre todas as áres envolvidas no tratamento de dados pessoais, incluindo níveis de permissão e envio de alertas via e-mail para notificações sobre etapas pendentes.
Controle de todos os processos corporativos que realizam tratamento de dados pessoais, suas áreas, responsáveis e as finalidades de uso permitidas a cada processo.
Rastreabilidade sobre onde nasceram os dados pessoais, todos os sistemas que tratam os dados pessoais em sequencia incluindo ambientes tecnológicos
Workflows
Colaborativo
Gestão de Processos
Qualidade de Dados
Rastreabilidade de dados
(Data Lineage)
Governança Legal integrada
Mobile
EBX GO
Data PrivacyOfficer
TI
Líderes de Negócio
Funcionalidades Data Privacy LGPD sobre a solução EBX5 (MDM)
Funcionalidades nativas do EBX5 Funcionalidades aplicação Data Privacy - LGPD
Funcionalidade – Descrição e skill de uso
Indicadores de desempenho sobre os processos existentes no EBX5, tempo de resposta de incidentes, ocorrências, sistemas e aprovações de workflows. Suportando o atendimento a SLAs internos da LGPD.
Controle total do ciclo de vida das finalidades de uso, respeitando sua vigência de forma integrada ao acesso aos dados pessoais por sistemas e aplicações.
Facilidade de integração com todos os sitemas e aplicações via arquitetura de serviços para disponibilização e restrição de acessos a dados pessoais.
Data PrivacyOfficer
TI
Workflows
Colaborativo
LifecycleFinalidade
Gestão de Processos
Integrações via Serviços (REST/SOAP)
Qualidade de Dados
Rastreabilidade de dados
(Data Lineage)
Governança Legal integrada
Mobile
EBX GO
Insights Dashboards e
KPIs
Data PrivacyOfficer
Funcionalidades Data Privacy LGPD sobre a solução EBX5 (MDM)
Funcionalidades nativas do EBX5 Funcionalidades aplicação Data Privacy - LGPD
Funcionalidade – Descrição e skill de uso
Auditoria de todos os processos, autorizações e transações realizadas sob dados pessoais, incluindo rastreabilidade, usuário e horário da realização.
Funcionalidade que permite aos titulares a exclusão/anonimização de seus dados de todos os sistemas e aplicações, com exceção de locais com finalidade restritiva de direito do controlador.
Funcionalidade que permite ao titular a portabilidade de seus dados pessoais de forma integrada com portais corporativos e áreas web de acesso dos titulares.
Workflows
Colaborativo
LifecycleFinalidade
Gestão de Processos
Direito de ser esquecido
Portabilidade de dados
Integrações via Serviços (REST/SOAP)
Auditoria
Qualidade de Dados
Rastreabilidade de dados
(Data Lineage)
Governança Legal integrada
Mobile
EBX GO
Insights Dashboards e
KPIs
Data PrivacyOfficer
Data PrivacyOfficer
Data PrivacyOfficer
Funcionalidades Data Privacy LGPD sobre a solução EBX5 (MDM)
Funcionalidades nativas do EBX5 Funcionalidades aplicação Data Privacy - LGPD
Funcionalidade – Descrição e skill de uso
Gestão de hierarquias para dados pessoais, incluindo tratamento de menores de dados e seus responsáveis legais.
Gestão dos sistemas e aplicações que possuem atividades de tratamento de dados pessoais, incluindo os processos e áreas usuárias destes sistemas.
Funcionalidade que permite (via serviços ou encapsulamento) o acesso dos titulares a seus dados pessoais, consentimentos, finalidades e abertura de requisições de informações adicionais.
Gestão Sistemas e Aplicações
Livre acesso de titulares integrado
Gestão de Ocorrências
Anonimização Gestão de Consentimentos
Controle de Acesso e
segurança
Ciclo de vida de titulares
Resposta a demanda de
titulares integrada
Portal de Governança
Modelos Semânticos
Gestão de Hierarquias
Controle para menores
Data PrivacyOfficer
TI
Data PrivacyOfficer
Funcionalidades Data Privacy LGPD sobre a solução EBX5 (MDM)
Funcionalidades nativas do EBX5 Funcionalidades aplicação Data Privacy - LGPD
Funcionalidade – Descrição e skill de uso
Gestão de ocorrências e incidentes identificados com dados de titulares, controle das ações e workflow de acompanhamento com SLAs de atendimento.
Processo de anonimização dos dados pessoais em todas as bases, sistemas e aplicações do controlador via integração de serviços com exceção de locais com finalidade restritiva de direito do controlador.
Funcionalidade que permite (via serviços ou encapsulamento) a resposta das requisições de titulares via portal ou aplicações em uso pelo controlador.
Gestão de Ocorrências
Anonimização Gestão de Consentimentos
Controle de Acesso e
segurança
Ciclo de vida de titulares
Resposta a demanda de
titulares integrada
Portal de Governança
Modelos Semânticos
Controle para menores
Data PrivacyOfficer
TI
Data PrivacyOfficer
Funcionalidades Data Privacy LGPD sobre a solução EBX5 (MDM)
Funcionalidades nativas do EBX5 Funcionalidades aplicação Data Privacy - LGPD
Funcionalidade – Descrição e skill de uso
Gestão de dados de menores de idade atrelada ao consentimento expresso ou embasado legalmente de seus responsáveis.
Acessos aos dados orientados a serviços com token de acesso para sistemas, aplicações e usuários, com estrutura de gestão de privilégios específicos para acesso a dados pessoais.
Controle do ciclo de vida dos dados de titulares aplicado a colaboradores, funcionários, clientes, etc. Mudanças de papel junto ao controlador ao longo do tempo, evitando herança de consentimento.
Gestão de Consentimentos
Controle de Acesso e
segurança
Ciclo de vida de titulares
Portal de Governança
Modelos Semânticos
Controle para menores
Data PrivacyOfficer
TI
Data PrivacyOfficer
Funcionalidades Data Privacy LGPD sobre a solução EBX5 (MDM)
Funcionalidades nativas do EBX5 Funcionalidades aplicação Data Privacy - LGPD
Funcionalidade – Descrição e skill de uso
Modelagem de dados elaborada para preservação dos dados pessoais, evitando acessos diretos a bancos de dados para extração de dados pessoias.
Gestão dos consentimentos e revogações do uso de dados pessoais pelo titular, integrada aos serviços e processos de anonimização de dados em tempo real.
Portal único de acesso a todas as funcionalidades para o atendimento a LGPD.
Gestão de Consentimentos
Portal de Governança
Modelos Semânticos
Data PrivacyOfficer
TI
Data PrivacyOfficer
Funcionalidades Data Privacy LGPD sobre a solução EBX5 (MDM)
Funcionalidades nativas do EBX5 Funcionalidades aplicação Data Privacy - LGPD
Funcionalidade – Descrição e skill de uso
Iniciação
Capacitacao e Tecnologia
• Levantamento com as áreas
• Mapeamento
• Políticas de privacidade
• Modelo de governança
• Adequação dos sistemas e aplicações
• Implantação da solução
• Anonimização dos dados necessários
• Implantação dos processos
• Treinamento do DPO
• Capacitação dos usuários técnicos.
• Orientações de Privacy by Design
• Recomendações técnicas finaisAdequação técnica e Governança
• Inventário de sistemas, aplicações e bases de dados
• Matriz de classificação
• Detalhamento Segurança da Informação
• Roadmap para Adequação técnica
Inventário e Classificação
Roadmap para adequação a LGPD
• Identificação de finalidades de uso
• Verificação do grau de aplicabilidade da lei
• Priorização das ações para adequação.
• Análise de riscos e relatório de impacto pré-adequação
• Roadmap para adequação jurídica
Análise de GAP
Adequação Jurídica
Capacitacao Jurídica
• Regularizar a base jurídica
• Suporte a revisão de contratos
• Suporte a adequação para em meios físicos
• Relatório de impacto pós-adequação.
• Preparação para resposta a acionamentos.
• Capacitação do DPO e demais envolvidos.
• Recomendações jurídicas finais.