Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Summit
Proteção de
dados
Os impactos para TI e Segurança da Informação
Mini CV
LEANDRO AUGUSTO
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 3
A Lei Geral de Proteção de
Dados (LGPD)
LEI Nº 13.709, DE 14 DE AGOSTO DE 2018
2018
Lei 13.709 -
PROVÁVEIS REGULAÇÕES POR MEIO DE DECRETOS PARA
ALGUNS TEMAS
PUBLICADA EM:
14 DE AGOSTO DE 2018
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 4
Conceitos gerais da Lei
ENCARREGADO
CONTROLADOR OPERADOR
(“DPO”)
AGENTES DE TRATAMENTO
pessoa natural ou jurídica, de direito pessoa natural ou jurídica, de direito
pessoa natural, indicada pelo controlador, que
público ou privado, a quem público ou privado, que realiza o
o controlador e o operador atua como canal de comunicação entre o
competem as decisões referentes ao tratamento de dados pessoais em
controlador e os titulares e a autoridade
tratamento de dados pessoais nome do controlador
nacional
TRATAMENTO
CONSENTIMENTO
MAPEAMENTO DE DADOS
toda operação realizada com dados pessoais, FLUXO DE DADOS
como as que se referem a coleta, produção, manifestação livre,
é o processo de identificar elementos
recepção, classificação, utilização, acesso, informada e inequívoca é a representação do mapeamento
de dados entre dois modelos de
reprodução, transmissão, distribuição, pela qual o titular concorda de dados normalmente reproduzido
dados distintos, ou mediação de
processamento, arquivamento, armazenamento, com o tratamento de seus por processo ou subprocesso,
dados entre uma fonte de dados e
eliminação, avaliação ou controle da dados pessoais para uma incluindo transferências de dados.
um destino (passos)
informação, modificação, comunicação, finalidade determinada
transferência, difusão ou extração
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 5
Os desafios de
TI e Segurança
para LGPD
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 6
Os riscos das desconexões em TI e
Segurança
CAMADA DE
DPO REGULADORES PIAs AUDITORIAS
COMPLIANCE
CAMADA DE
PROCESSOS PROCESSAMENTO DE DADOS GESTÃO DE PROCESSAMENTO E
GESTÃO DE CONSENTIMENTO GESTÃO DE VIOLAÇÕES
PESSOAIS OPERADORES
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 7
Mapeame Avisos de
nto de Privacidade
dados é a Minimização
Direitos dos
indivíduos
fundação Mapeamento
da
de dados
e... Assessment de
Privacidade
O começo
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 8
Identificar os dados pessoais Identificar salvaguardas técnicas
Mapeame
nto de Compreender as obrigações
legais e regulamentares Menosprezar os volumes
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 9
Os principais passos do
Mapeamento
1
de Dados 2
Entenda o fluxo de informações Descrever o fluxo de informações
▪ Selecione os principais processos de ▪ Percorra o ciclo de vida das informações para identificar usos
negócio (Front e Backoffice) imprevistos ou não intencionais de dados. Isso também ajuda
▪ Eleja aplicações que claramente a minimizar quais dados são coletados.
apresentam maiores volumes de dados ▪ Certifique-se de que as pessoas que usarão as informações
pessoais sejam consultadas sobre as implicações práticas.
▪ Atenção para projetos em andamento e ▪ Considere os possíveis usos futuros das informações
aplicações que possuem host externo coletadas, mesmo que isso não seja imediatamente
(como portais Internet). necessário.
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 10
Os principais passos do
Mapeamento de Dados3
Identifique seus principais elementos
▪ Itens de dados - Que tipo de dados está sendo processado (nome, email, endereço etc.) e em que categoria ele se
enquadra (dados de saúde, registros criminais, dados de localização, etc.)?
▪ Formatos - Em que formato você armazena dados (cópia impressa, digital, banco de dados, BYOD, telefones celulares,
etc.)?
▪ Método de transferência - Como você coleta dados (website, telefone, mídia social) e como você os compartilha
internamente (dentro de sua organização) e externamente (com terceiros)?
▪ Localização - Quais locais estão envolvidos no fluxo de dados (escritórios, a nuvem, terceiros, etc.)?
▪ Prestação de contas - Quem é responsável pelos dados pessoais? Muitas vezes isso muda conforme os dados se movem
pela organização.
▪ Acesso - Quem tem acesso aos dados em questão?
▪ Base legal - Identifique a base legal usada para processar os dados pessoais.
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 11
A trajetória para a LGPD
(Assessment)
MAPEAMENTO DE DADOS MANUAL
QUICK WINS
MAPEAMENTO DE FLUXOS
IMPLEMENTAÇÕES SOLUÇÕES
DE NEGÓCIO E DADOS INDUSTRIA (AZURE)
DADOS NÃO PROGRAMAS DE
ESCOPO DE COMPLIANCE ESTRUTURADOS REMEDIAÇÃO
PROJETO
QUICK WINS
LEGAL
BOTTOM UP
COMPLIANCE (AZURE)
GESTÃO DE ISSUES
Dados Dados
Estruturados MAPEAMENTO (AZURE) Não Estruturados
Monitoração Contínua
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 12
Abordagem de ações integradas
com a Microsoft
Identificar Gerenciar Proteger Reportar
• Gerencie as salvaguardas de
• Identifique as aplicações e • Estabeleça medidas de • Utilize ferramentas para
Segurança necessárias.
processos que processam proteção para os dados Compliance Manager
dados pessoais e sensíveis. • Organize os seus operadores sensíveis e pessoais. (Gestão do Programa)
de dados e gerencie suas
• Classifique os volumes e • Otimize o seu programa de • Report aos executivos os
capacidades.
sensibilidade das proteção com soluções de principais riscos não
informações. • Gerencie e atualize seus proteção rápida. mitigados.
fluxos de dados.
• Separe a abordagem entre • Monitore as capacidades • Monitore e report o uso de
dados estruturados e não • Saiba quais os itens que nas principais instâncias de dados não estruturados
estruturados. podem gerar riscos para o dados. pelos usuários
Compliance em 2020.
• Verifique as salvaguardas de
proteção já existentes.
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 13
Conclusões
Nunca se esqueça que como
Não existem modelos corretos ou qualquer outro processo de
Não perca tempo,
incorretos para mapear os Compliance, esta é uma atividade
independentemente da
processamentos – existem que fará parte da rotina das
abordagem comece sua trajetória
modelos que melhor se Empresas preocupadas com os
– use as sinergias de software
adaptarão à sua Empresa dados de seus clientes /
existentes
funcionários
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 14
LEANDRO AUGUSTO
MARCO ANTONIO
Sócio Líder para Américas
Cyber Security & Privacy
T: +55 11 3940-3740 / 98245-6355
E: lantonio@kpmg.com.br
/in/lemarcoantonio
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso no Brasil. 15
Este documento não poderá ser divulgado, comentado ou copiado, no todo ou em parte, sem o nosso prévio consentimento por escrito. Qualquer divulgação para além da permitida poderá prejudicar os interesses comerciais da KPMG Consultoria Ltda. A KPMG detém a
propriedade deste documento, incluindo a propriedade do copyright e todos os outros direitos de propriedade intelectual.
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no
Brasil.