Microsoft

Summit
Proteção de
dados
Os impactos para TI e Segurança da Informação
Mini CV

LEANDRO AUGUSTO

▪ Sócio Líder por Cyber Security nas Américas

▪ 20 anos atuando em Segurança Cibernética
▪ Graduado pela FATEC-SP
▪ MBA em Gestão de TI pela FGV
▪ MBA Executivo pela Fundação Dom Cabral
▪ Gestão de negócios pela Georgetown University
▪ Parte do Global team de Privacidade da KPMG

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 3
A Lei Geral de Proteção de
Dados (LGPD)
LEI Nº 13.709, DE 14 DE AGOSTO DE 2018
2018

Lei 13.709 -
PROVÁVEIS REGULAÇÕES POR MEIO DE DECRETOS PARA
ALGUNS TEMAS

PUBLICADA EM:
14 DE AGOSTO DE 2018

2020 FEV/2020: ENTRADA EM VIGOR

A QUEM SE ENDEREÇA: Organizações
que realizam o
tratamento de dados pessoais no
território brasileiro ou oferecem REGULAÇÕES SETORIAIS NÃO FORAM REVOGADAS OU
produtos ou serviços a indivíduos - IMPEDIDAS DE SEREM APLICADAS.
localizados no Brasil

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 4
Conceitos gerais da Lei
ENCARREGADO
CONTROLADOR OPERADOR
(“DPO”)
AGENTES DE TRATAMENTO
pessoa natural ou jurídica, de direito pessoa natural ou jurídica, de direito
pessoa natural, indicada pelo controlador, que
público ou privado, a quem público ou privado, que realiza o
o controlador e o operador atua como canal de comunicação entre o
competem as decisões referentes ao tratamento de dados pessoais em
controlador e os titulares e a autoridade
tratamento de dados pessoais nome do controlador
nacional

TRATAMENTO
CONSENTIMENTO
MAPEAMENTO DE DADOS
toda operação realizada com dados pessoais, FLUXO DE DADOS
como as que se referem a coleta, produção, manifestação livre,
é o processo de identificar elementos
recepção, classificação, utilização, acesso, informada e inequívoca é a representação do mapeamento
de dados entre dois modelos de
reprodução, transmissão, distribuição, pela qual o titular concorda de dados normalmente reproduzido
dados distintos, ou mediação de
processamento, arquivamento, armazenamento, com o tratamento de seus por processo ou subprocesso,
dados entre uma fonte de dados e
eliminação, avaliação ou controle da dados pessoais para uma incluindo transferências de dados.
um destino (passos)
informação, modificação, comunicação, finalidade determinada
transferência, difusão ou extração

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 5
 Os desafios de
TI e Segurança
para LGPD
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 6
Os riscos das desconexões em TI e
Segurança
CAMADA DE
DPO REGULADORES PIAs AUDITORIAS
COMPLIANCE

CAMADA DE
PROCESSOS PROCESSAMENTO DE DADOS GESTÃO DE PROCESSAMENTO E
GESTÃO DE CONSENTIMENTO GESTÃO DE VIOLAÇÕES
PESSOAIS OPERADORES

INABILIDADE DE LINKAR O CONSENTIMENTO COM MULTIPLAS INSTANCIAS DE DADOS

INABILIDADE DE RECONCILIAR DIFERENTES FONTES DE DADOS DOS CLIENTES

OS RISCOS
INABILIDADE DE REMOVER CONSENTIMENTOS EM CADEIAS COMPLEXAS DE FORNECEDORES

INABILIDADE DE GERENCIAR ALTERAÇÕES E DELEÇÕES DE DADOS

INABILIDADE DE GERENCIAR AS SALVAGUARDAS DE SEGURANÇA

CAMADA DE PRIVACIDADE POR DESIGN QUALIDADE DE DADOS PERMISSÕES SEGURANÇA DA INFORMAÇÃO

TECNOLOGIA

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 7
Mapeame Avisos de

nto de Privacidade

dados é a Minimização
Direitos dos
indivíduos

fundação Mapeamento

da
de dados

Privacidade por Violação de

privacidad Design dados

e... Assessment de
Privacidade

O começo
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 8
 Identificar os dados pessoais Identificar salvaguardas técnicas

Os Os dados pessoais podem residir em

vários locais e ser armazenados em
e organizacionais apropriadas

O segundo desafio é identificar a

desafios vários formatos, como papel,

eletrônico e até áudio. O primeiro
desafio é decidir quais informações
tecnologia apropriada - e as política e
os procedimentos para o seu uso -
para proteger as informações, além

do você precisa registrar e em que

formato.
de determinar quem controla o
acesso a elas.

Mapeame
nto de Compreender as obrigações
legais e regulamentares Menosprezar os volumes

Dados Determinar quais são as obrigações

legais e regulamentares de sua
organização. Assim como a LGPD ou
GDPR, isso pode incluir outros
Muitos projetos de mapeamento de
dados falham no menosprezo dos
dados que nem sempre estão
aparentes nos principais processos de
padrões de conformidade, como o negócio e o seu volume distribuído
Padrão de Segurança de Dados do na Empresa.
Setor de (por exemplo, PCI DSS).

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 9
 Os principais passos do
Mapeamento
1
de Dados 2
Entenda o fluxo de informações Descrever o fluxo de informações

▪ Selecione os principais processos de ▪ Percorra o ciclo de vida das informações para identificar usos
negócio (Front e Backoffice) imprevistos ou não intencionais de dados. Isso também ajuda
▪ Eleja aplicações que claramente a minimizar quais dados são coletados.
apresentam maiores volumes de dados ▪ Certifique-se de que as pessoas que usarão as informações
pessoais sejam consultadas sobre as implicações práticas.
▪ Atenção para projetos em andamento e ▪ Considere os possíveis usos futuros das informações
aplicações que possuem host externo coletadas, mesmo que isso não seja imediatamente
(como portais Internet). necessário.

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 10
Os principais passos do
Mapeamento de Dados3
Identifique seus principais elementos

▪ Itens de dados - Que tipo de dados está sendo processado (nome, email, endereço etc.) e em que categoria ele se
enquadra (dados de saúde, registros criminais, dados de localização, etc.)?
▪ Formatos - Em que formato você armazena dados (cópia impressa, digital, banco de dados, BYOD, telefones celulares,
etc.)?
▪ Método de transferência - Como você coleta dados (website, telefone, mídia social) e como você os compartilha
internamente (dentro de sua organização) e externamente (com terceiros)?
▪ Localização - Quais locais estão envolvidos no fluxo de dados (escritórios, a nuvem, terceiros, etc.)?
▪ Prestação de contas - Quem é responsável pelos dados pessoais? Muitas vezes isso muda conforme os dados se movem
pela organização.
▪ Acesso - Quem tem acesso aos dados em questão?
▪ Base legal - Identifique a base legal usada para processar os dados pessoais.

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 11
A trajetória para a LGPD
(Assessment)
MAPEAMENTO DE DADOS MANUAL

TOP DOWN GAP ASSESSMENT ROADMAP ESTRATÉGICO

ESCOPO DE PROCESSOS 10 POSSIBILIDADES

PROJETO DE NEGÓCIO DE TRATAMENTO GAPS PROGRAMAS

QUICK WINS
MAPEAMENTO DE FLUXOS
IMPLEMENTAÇÕES SOLUÇÕES
DE NEGÓCIO E DADOS INDUSTRIA (AZURE)
DADOS NÃO PROGRAMAS DE
ESCOPO DE COMPLIANCE ESTRUTURADOS REMEDIAÇÃO
PROJETO
QUICK WINS
LEGAL
BOTTOM UP
COMPLIANCE (AZURE)
GESTÃO DE ISSUES
Dados Dados
Estruturados MAPEAMENTO (AZURE) Não Estruturados
Monitoração Contínua

MAPEAMENTO DE DADOS AUTOMATIZADO

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 12
 Abordagem de ações integradas
com a Microsoft
Identificar Gerenciar Proteger Reportar
• Gerencie as salvaguardas de
• Identifique as aplicações e • Estabeleça medidas de • Utilize ferramentas para
Segurança necessárias.
processos que processam proteção para os dados Compliance Manager
dados pessoais e sensíveis. • Organize os seus operadores sensíveis e pessoais. (Gestão do Programa)
de dados e gerencie suas
• Classifique os volumes e • Otimize o seu programa de • Report aos executivos os
capacidades.
sensibilidade das proteção com soluções de principais riscos não
informações. • Gerencie e atualize seus proteção rápida. mitigados.
fluxos de dados.
• Separe a abordagem entre • Monitore as capacidades • Monitore e report o uso de
dados estruturados e não • Saiba quais os itens que nas principais instâncias de dados não estruturados
estruturados. podem gerar riscos para o dados. pelos usuários
Compliance em 2020.
• Verifique as salvaguardas de
proteção já existentes.

ASSESSMENT PROTEÇÃO REPORT

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 13
Conclusões
Nunca se esqueça que como
Não existem modelos corretos ou qualquer outro processo de
Não perca tempo,
incorretos para mapear os Compliance, esta é uma atividade
independentemente da
processamentos – existem que fará parte da rotina das
abordagem comece sua trajetória
modelos que melhor se Empresas preocupadas com os
– use as sinergias de software
adaptarão à sua Empresa dados de seus clientes /
existentes
funcionários

Sua arquitetura de tecnologia pode ser um enabler para implementar a LGPD.

Procure soluções que auxiliem nas soluções rápidas.

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 14
 LEANDRO AUGUSTO
MARCO ANTONIO
Sócio Líder para Américas
Cyber Security & Privacy
T: +55 11 3940-3740 / 98245-6355
E: lantonio@kpmg.com.br

/in/lemarcoantonio

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 15
Este documento não poderá ser divulgado, comentado ou copiado, no todo ou em parte, sem o nosso prévio consentimento por escrito. Qualquer divulgação para além da permitida poderá prejudicar os interesses comerciais da KPMG Consultoria Ltda. A KPMG detém a
propriedade deste documento, incluindo a propriedade do copyright e todos os outros direitos de propriedade intelectual.

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no
Brasil.

O nome KPMG e o logotipo são marcas registradas ou comerciais da KPMG International.