LEI GERAL DE PROTEÇÃO DE DADOS

Quem somos ?

A TRUZZI Advogados é um escritório de advocacia especializado em direito digitale segurança da informação, que atua nas esferas consultiva e contenciosa do

direito digital desde 2005.

Equipe e especialização:

• Direito Digital e Segurança da Informação: Giselle Truzzi

• Propriedade intelectual, direito tributário e compliance: Marcelo Nogueira Mallen da

Silva

• Forense Digital: Erasmo Guimarães

• Marketing Legal e Promoções comerciais: Marcela Macedo

• Processo Civil e Comunicação Digital: Leonardo Serra de Almeida Pacheco

Portfólio Consultivo em Direito Digital

• Serviços jurídicos para Contencioso em Direito Digital – Serviços Jurídicos

• Análise, revisão e elaboração de contratos e termos de confidencialidade

• Acompanhamento de perícias técnicas e elaboração de parecer jurídico

• Elaboração e revisão de termos de uso e políticas de privacidade de sites,

portais e aplicativos

• Desenvolvimento de treinamento in-company sobre segurança da informação,

direito digital e conscientização do uso de recursos tecnológicos.

• Auditoria de sites, portais, aplicativos e monitoramento da marca ou dados

pessoais/nome na internet e remoção de conteúdo ofensivo/difamatório

publicado na internet.

• Registro de marca, proteção da propriedade industrial, intelectual e dos direitos

autorais.

• Elaboração e revisão de Política de Segurança da Informação (PSI) e Normas

de Segurança da Informação (NSI)

Em 2.014 a Orchestra Networks a Infogix, a Syncsort e a Adaptive decidiramunir-se para criação de uma subsidiária de suas soluções para América Latina,

desta forma surgiu a DRZ com presença regional e focada em soluções de

software para gerenciamento de dados em grandes clientes.

A Smart Data & Analytics (SDNA) é parte da DRZ porém ocada em serviçosespecializados de transformação digital, compliance, gerenciamento dedados, analytics e inteligência artificial.

Nosso propósito:Apoiar as organizações para se tornarem competitivas na era digital,expandindo sua capacidade de diferenciação, antecipando demandas domercado e regulatórias, com soluções inovadoras, flexíveis e adaptáveis parasuperar desafios de negócio.

Nosso portfólio de serviços:

• Governança de dados e informações (Data-driven)

• Gerenciamento de dados corporativos e compliance

• Data Science, Advanced Analytics e Inteligência Artificial

• Inovação e transformação digital

Nossos Escritórios:

1995

GDPR – Contexto Geral

GDPR - General Data ProtectionRegulation - 25 de Maio de 2018

Objetivo: Proteger cidadãos europeus

(dados privados e violações)

O que é protegido?Qualquer informação relacionada a pessoa que pode ser utilizada direta ou indiretamente p.ex. (nome, fotos, e-mail, detalhes bancários, posts em mídias sociais, informações médicas, endereços IP, incluindo mas não limitado a contatos de clientes, funcionários, contratados, etc.

Quem é Regulado?Todas as empresas ou organizações de posse de dados pessoais residentes na união europeia, independente de sua localização

Controladores de dados: entidade que determina os fins, condições e meios de tratamento dos dados pessoais

Processadores de dados: empresas que processam dados pessoais em nome dos controladores de dados

PenalidadesMultas de 4% do volume de negócios globais anuais por violação dos princípios básicos da GDPR ou 20 milhões de euros; ou 2% por não ter seus registros em ordem (Art. 30), não notificando a autoridade de supervisão sobre uma violação de dados incluindo avaliação de impacto. O mais importante agora é mostrar a responsabilidade da organização para o GDPR

LGPD – Contexto Geral

LGPD – Lei Geral de Proteção de Dados de 14 de Agosto de 2018 –Vigente a partir de 14 de Agosto de 2020

Objetivo: Proteger cidadãos brasileiros

(dados privados e violações)

O que é protegido?Qualquer informação relacionada a pessoa que pode ser utilizada para identificá-lo p.ex. (nome, documentos, fotos, e-mail, posts em mídias sociais, informações médicas, incluindo mas não limitado a contatos de clientes, funcionários, contratados, etc.

Quem é Regulado?Todas as empresas ou organizações de posse de dados pessoais, independente de sua localização

Controladores de dados: entidade que determina os fins, condições e meios de tratamento dos dados pessoais

Processadores de dados: empresas que processam dados pessoais em nome dos controladores de dados

PenalidadesMultas simples ou diárias de até 2% do faturamento líquido do último ano, limitado a R$50 milhões, POR INFRAÇÃO, além de outras penalidades.

Entendendo melhor a LGPD

Titulares

A pessoal natural a quem se referem os dados pessoais que

são objeto de tratamento

Controlador

Pessoal natural ou jurídica, de direito público ou privado, a quem competem

as decisões referentes aos tratamentos de dados pessoais

Operador

Pessoa natural ou jurídica, de direito público ou privado

que realiza o tratamento de

dados em nome do controlador

Atores da LGPD Compreensão

Tratamento

ANPD

Agencia responsável pela regulação sobre a proteção de dados

pessoais. Responsável por

zelar, implementar e fiscalizar a LGPD.

Dados Pessoais

Dados Sensíveis

Encarregado (DPO)

Anonimização

01. FINALIDADE Propósitos legítimos, específicos e informados ao titular.

02. ADEQUAÇÃO Compatibilidade do tratamento com a finalidade informada.

03. NECESSIDADE Utilização dos dados mínimos necessários para o tratamento, de acordo com a finalidade.

04. LIVRE ACESSO Acesso fácil e gratuito aos dados tratados, bem como à forma e duração do tratamento.

05. QUALIDADE DOS DADOS Dados exatos, claros, relevantes e atualizados (de acordo com a necessidade e para o cumprimento da finalidade).

06. TRANSPARÊNCIA Informações claras, precisas e acessíveis aos titulares dos dados.

07. SEGURANÇA Medidas técnicas e administrativas para proteção dos dados pessoais.

08. PREVENÇÃO Adoção de medidas para prevenir a ocorrência de eventuais danos em virtude do tratamento de dados.

09. NÃO DISCRIMINAÇÃO Proibição de realização do tratamento para fins discriminatórios, ilícitos ou abusivos.

10. RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS

Adoção de medidas eficazes e capazes de comprovar o atendimento

LGPD – Os 10 princípios para o tratamento de dados pessoais (Art. 6º)

LGPD – As 10 autorizações (bases legais) dadas pela LGPD (Art. 7º)

01. CONSENTIMENTO É a única base legal onde se necessita de autorização do titular

02. CUMPRIMENTO DE OBRIGAÇÃO LEGAL Se houver uma portaria, órgão regulador ou entidade legal em que o controlador deve prestar contas

03. EXECUÇÃO DE POLÍTICA PÚBLICA O estado pode tratar dados para segurança pública, saúde etc.

04. EXECUÇÃO DE CONTRATO Quando é necessário tratar o dado para execução de um contrato, respeitando o princípio da finalidade

05. EXERCÍCIO REGULAR DO DIREITO Sempre que for necessário exercer um direito do controlador

06. PROTEÇÃO DA VIDA OU A VIDA Sempre que for necessário tratar o dado para proteger a vida do titular

07. TUTELA DE SAÚDE Não é necessário consentimento do ponto de vista público.

08. ATIVIDADE ACADÊMICA Não é necessário consentimento para finalidades acadêmicas

09. PROTEÇÃO DE CRÉDITO Não é necessário consentimento no sentido regulado, p.ex. SPC, SERASA, etc.

10. LEGÍTIMO INTERESSENão é necessário consentimento desde que o tratamento esteja baseado em situação concreta e que traga benefícios ao titular e estejam alinhadas com as expectativas do titular.

Ainda não esta claro...

Tenho que pedir consentimento a todos os titulares?

Este é um assunto jurídico ou de tecnologia?

Meus processos de negócio tem que se adequar a LGPD?

Quem esta no centro do processo de adequação a LGPD?

Posso continuar cedendo minha base de dados para meus parceiros de negócio?

Posso enquadrar tudo como Legítimo interesse?

Será que as medidas tomadas foram o suficiente?

O que ocorrerá no momento em que a lei entrar em vigor e a população tiver conhecimento?

A chave para adequação a LGPD

Governança de dados LGPD

Data PrivacyOfficer

Jurídico

Líderes de Negócio

TI

Controle geral para

responder aos titulares,

órgãos de fiscalização e

áreas de negócio

Fundamentar o

atendimento a LGPD,

gerir contratos, políticas

em parceria com o DPO

Garantir que as regras

estabelecidas são

aplicadas nos meios

digitais

Fazer valer a aplicação

da lei nos processos de

negócio e adapta-los a

nova realidade

Clique para editar o título Mestre

Como endereçamos

a LGPD?

Como em endereçamos

a LGPD?

Compliance GDPR e LGPD

EXPERIÊNCIAO EBX-MDM é utilizado atualmente por diversas empresas da União Europeia para o

tratamento da GDPR.

TEMPLATEPartindo desta experiência, em conjunto com nossos parceiros especialistas em direito

digital, construímos nosso template para LGPD, acelerando o processo de adequação,

dado o curto prazo disponibilizado pelo governo.

COMPLIANCEEste template atende plenamente os requisitos da LGPD, tratando os dados pessoais de

forma única, centralizada, governada, segura e integrada com os demais sistemas e

aplicações.

Funcionalidades Data Privacy LGPD sobre a solução EBX5 (MDM)

Workflows

Colaborativo

LifecycleFinalidade

Gestão de Processos

Direito de ser esquecido

Portabilidade de dados

Gestão Sistemas e Aplicações

Livre acesso de titulares integrado

Gestão de Ocorrências

Anonimização

Integrações via Serviços (REST/SOAP)

Gestão de Consentimentos

Auditoria

Controle de Acesso e

segurança

Qualidade de Dados

Rastreabilidade de dados

(Data Lineage)

Governança Legal integrada

Ciclo de vida de titulares

Resposta a demanda de

titulares integrada

Portal de Governança

Modelos Semânticos

Mobile

EBX GO

Gestão de Hierarquias

Gestão de operadores e

parceiros

Insights Dashboards e

KPIs

Funcionalidades nativas do EBX5 Funcionalidades aplicação Data Privacy - LGPD

Facilidade de acesso ao ambiente ebx5 para colaboração junto a workflows relacionados a LGPD, acompanhamento de ocorrências em sistemas IOS e Android

Funcionalidade de match e merge de dados, evitando dados de titulares duplicados, com falhas em seu conteúdo que possam gerar incidentes e ações contra o controlador

Acesso a legislação na integra, seus artigos, parágrafos, regras e aplicações. Além de um glossário de termos para simplificar a compreensão dos termos utilizados.

Qualidade de Dados

Governança Legal integrada

Mobile

EBX GO

Jurídico

TI

Data PrivacyOfficer

Funcionalidades Data Privacy LGPD sobre a solução EBX5 (MDM)

Funcionalidades nativas do EBX5 Funcionalidades aplicação Data Privacy - LGPD

Funcionalidade – Descrição e skill de uso

Workflow colaborativo entre todas as áres envolvidas no tratamento de dados pessoais, incluindo níveis de permissão e envio de alertas via e-mail para notificações sobre etapas pendentes.

Controle de todos os processos corporativos que realizam tratamento de dados pessoais, suas áreas, responsáveis e as finalidades de uso permitidas a cada processo.

Rastreabilidade sobre onde nasceram os dados pessoais, todos os sistemas que tratam os dados pessoais em sequencia incluindo ambientes tecnológicos

Workflows

Colaborativo

Gestão de Processos

Qualidade de Dados

Rastreabilidade de dados

(Data Lineage)

Governança Legal integrada

Mobile

EBX GO

Data PrivacyOfficer

TI

Líderes de Negócio

Funcionalidades Data Privacy LGPD sobre a solução EBX5 (MDM)

Funcionalidades nativas do EBX5 Funcionalidades aplicação Data Privacy - LGPD

Funcionalidade – Descrição e skill de uso

Indicadores de desempenho sobre os processos existentes no EBX5, tempo de resposta de incidentes, ocorrências, sistemas e aprovações de workflows. Suportando o atendimento a SLAs internos da LGPD.

Controle total do ciclo de vida das finalidades de uso, respeitando sua vigência de forma integrada ao acesso aos dados pessoais por sistemas e aplicações.

Facilidade de integração com todos os sitemas e aplicações via arquitetura de serviços para disponibilização e restrição de acessos a dados pessoais.

Data PrivacyOfficer

TI

Workflows

Colaborativo

LifecycleFinalidade

Gestão de Processos

Integrações via Serviços (REST/SOAP)

Qualidade de Dados

Rastreabilidade de dados

(Data Lineage)

Governança Legal integrada

Mobile

EBX GO

Insights Dashboards e

KPIs

Data PrivacyOfficer

Funcionalidades Data Privacy LGPD sobre a solução EBX5 (MDM)

Funcionalidades nativas do EBX5 Funcionalidades aplicação Data Privacy - LGPD

Funcionalidade – Descrição e skill de uso

Auditoria de todos os processos, autorizações e transações realizadas sob dados pessoais, incluindo rastreabilidade, usuário e horário da realização.

Funcionalidade que permite aos titulares a exclusão/anonimização de seus dados de todos os sistemas e aplicações, com exceção de locais com finalidade restritiva de direito do controlador.

Funcionalidade que permite ao titular a portabilidade de seus dados pessoais de forma integrada com portais corporativos e áreas web de acesso dos titulares.

Workflows

Colaborativo

LifecycleFinalidade

Gestão de Processos

Direito de ser esquecido

Portabilidade de dados

Integrações via Serviços (REST/SOAP)

Auditoria

Qualidade de Dados

Rastreabilidade de dados

(Data Lineage)

Governança Legal integrada

Mobile

EBX GO

Insights Dashboards e

KPIs

Data PrivacyOfficer

Data PrivacyOfficer

Data PrivacyOfficer

Funcionalidades Data Privacy LGPD sobre a solução EBX5 (MDM)

Funcionalidades nativas do EBX5 Funcionalidades aplicação Data Privacy - LGPD

Funcionalidade – Descrição e skill de uso

Gestão de hierarquias para dados pessoais, incluindo tratamento de menores de dados e seus responsáveis legais.

Gestão dos sistemas e aplicações que possuem atividades de tratamento de dados pessoais, incluindo os processos e áreas usuárias destes sistemas.

Funcionalidade que permite (via serviços ou encapsulamento) o acesso dos titulares a seus dados pessoais, consentimentos, finalidades e abertura de requisições de informações adicionais.

Gestão Sistemas e Aplicações

Livre acesso de titulares integrado

Gestão de Ocorrências

Anonimização Gestão de Consentimentos

Controle de Acesso e

segurança

Ciclo de vida de titulares

Resposta a demanda de

titulares integrada

Portal de Governança

Modelos Semânticos

Gestão de Hierarquias

Controle para menores

Data PrivacyOfficer

TI

Data PrivacyOfficer

Funcionalidades Data Privacy LGPD sobre a solução EBX5 (MDM)

Funcionalidades nativas do EBX5 Funcionalidades aplicação Data Privacy - LGPD

Funcionalidade – Descrição e skill de uso

Gestão de ocorrências e incidentes identificados com dados de titulares, controle das ações e workflow de acompanhamento com SLAs de atendimento.

Processo de anonimização dos dados pessoais em todas as bases, sistemas e aplicações do controlador via integração de serviços com exceção de locais com finalidade restritiva de direito do controlador.

Funcionalidade que permite (via serviços ou encapsulamento) a resposta das requisições de titulares via portal ou aplicações em uso pelo controlador.

Gestão de Ocorrências

Anonimização Gestão de Consentimentos

Controle de Acesso e

segurança

Ciclo de vida de titulares

Resposta a demanda de

titulares integrada

Portal de Governança

Modelos Semânticos

Controle para menores

Data PrivacyOfficer

TI

Data PrivacyOfficer

Funcionalidades Data Privacy LGPD sobre a solução EBX5 (MDM)

Funcionalidades nativas do EBX5 Funcionalidades aplicação Data Privacy - LGPD

Funcionalidade – Descrição e skill de uso

Gestão de dados de menores de idade atrelada ao consentimento expresso ou embasado legalmente de seus responsáveis.

Acessos aos dados orientados a serviços com token de acesso para sistemas, aplicações e usuários, com estrutura de gestão de privilégios específicos para acesso a dados pessoais.

Controle do ciclo de vida dos dados de titulares aplicado a colaboradores, funcionários, clientes, etc. Mudanças de papel junto ao controlador ao longo do tempo, evitando herança de consentimento.

Gestão de Consentimentos

Controle de Acesso e

segurança

Ciclo de vida de titulares

Portal de Governança

Modelos Semânticos

Controle para menores

Data PrivacyOfficer

TI

Data PrivacyOfficer

Funcionalidades Data Privacy LGPD sobre a solução EBX5 (MDM)

Funcionalidades nativas do EBX5 Funcionalidades aplicação Data Privacy - LGPD

Funcionalidade – Descrição e skill de uso

Modelagem de dados elaborada para preservação dos dados pessoais, evitando acessos diretos a bancos de dados para extração de dados pessoias.

Gestão dos consentimentos e revogações do uso de dados pessoais pelo titular, integrada aos serviços e processos de anonimização de dados em tempo real.

Portal único de acesso a todas as funcionalidades para o atendimento a LGPD.

Gestão de Consentimentos

Portal de Governança

Modelos Semânticos

Data PrivacyOfficer

TI

Data PrivacyOfficer

Funcionalidades Data Privacy LGPD sobre a solução EBX5 (MDM)

Funcionalidades nativas do EBX5 Funcionalidades aplicação Data Privacy - LGPD

Funcionalidade – Descrição e skill de uso

Por onde começar?

Iniciação

Capacitacao e Tecnologia

• Levantamento com as áreas

• Mapeamento

• Políticas de privacidade

• Modelo de governança

• Adequação dos sistemas e aplicações

• Implantação da solução

• Anonimização dos dados necessários

• Implantação dos processos

• Treinamento do DPO

• Capacitação dos usuários técnicos.

• Orientações de Privacy by Design

• Recomendações técnicas finaisAdequação técnica e Governança

• Inventário de sistemas, aplicações e bases de dados

• Matriz de classificação

• Detalhamento Segurança da Informação

• Roadmap para Adequação técnica

Inventário e Classificação

Roadmap para adequação a LGPD

• Identificação de finalidades de uso

• Verificação do grau de aplicabilidade da lei

• Priorização das ações para adequação.

• Análise de riscos e relatório de impacto pré-adequação

• Roadmap para adequação jurídica

Análise de GAP

Adequação Jurídica

Capacitacao Jurídica

• Regularizar a base jurídica

• Suporte a revisão de contratos

• Suporte a adequação para em meios físicos

• Relatório de impacto pós-adequação.

• Preparação para resposta a acionamentos.

• Capacitação do DPO e demais envolvidos.

• Recomendações jurídicas finais.

Obrigado!

24

25

Contatos

GISELE TRUZZIgisele@truzzi.com.brwww.truzzi.com.br

ANDERSON PRIMOSIC COSTAanderson@sdnadigital.comwww.sdnadigital.com