Embed Size (px)
Citation preview
b éProteção de dados e riscos cibernéticos: como se prevenir na área jurídicacomo se prevenir na área jurídica
Márcio Mello Chaves
á i ll h• Advogado especialista em Direito Digital, Sócio do escritório Patricia Peck Pinheiro
Advogados e da Peck Sleiman EDU
Márcio Mello ChavesAdvogados e da Peck Sleiman EDU
• Professor dos cursos de MBA em Segurança da Informação do Centro UniversitárioUNA (BH/MG) e em Gestão da Inovação e Direito Digital da FIA Business School
• Mestre em Propriedade Intelectual pela Organização Mundial de PropriedadeIntelectual OMPI, Genebra/Suíça e Università Degli Studi di Torino, Turim/Itália
• Formado Direito com foco em Direito Empresarial pela Faculdade de Direito Milton• Formado Direito com foco em Direito Empresarial pela Faculdade de Direito MiltonCampos, Belo Horizonte/Brasil
• Extensão em Direitos Autorais Avançados na Organização Mundial de PropriedadeIntelectual WIPO Academy (Genebra/Suíça), em Direito da Mídia na Faculdade deDireito da Fundação Getúlio Vargas, FGV‐RIO (Rio de Janeiro, Brasil), e em Direito deInformática na Faculdade de Direito da PUC Minas (Belo Horizonte)Informática na Faculdade de Direito da PUC Minas (Belo Horizonte)
• Membro do Capítulo Brasileiro da Internet Society ‐ ISOC‐Brasil, do Instituto Brasileirode Direito Digital (IBDDIG) e da Association for the Advancement of Artificial
( )Intelligence (AAAI)• Coautor dos Livros “WIPO IP Research Papers” pela World Intellectual Property
Organization (WIPO) Academy, 2010 e “Direito Digital Aplicado 2.0” (RT, 2016)Organization (WIPO) Academy, 2010 e Direito Digital Aplicado 2.0 (RT, 2016)
Sobre o Peck AdvogadosSobre o Peck Advogados• 13 anos de atuação exclusiva em Direito
Digital• 13 anos de atuação exclusiva em Direito
Digital• Referência nacional em Direito Digital, propriedade intelectual, segurança
da informação, combate à fraude e compliance com as novasregulamentações
• Referência nacional em Direito Digital, propriedade intelectual, segurançada informação, combate à fraude e compliance com as novasregulamentações
• Time de 30 profissionais de formação multidisciplinar• Time de 30 profissionais de formação multidisciplinar
• Mais de 1.500 clientes, de 36 segmentos de mercado,no Brasil, EUA, Europa, Ásia e América Latina
• Mais de 1.500 clientes, de 36 segmentos de mercado,no Brasil, EUA, Europa, Ásia e América Latina, , p ,, , p ,
• Atuação no consultivo, contencioso e capacitação• Atuação no consultivo, contencioso e capacitação
• Apoiador do iStart, Instituto de responsabilidade socialdigital fundado em 2009
• Apoiador do iStart, Instituto de responsabilidade socialdigital fundado em 2009digital fundado em 2009digital fundado em 2009
Principais prêmios recebidosPrincipais prêmios recebidos
Pelo décimo ano consecutivo o Peck Advogados foireconhecido como um dos escritórios mais admiradosPelo décimo ano consecutivo o Peck Advogados foireconhecido como um dos escritórios mais admiradosdo país pelo mercado de executivos jurídicos efinanceiros - Análise Advocacia 500do país pelo mercado de executivos jurídicos efinanceiros - Análise Advocacia 500
Leaders League 2017Categorias Security LeadersCategoriasTecnologia
Data Protection
Security Leaders2012 e 2015
Principais certificaçõesPrincipais certificações
MODELO ATUAL DA INDÚSTRIA 4.0
ALGORITIMO ÊBIG DATAALGORITIMO INTELIGENTE
MAIOR PODER DE PROCESSAMENTO
INTELIGÊNCIA ARTIFICIAL
6
Dados são a riqueza da sociedade qdigitalCENTRO
TRANSPARÊNCIA
MODELO
S C
NEGÓCIO
REGULAMENTAÇÃO(padronização de regras)
DADOS
CONTROLES(verificação se estácumprindo as regras)cumprindo as regras)
7
O maior desafio da sociedade digital é gaplicar valores culturais e regras jurídicas de vários ordenamentos jurídicos de usuáriosvários ordenamentos jurídicos, de usuários
que podem estar em qualquer lugar
LIBERDADE CONTROLEXLIBERDADE CONTROLEX
EQUAÇÃO DOS MODELOS DE NEGÓCIOS (3 R): RECEITA, RISCO e RESPONSABILIDADE
8
Riscos cibernéticos e proteção de d dNos últimos 13 anos a Segurança a Informação deixou de ser
um tema da TI e alcançou o alto escalão das instituições,dados
passando a ser uma disciplina de governança corporativaessencial para gestão de riscos na era Digital
Desde 2010 temos o fenômeno da consumerização e dabilid d t d d fimobilidade trazendo novos desafios
A área de TI deixou de ter o controle dos recursos utilizadosA área de TI deixou de ter o controle dos recursos utilizadospelos colaboradores, inclusive com o uso de dispositivosparticulares no ambiente corporativoparticulares no ambiente corporativo
Ransomware...
http://www.valor.com.br/internacional/4966934/megaciberataque‐derruba‐sistemas‐de‐comunicacao‐ao‐redor‐do‐mundo; http://www.valor.com.br/empresas/4967124/ataque‐de‐hackers‐atinge‐o‐brasil‐inss‐do‐rio‐e‐tj‐sp‐sao‐afetados ‐
https://www.nomoreransom.org/ransomware‐qa.html
http://www.crimespelainternet.com.br/cibercrime‐brasileiro‐cria‐seu‐primeiro‐virus‐sequestrador/
Bolware...
Uso de códigos maliciosos parag palterar o conteúdo de boletos
Mistura das palavras “boleto” com“mal are” q e é m código“malware”, que é um código(software) malicioso desenvolvidocom o intuito de danificar oudesativar computadores e sistemas
Fonte: Folhapress, disponível http://www.jornalcruzeiro.com.br/materia/667315/secretaria‐alerta‐para‐golpes‐em‐apps‐de‐celular, Acessado em 08.01.2016 (finalidade educacional).
Sequestro de lockers...
O gerente do hotelO gerente do hotelinformou que nãoutilizará mais fechadurasutilizará mais fechaduraseletrônicas
O hotel não havia umplano de gerenciamentop gde riscos
http://exame.abril.com.br/tecnologia/hackers‐trancam‐hospedes‐em‐hotel‐e‐exigem‐resgate‐em‐bitcoin/
Phishing...Phishing...
Fonte:olhardigital.uol.com.br/fique_seguro/noticia/golpe‐no‐whatsapp‐se‐disfarca‐de‐cupom‐de‐descontos‐do‐burger‐king/58794.Acessado em 07.06.2016
Phishing...Phishing...
Fonte:www.portaldoholanda.com.br/aplicativo/conheca‐os‐principais‐golpes‐no‐whatsapp.Acessado em 07.06.2016
Zero-day flaws...https://www.cnet.com/news/bluetooth‐devices‐vulnerable‐to‐hack‐blueborne‐armis‐labs/?ftag=COS‐05‐10‐aaa0a&linkId=42155349
Pesquisa Kaspersky Lab – 1º Trimestre 2017
Fonte: http://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&infoid=45238&sid=18 ‐ Acesso em: 23 mai. 2017.
Em tempos de IoT...Pesquisa IBM Arxan Technologies e Ponemon Institute publicada em janeiro/2017:
• As empresas estão despreparadas para lidar com asvulnerabilidades relacionada a IoT
Pesquisa IBM, Arxan Technologies e Ponemon Institute publicada em janeiro/2017:
vulnerabilidades relacionada a IoT• Muitas organizações estão preocupadas com ataquescontra dispositivos móveis e IoT apps usados no ambientecontra dispositivos móveis e IoT apps usados no ambientede trabalho
• Os entrevistados estão mais preocupados com a• Os entrevistados estão mais preocupados com apossibilidade de serem invadidos por intermédio de umaplicativo IoT (58%) do que por meio de um dispositivop ( ) q p pmóvel (53%)
• Apesar da aparente preocupação, as organizações não sepesa da apa e te p eocupação, as o ga ações ão semobilizam contra a ameaça
https://www‐01.ibm.com/marketing/iwm/dre/signup?source=mrs‐form‐12155&S_PKG=ov56535&ce=ISM0484&ct=SWG&cmp=IBMSocial&cm=h&cr=Security&ccy=US
Enquanto isso, no Brasil...• De acordo com a 23ª edição do Internet Security Threat Report(ISTR), relatório anual de segurança da Symantec, o Brasil ocupaposição de destaque global quando se trata de ameaças como:
• spam (3ª colocação)• bots (4ª)• criptojacking (7ª)
• Dos 157 países analisados pelo ISTR, o Brasil é o 7º que mais geraataques cibernéticos, atrás de Estados Unidos, China, Índia, Rússia,qAlemanha e Japão
• Na América Latina, o país ocupa a primeira posição, com 3.39% dos, p p p p ç ,ataques globais. O México, que é o segundo país da região, geramenos da metade, 1.20%
O ISTR da Symantec fornece uma visão abrangente das ameaças, incluindo informações sobre as atividades das ameaças globais, as tendências doscriminosos cibernéticos e as motivações dos hackers. O relatório analisa os dados da Symantec Global Intelligence Network™, a maior rede civil decoleta de ameaças do mundo. Ela rastreia mais de 700.000 adversários globais, registra os eventos de 126.5 milhões de sensores de ataqueespalhados pelo mundo e monitora as atividades das ameaças em mais de 157 países e territórios.
Fonte: Folhapress, disponível http://www.jornalcruzeiro.com.br/materia/667315/secretaria‐alerta‐para‐golpes‐em‐apps‐de‐celular, Acessado em 08.01.2016 (finalidade educacional).http://www.cnbc.com/2016/10/22/ddos‐attack‐sophisticated‐highly‐distributed‐involved‐millions‐of‐ip‐addresses‐dyn.html
Inovação IOTBIG DATA
NOVOS RISCOS DIGITAISNOVAS
Tecnológica BIG DATAAI REGULAMENTAÇÕES
EMPRESAS = LESS PaperMore Business
NOVOS MODELOS DE NEGÓCIO
24
25
FACEBOOK NA MIRAUso dados dos usuarios para fins publicitários sem consentimentoUso dados dos usuarios para fins publicitários sem consentimentoprévio expresso (Facebook não informa claramente a finalidade deuso dos dados em sua política de privacidade, não coletauso dos dados em sua política de privacidade, não coletaconsentimento inequívoco, específico nem apaga a informação dosusuarios quando já não seja mais útil para o propósito que tenhamusuarios quando já não seja mais útil para o propósito que tenhamsido coletados) – CONSENTIMENTOS E GESTÃO DE BASE DE DADOS
• Investigação feita conjuntamente pelas autoridades de proteçãode dados da Espanha, França, Bélgica, Holanda e Alemanha
• Cada Autoridade emitiu um parecer de descumprimento da leieuropéia de proteção de dados, e além da Espanha, a França játinha imposto ao Facebook uma multa de 150.000 Euros
26Fonte: http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2017/notas_prensa/news/2017_09_11‐ides‐idphp.php
G l D t P t ti R l tiGeneral Data Protection Regulation (GDPR)(GDPR)
28 Interpretações de diretiva de Un regulamento de proteção de dados harmonizado
ANTES: 2018:28 Interpretações de diretiva de
proteção de dadosUn regulamento de proteção de dados harmonizado
em todos os Países da Comunidade Européia
Direito ao Esquecimento Consentimento prévio Data Protection Officer
Extraterritorialidade de GDPR Responsabilidade solidária de controladores e processadores de dados
Multas e sanções Notificação obrigatória de descumprimento(breaches)
27
Impactos da GDPRAprovada em abril de 2016 Entra em vigor em 25 de maio de 2018Aprovada em abril de 2016 ‐ Entra em vigor em 25 de maio de 2018
Afeta todas as empresas que manipulam e tratam dados pessoais envolvendo 3públicos (consumidores, funcionários e acionistas) que sejam de cidadãos da Uniãop ( ) q jEuropeia (UE), ou cidadãos de outras nacionalidades mas residentes na UniãoEuropéia ou que os dados estejam armazenados no território da União Européia ouque possua fluxo internacional de dados com empresas que realize negócios com aUnião Européia.
Segmentos mais impactados: Multinacionais com matriz na Europa e operações emoutros países Principalmente quem opera cartão de crédito meios de pagamentooutros países. Principalmente quem opera cartão de crédito, meios de pagamento,financeiro, seguros (viagem, saúde, vida), transporte (aplicativos), turismo (ciasaéreas, aeroportos, hotéis, sites de pacotes de turismo), consumidor (oferta de bense serviços em plataformas online globais), automotivo (com uso de IoT e IA)e serviços em plataformas online globais), automotivo (com uso de IoT e IA)
Exemplo 1:
A transferência internacional de dados dentro de um mesmo grupo empresarial ou de umamesma empresa também aplica GDPR (ex: Matriz na França, Espanha, Portugal, Italia,Alemanha, etc, com operações também no Brasil e que haja fluxo de executivos de um local
t b d d d d li t )para outro bem como de dados de clientes)
28
Impactos da GDPR
Awareness PhaseAwareness Phase
Have concerns about ability to become compliant
9 in 10
Awareness PhaseWhat is it and does it really impact me?
Awareness PhaseWhat is it and does it really impact me?
Discovery & PlanningWhat do I need to do and when by?
Discovery & PlanningWhat do I need to do and when by?
o Awareness & Educationo Organisational Buy‐Ino High‐level Risk Assessments
Consider compliance at top priority in the next two years
22%
What do I need to do and when by?What do I need to do and when by?
o In‐depth Risk Assessments & Gap Analysiso Advisory Serviceso Information Governance Planso Budgeting / Hiring Key Staff
ImplementationMaking Changes to Prepare
ImplementationMaking Changes to Prepareo udget g / g ey Sta
o Policy and Organisational Updateso Addressing Technology Gapso Purchasing of Software & Technology
USE CASE: USE CASE: USE CASE:
25th May 2018GDPR comes into
force across all EU states
25th May 2018GDPR comes into
force across all EU states
25th May 2016Formal EU Approval
of GDPR
25th May 2016Formal EU Approval
of GDPR
2H 2016 2017 2018
USE CASE Mitigate Risk to Data
Subjects
USE CASE Protect Against Personal
Data Loss
USE CASE Minimise Risk in Case of a
Breach
29
29
• Tipos de dados pessoais: 3 categorias – consumidor, funcionário e acionistaImpactos da GDPR
Tipos de dados pessoais: 3 categorias consumidor, funcionário e acionista
• Alcança quem tem relação jurídica: residência (diferença para domicílio – não se limita a questão de cidadania e de territorialidade)
• Possui responsabilidade solidária: do controlador de dados e do processador dePossui responsabilidade solidária: do controlador de dados e do processador de dados (logo em toda cadeia de fornecedores que possuem algum tratamento de dados pessoais
• Traz o dever de report espontâneo (proativo) à autoridade central de Controle de Dados Pessoais
• Gera a atração do Balcão único (autoridade em um dos 28 países)
• Tem efeitos extraterritoriais: a multa pode ser aplicada alcançando empresa em outro país (efeitos políticos e jurídicos – barreira comercial e Itamaraty)
30
GImpactos da GDPRPECUNIÁRIA(MULTA – EU 20 milhões de
Se ok...COMPLIANT
(MULTA EU 20 milhões de euros ou 4% do faturamento bruto do grupo econômico
REPUTACIONALREPUTACIONAL(repercussão negativa da Marca na Imprensa e mídias sociais)
Caso contrário...NO COMPLIANT
LEVANDO ÀS PENALIDADES:
)
JUDICIAL (ação judicial indenização inclusive class actioninclusive class action funcionários ou consumidores)
ADMINISTRATIVA(Barreira Comercial e negativa de área de compliance)
31
A f d di t t i li ã di it l
Impactos da GDPR• A empresa faz vendas diretas ou presta serviços para ou por aplicação digital nainternet com oferta de produto ou serviço em âmbito internacional (para fora do paismatriz)?
• A empresa ou a plataforma permite vender ou prestar serviços para usuario de umpais da União Europeia?
• O usuário que compra ou transaciona na sua plataforma pode ser cidadão europeu?O usuário que compra ou transaciona na sua plataforma pode ser cidadão europeu?Ou pode ser de qualquer outra cidadania mas com residência em um pais da UniãoEuropeia? Ou pode ser um cidadão europeu de passagem pelo Brasil que ainda temresidência na Europa? Ou pode ser um brasileiro, com dupla cidadania (européia) ep p p ( p )que também tenha residência (e negócios) na Europa?
• A empresa faz fluxo internacional de dados coletando dados de usuarios da UniãoEuropeia e trazendo estes dados para terem algum tipo de tratamento de dados foraEuropeia e trazendo estes dados para terem algum tipo de tratamento de dados forado territorio europeu (exemplo dados de funcionários, clientes ou acionistas)? E asituação inversa, de levar dados pessoais do Brasil para Europa ocorre?
• A empresa utiliza outras empresas com soluções de informação que tratam dados• A empresa utiliza outras empresas com soluções de informação que tratam dadosque foram coletados considerando as questões acima ? Estas empresas fornecedorasou parceiras tambem devem atender GDPR e há responsabilidade solidaria entrecontratante e contratado!contratante e contratado!
32
A li ã l t dAplicação: alcança todos os tratamentos de dados pessoaistratamentos de dados pessoais
Informação relativa a uma pessoa singular identificada ouidentificável (“titular dos dados”)identificável ( titular dos dados ).
Exemplos:p
Nome Completo, Nacionalidade, Data de Nascimento, Gênero,Documento de Identidade, Cadastro de Pessoa Física, Nome, ,empresarial, CNPJ, Informações societárias, Endereço de e‐mail,Endereço Físico, Número de telefone;Informações sobre sistema operacional e navegador de dispositivo,E d IP G l li ã D d é i d di i i ili dEndereço IP, Geolocalização, Dados técnicos de dispositivo utilizado,Registros de interações com a plataforma;Quaisquer elementos específicos da identidade física (etnia,biometria) fisiológica (dados de saúde vida sexual) genética mentalbiometria), fisiológica (dados de saúde, vida sexual), genética, mental(opiniões políticas, filosóficas e religiosas, orientação sexual),econômica (Dados bancários / financeiros / creditícios), cultural(preferências) ou social (dados laborais, perfil de consumo, perfil(p ) ( , p , pacadêmico) etc.
33
Impactos maiores da GDPRO Regulamento traz mais de 100 páginas com controles técnicos ejurídicos (checklist) sobre a governança dos dados pessoais e suajurídicos (checklist) sobre a governança dos dados pessoais e suagestão na empresa (para dentro e para fora), comresponsabilidade solidária (no supply chain – entre empresa queresponsabilidade solidária (no supply chain entre empresa queé a legítima detentora do dado do funcionário, consumidor ouacionista e os fornecedores que os manipulam).acionista e os fornecedores que os manipulam).Há maior impacto se a base de dados pessoais envolverinformações sobre:informações sobre:
Dados biométricos
Saúde
Menores de 13 anosMenores de 13 anos
34
Impacto conformidade de tratamento deImpacto conformidade de tratamento de dados todo supply chain de fornecedores e
i d ó iparceiros de negóciosAlcança toda operação realizada com dados pessoais, como as que se referem à:
o Coleta
o Produção o Arquivamento
o Recepção
o Classificação
o Armazenamento
o Eliminação
o Utilização
o Acesso
o Avaliação ou controle
o Modificação
SUPPLY CHAIN de Dados
o Reprodução
o Transmissão
o Comunicação
o TransferênciaREDES
GLOBAIS DEo Distribuição
o Processamento
o Difusão
o Extração
GLOBAIS DE TRATAMENTO
...de dados35
Impactos da GDPR – considerações tecnológicastecnológicas
Know your Personal
Process Data Embed Protect
PersonalPersonal data
Data Lawfully privacy Personal
DataPROTECT PERSONAL INFORMATION THROUGH ITS LIFECYCLEPROTECT PERSONAL INFORMATION THROUGH ITS LIFECYCLE
36
Impactos da GDPR – matriz técnico-j ídi
JUSTIFICATIVAS
jurídicaJUSTIFICATIVAS JURÍDICAS
ÃFINALIDADES DE
TIPOS DE TRATAMENTOS DE
GESTÃO DE CONSENTIMENTOS –QUE POSSUEM PELO
FINALIDADES DE USO
PARA O QUE SERÁTRATAMENTOS DEDADOS PESSOAIS MENOS 4 MOMENTOS
DE COLETA DE LOGS: ENTRADA,
PARA O QUE SERÁ USADO E TEM QUE SER JUSTIFICAVEM ENTRADA,
ENRIQUECIMENTO, COMPARTILHAMENTO, GUARDA NA NUVEM
E PROPORCIONAL
GUARDA NA NUVEM
37
Impactos da GDPR
Privacy
Security
Collect Process Retain & Secure Manage
Define and Locate Personal Data
Secure Technology
Detect and Block Threats to Data in
Use
Restrict Processing of Data YOU have
to Retain
Risk Management of Info Lifecycle
Validate DataSecure Technology that Collects Personal Data
Record Consent Privacy Impact
Validate Data Processors
Control Access to
Protect Data at Rest
Validate Data Subjects Invoking
Rights
Educate DPOs on from Data Subjects
y pAssessments
Prevent Data Loss, Report Breaches
Data
Secure Transfer and Storage of C ll d D
Cyber Risk
Pseudonymisationand obfuscation of
l d
Minimise, Anonymise, Erase
DReport BreachesCollected Datapersonal data Data
38
CONCLUSÃO
M d fl d d d i (P l D t Fl M )
Impactos da GDPR – Gestão DocumentalMapa de fluxo de dados pessoais (Personal Data Flow Map)
Tabela de temporalidade de guarda de logs de consentimentoPolítica de gestão de dados pessoais
Documentalg p
Política para tratamento de dados pessoais para terceirizados (providers querealizam tratamento de dados pessoais – vários procedimentos trazidos naGDPR b fl d ã d i t fi d d l t )GDPR sobre fluxo, padrão de criptografia, guarda de logs, etc)Termo de uso e Política de privacidade (atualizar batendo tratamento xfinalidade de uso x justificativa jurídica x matriz de consentimentos, novosj j ,direitos dos usuários como portabilidade, exclusão, limitação, outros)Contratos (atualizar com clausulas que prevêm GDPR)NDA ( t li lá l ê GDPR)NDA (atualizar com cláusulas que prevêm GDPR)Checklist Compliance (atualizar com cláusulas que prevêm GDPR)Código de Conduta (atualizar com cláusuals que prevêm respeito a proteção deg ( q p p p çdados pessoais)Política de Segurança da Informação (atualizar com cláusulas que prevêmGDPR)
39
GDPR)
Impactos da GDPR – consequências do descumprimento
Recebimento notice letter do órgão de controle central de dados (do país daUnião Europeia que tiver mais proximidade de negócios): princípio do BalcãoÚ i ( t 72 h idê i t d tá
p
Único (prazo para resposta 72 horas com evidências – mostrando que está emconformidade com a GDPR)
Se não satisfatório fiscalização pelo órgão de controle central (presencial ouSe não satisfatório, fiscalização pelo órgão de controle central (presencial ouremota – apresentação complementar de evidências)
Se não satisfatório, aplicação da multa – POR INFRAÇÃO (identificada), de até 20, p ç Ç ( ),milhões de euros (aprox. 78 milhões de Reais) ou 4% do faturamento global doano anterior, “o valor que for maior” – penalidade aplicada a TODO O GRUPOECONÔMICO + prazo para atender e ficar em conformidade (multa tende a serECONÔMICO + prazo para atender e ficar em conformidade (multa tende a sermaior se houver reincidência)
Se não ficar em conformidade, penalidades como suspensão de operação(negócios com União Européia) – aplicável ao Grupo Econômico
Impacto negativo na imagem e reputação, com reflexos no faturamento e nol d õvalor das ações
40
Impactos da GDPR – e a legislação brasileira?
Legislação esparsa:
brasileira?
Código CivilCódigo de Defesa do ConsumidorgDecreto nº 7.962 (Comércio Eletrônico)Marco Civil da InternetDecreto 8.771 (regulamentação do MCI)
Projetos de Lei em tramitação para regular a proteçãode dados:
PLS 330/2013PL 5.276/2016/
41
Legislação de Proteção de DadosLegislação de Proteção de Dados -LATAM
Argentina Lei nº 25.326/2000 – Lei de Proteção de Dados Pessoais – ATUALIZANDO2017‐2018
Brasil Projetos de Lei 5276/16 330/2013
Riscos Brasil não teruma Lei Proteção deDados Pessoais:Brasil Projetos de Lei 5276/16, 330/2013
Chile Projeto de Lei para atualizar a lei (em andamento – desde 2010 com nova proposta feita em 2017) ‐ ATUALIZANDOL i 19 628/1999 L i d P t ã d D d P i
Dados Pessoais:País fora deconformidadeF d it lLei 19.628/1999 – Lei de Proteção de Dados Pessoais
Colômbia Lei nº 1581/2012 ‐ Lei Geral de Proteção de Dados Pessoais –Decreto nº 1.377/2013 – Regulamenta a Lei Geral de Proteção de Dados
Fuga de capitalestrangeiro do país –Foreign Direct
Pessoais ATUALIZANDO
México Lei Federal de Transparência e Acesso à Informação Pública Governamental
Investment (FDI)Inviabilidade para oprocessamento de
Lei Federal de Proteção de Dados Pessoais em Poder de Particulares (2010) ATUALIZANDO
Panamá Projeto de Lei sobre Proteção de Dados Pessoais (EM ANDAMENTO)
pdados de cidadãoseuropeus no paísImpossibilidade deLei nº 06/2002 – Lei de Transparência e Acesso à Informação Pública
Peru Lei nº 29.733/2011 – Lei de Proteção de Dados Pessoais ATUALIZANDO
Uruguai Lei n° 18 331/2008 Lei de Proteção de Dados Pessoais ATUALIZANDO
Impossibilidade detrazer dados comomatéria‐prima paraos negócios no Brasil
42
Uruguai Lei n 18.331/2008 – Lei de Proteção de Dados Pessoais ATUALIZANDO os negócios no Brasil
EFEITOS DE UM INCIDENTEUM INCIDENTE DE DADOS
●Foi feita a análise do valor defechamento de ações de 24empresas, em sua maior partelistadas na Bolsa de Nova Yorklistadas na Bolsa de Nova York,tendo início no dia anterior aoepisódio de vazamento de dadosir a público
●No estudo foram incluidos vários●No estudo, foram incluidos váriosdos maiores vazamentos de dadosda história. Todos eles resultaramem no mínimo 1 milhão de dadosvazados ‐ alguns ultrapassaram os100 milhões de dados vazados100 milhões de dados vazados
https://www.comparitech.com/blog/information‐security/data‐breach‐share‐price/
INCIDENTE RISCO DIGITAL (VAZAMENTO OU REPUTACIONAL) = IMPACTO NA CONFIANÇA
Comparados À NASDAQ, os ativosestudados passaram a performar na médiaou pouco abaixoHouve um decréscimo imediato de 2.83%, e
ã ó di ú iuma recuperação após 30 dias úteisTodavia, 6 meses depois os preços sofrem
d lí i i ifi tium declínio significativoUm ano depois, os ativos analisadosperformaram abaixo do índice NASDAQperformaram abaixo do índice NASDAQ,em média em 7,33%TRÊS ANOS DEPOIS O VALOR DAS AÇÕESTRÊS ANOS DEPOIS, O VALOR DAS AÇÕESCAIU PARA 41,6% EM RELAÇÃO À NASDAQ
ECOMMERCE AND SOCIAL MEDIA: YAHOO, LINKEDIN,ECOMMERCE AND SOCIAL MEDIA: YAHOO, LINKEDIN, BETFAIR, MONSTER, DUN & BRADSTREET, EBAY
Apesar de o primeiro impacto se mostraraparentemente menor esses ativosaparentemente menor, esses ativosperformaram abaixo do índice NASDAQde forma significativa. Após três meses decrescimento os ativos eventualmentecrescimento, os ativos eventualmente…Despencam. Um ano após o incidente, ovalor das ações está 7,66% menor emrelação ao dia do acontecimento e 47 2%relação ao dia do acontecimento, e 47,2%abaixo do NASDAQ ‐ e em contínuoprocesso de queda.
Empresas como Yahoo, Ebay, Heartland Payment Systems,Empresas como Yahoo, Ebay, Heartland Payment Systems,LinkedIn, que tiveram vazamentos de mais de 100 milhõesd d ã ti i i t d d i tidados não tiveram mais impacto do que as demais que tiveramvazamento menores; inclusive, ironicamente, o grupo dosmenores vazamentos (esq.) teve o MAIOR impacto de todos osgrupos analisado
SENSIBILIDADE DOS DADOS -DADOS PESSOAIS GERAM MAIOR IMPACTO
Highly sensitive info – Target, Sony, Heartland Payment Systems, TJ Maxx, Home Depot, Countrywide, Experian, BetFair, Global
Passwords, login info, and medical records – Ebay, Anthem, LinkedIn, Health Net, VTech
Usernames, email addresses, phone numbers, addresses – JP Morgan Chase, Yahoo, Adobe, Apple, Monster, Vodafone,
Payments, Staples, Community Health Systems
Dun & Bradstreet
●Initial fall: -1.76% (-7.85% vs NASDAQ)●Volatility: 0.33%
●Initial fall: none (none vs NASDAQ)●Volatility: 0.20%
●Initial drop: none (-1.55% vs NASDAQ)●Volatility: 0.20%y y y
D t i ã d lh d iImpactos da GDPR
• Determinação da escolha de parceiros efornecedores que estiverem de acordo comos padrões estabelecidos em níveis locais eos padrões estabelecidos em níveis locais einternacionais de proteção de dados
• Futuros acordos de comércio e investimento• Futuros acordos de comércio e investimentodevem seguir disposições de proteção dedados
• Tendência de GDPR se tornar um novopadrão globalp g
• Maioria dos países está adequando as leisinternas às novas regras da U.E. para evitarinternas às novas regras da U.E. para evitarfechar as portas a um mercado de 500milhões de consumidores com alto poder decompra
49
1 O B il i d ã é id d í í l
Impactos da GDPR1. O Brasil ainda não é considerado um país com um nível
adequado de proteção de dados, mas caminha paraadequação aos moldes da GDPR
2. Empresas estrangeiras com filiais no Brasil ou empresasBrasileiras com negócios na Europa tendem a realizar um
j t i d t tã GDPR li tprojeto maior para demonstrar que estão GDPR compliantpois não podem esperar pelo cenário regulatório local setornar o ideal (até ser aprovada uma lei brasileira deproteção de dados pessoais)
3. A adequação de processos e documentos leva tempo,envolve várias áreas e equipes exige esforço grande da TIenvolve várias áreas e equipes, exige esforço grande da TImas acima de tudo, uma maior compreensão da altadireção dos impactos deste novo paradigma regulatório (3
á i d id d d )estágios de maturidade apresentados)
4. Necessidade de ter mapa de fluxo de dados e um DPO –(PODE SER TERCEIRIZADO)(PODE SER TERCEIRIZADO)
Conformidade com a GDPR –níveis de maturidade
1º NÍVEL 2º NÍVEL 3º NÍVEL
níveis de maturidade(Curto Prazo)
Preocupação:Preocupação:
Multa(fiscalização)
Preocupação:
GovernançaPatrimônio
Preocupação:
InovaçãoP&D(fiscalização)
Dados Transformação DigitalÉtica e Regulamentação
Digital Rights
C li Estratégia DigitalFi i & N ó iCompliance Estratégia Digital Financeiro & Negócios
BLINDAGEM LEGAL DIGITAL COMPLETA!
51
CONCLUSÃO
Conduzir due dilligence digital para gerar um Parecer Diagnóstico quanto ao
Como agir?Conduzir due dilligence digital para gerar um Parecer Diagnóstico quanto aograu de conformidade e blindagem legal relacionado a privacidade, proteçãode dados e cibersegurança de conformidade à GDPR
Conduzir auditoria legal para verificar os fluxos de adequação de bases dedados (segregação, gestão de consentimento, enriquecimento com dados de( g g ç , g , qterceiros, rastreabilidade de origem, guarda de logs dentro do prazo legal),para atender ao exigido pelas regulamentações (nacionais e internacionais)d d d l t ô i (t b l d t lid d d i d tódide guarda de provas eletrônicas (tabela de temporalidade, cadeia de custódiaíntegra, criptografia)
A li i d ãAtualizar ao menos a seguinte documentação:‐ Contratos (cliente, fornecedor, parceiro, funcionário, SLA, NDA)‐ Termos de Usoe os de Uso‐ Política de Privacidade‐ Código de Ética
P lí i d S d I f ã
52
‐ Política de Segurança da Informação
Otimização de investimentos com tecnologia e inovação para a transformaçãoBenefícios e resultados práticos
Otimização de investimentos com tecnologia e inovação para a transformaçãodigital;Valorização, diferenciação mercadológica e garantia de fornecimento de serviçosfrente ao cliente e aos fornecedores;Otimização de processos e recursos humanos (novos colaboradores conectados);Redução de custos e celeridade no processo de obtenção de certificações, comopor exemplo ISO 27k, NBSI;
/Afastamento/redução de passivos trabalhistas, como hora‐extra e multasdecorrentes de dispensas sem justa causa, embasando nas normas de SIvioladas;violadas;Afastamento/redução de riscos com ataques cibernéticos, concorrência desleal,violação de propriedade intelectual e demais incidentes de SI que resultem emvazamento, alteração e apagamento de informações;Afastamento/redução de riscos de aplicação de multas por órgãos de proteçãodo consumidor, além da suspensão e até o impedimento dos serviços
I l t d 30 a 45 diasImplementando a GDPR
1ª ETAPAGDPR
Levantamento inicial com assessment e diagnóstico de conformidade (relatório preliminar)
Verificação emapeamento do ambiente de dados da empresacom análise do grau de conformidade com as novasgregulamentações de privacidade e proteção de dados, bemcomo nos aspectos de cyber segurança que devam serimplementados por exigências das novas leis
54
I l t d 30 a 45 diasImplementando a GDPR
1ª ETAPAGDPR
Análise e mapeamento:
Quantidade de bases de dados (com sua nacionalidade eterritorialidade);territorialidade);Quantidade e finalidade de tratamentos das bases de dados;Quantidade de soluções ou sistemas de informação (determinarQuantidade de soluções ou sistemas de informação (determinarprocessos);Quantidade de documentos legais relevantes de consentimento e/oul t d d d ( i i t líti l i dcoleta de dados (ex: guias internos, políticas e normas relacionadas,
contratos de trabalho e/ou prestação de serviço, políticas deprivacidade e outros documentos).
55
I l t d 30 a 45 diasImplementando a GDPR
1ª ETAPAGDPR
Questionário, coleta de documentos e entrevistas com responsáveis por áreas como:
Negócios / E‐commerce /Marketing / FinanceiroTI / Segurança da Informação / Combate à FraudeJurídico / ComplianceSAC / Canais DigitaisSAC / Canais DigitaisProdução / Operações
56
I l t d 60 a 90 diasImplementando a GDPR
2ª ETAPAGDPR
Parecer diagnóstico de riscos e plano de ação
Análise aprofundada de toda a documentação processos eAnálise aprofundada de toda a documentação, processos efluxos, conforme mapeamento da Etapa 1
Emissão do Parecer Diagnóstico completo de privacy riskassessment (técnico/jurídico) + gap analysis + plano de ação(com recomendações de melhorias)(com recomendações de melhorias)
57
I l t d 15 a 30 diasImplementando a GDPR
3ª ETAPAGDPR
Assessoria para implementação do Plano de Ação com ã dcapacitação da equipe interna
Assessoria especializada para implementação das medidasrecomendadasCapacitação interna para a implementação de todo oprojeto e manutenção das recomendações de compliancede proteção de dadosde proteção de dadosSuporte para respostas a notificações durante o prazo emque durar a assessoriaque durar a assessoria
58
