Beruflich Dokumente
Kultur Dokumente
04 - CENÁRIO
07 - DESAFIO
Dado é o novo motor de uma organização e é por meio dele que tudo
acontece, de novos negócios à melhor experiência para o usuário
12 - SOLUÇÃO
LGPD exige das organizações uma profunda estratégia de proteção
de dados e tecnologias que auxiliam os gestores a alcançarem o
nível de maturidade esperado
E XECUTIVE RE PO RT 3
O EFEITO LGPD,
SEGUNDO CSOs
N
o dia 14 de agosto de 2018, o Brasil se tornou parte tratadas de agora em diante tanto por indivíduos quanto por orga-
de um grupo seleto de países do mundo que contam nizações públicas e privadas. A nova regra garantirá ao cidadão mais
com uma Lei Geral de Proteção de Dados (LGPD). É controle sobre seus dados pessoais, principalmente na forma como
fato que o País já possuía ao menos 30 legislações tais informações serão coletadas, armazenadas e protegidas.
setoriais associadas ao assunto, tais como o Código Se por um lado a lei incentivará o uso consciente dos dados
Civil, a Lei do Cadastro Positivo, o Marco Civil da Internet, entre pelas instituições, acredita-se ainda que a LGPD motivará uma
outras. No entanto, a aprovação do PLC 53/2018 eleva o Brasil a um mudança de paradigma na gestão dos dados, evidenciando a neces-
novo patamar, colocando-o em posição de igualdade com as demais sidade de adequações internas e da construção de uma cultura de
regiões que já têm um marco legal bem definido sobre o tema. proteção de dados no Brasil. “Consequentemente, isso representará
Sancionada pelo presidente Michel Temer, a Lei Geral de Pro- mais investimentos para o País no âmbito da economia digital, além
teção de Dados (LGPD) é comparada a General Data Protection de trazer mais segurança jurídica a titulares de dados e empresas
Regulation (GDPR), que entrou em vigor recentemente nos países do setor privado”, opina Rony Vainzof, especialista em Cyber Law
europeus. A lei abrange como as informações pessoais deverão ser & Data Protection e sócio da Opice Blum, Bruno, Abrusio e Vainzof
4 E XECUTIVE RE PO RT
LGPD >> CENÁRIO
Advogados, em matéria publicada no portal Security Report. 39º). O controlador precisa indicar o encarregado pelo tratamento
dos dados pessoais (art. 41º).
PRINCIPAIS PONTOS DA LEI O capítulo seguinte diz respeito à segurança e as boas práticas e
Dos 65 artigos distribuídos em 10 capítulos, alguns merecem revela que os agentes de tratamento devem adotar medidas de pro-
destaque. O artigo 3º (cap.1), por exemplo, revela que a Lei se aplica teção, técnicas e administrativas aptas a assegurar os dados pesso-
a qualquer operação de tratamento realizada por pessoa natural ou ais de acessos não autorizados e de situações acidentais ou ilícitas
jurídica, de direito público ou privado, independentemente do meio, de destruição, perda, alteração, comunicação ou qualquer forma de
do país de sua sede ou de onde estejam localizados os dados. Como tratamento inadequado ou ilícito (art. 46º).
prevê o artigo 9º (cap. 2), o titular terá direito ao acesso facilitado O controlador deverá comunicar à Autoridade e ao titular a
às informações sobre o tratamento de seus dados, que deverão ser ocorrência de incidente de segurança que possa acarretar risco ou
disponibilizados de forma clara. dano relevante aos titulares. Essa comunicação tem de ser feita em
O titular dos dados pessoais terá direito ainda a obter do con- prazo razoável e deverá mencionar as medidas utilizadas para a pro-
trolador, a qualquer momento e mediante requisição, a confirmação teção dos dados, os riscos relacionados ao incidente, os motivos
da existência de tratamento; acesso aos dados; correção de dados da demora, no caso de a comunicação não ter sido imediata e as
incompletos, inexatos ou desatualizados; anonimização, bloqueio providências que foram ou serão adotadas para reverter ou mitigar
ou eliminação de dados desnecessários, excessivos ou tratados em os efeitos do prejuízo (art. 48º).
desconformidade com o disposto na Lei; portabilidade dos dados a Os agentes de tratamento de dados, em razão das infrações
outro fornecedor de serviço ou produto; eliminação dos dados pes- cometidas às normas previstas nesta Lei, ficam sujeitos à adver-
soais com o consentimento do titular (art. 18, cap. 3). tência, com indicação de prazo para adoção de medidas corretivas;
O capítulo 6 refere-se especialmente sobre o tratamento dos multa de até 2% do faturamento da pessoa jurídica de direito pri-
dados pessoais. O artigo 37º prevê que o controlador e o operador vado, grupo ou conglomerado no Brasil no seu último exercício,
devem manter o registro das operações de tratamento de dados excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por
pessoais que realizarem. Já o artigo 38º afirma que a Autoridade infração; publicização da infração após devidamente apurada e
poderá determinar ao controlador que elabore um relatório de confirmada a sua ocorrência; bloqueio dos dados pessoais a que se
impacto à proteção de dados pessoais e que ele deverá realizar o refere a infração até a sua regularização; eliminação dos dados pes-
tratamento segundo as instruções fornecidas pelo controlador (art. soais a que se refere a infração.
As sanções serão aplicadas após procedimento administrativo
que possibilite a oportunidade da ampla defesa, considerados os parâ-
metros e critérios de reincidência, o grau do dano, a cooperação do
infrator e a adoção reiterada e demonstrada de mecanismos e proce-
dimentos internos capazes de minimizar o dano (art. 52º, cap. 08).
E XECUTIVE RE PO RT 5
CONHEÇA OS 12 PRINCIPAIS
PONTOS SOBRE A LGPD
6 E XECUTIVE RE PO RT
LGPD >> DESAFIO
E XECUTIVE RE PO RT 7
P
ara Paulo Ferreira, Infor-
mation Security Officer do PARA OS FINS DA LGPD, DO ARTIGO 5º, CONSIDERA-SE:
Grupo Pão de Açúcar, o dado
é o responsável pelo ganho Dados pessoais: informações de pessoa natural, identificada ou identificável
de competitividade em
Dados sensíveis: elementos que dizem respeito à raça, crença, orientação
um mercado tão disputado. “É ele quem
sexual, política, etc.
propicia novas formas de atendimento e
experiência aos consumidores, consequen- Dados anonimizados: dado relativo a titular que não possa ser identificado,
temente permite estar à frente dos seus considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião
competidores”. Ter a oportunidade de pro- de seu tratamento
porcionar um serviço de forma diferenciada Tratamento de dados: conjunto de operações efetuadas sobre dados pessoais
aos clientes é uma das razões principais por meios manuais e automatizados
que levaram tantas organizações a coletar
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem
uma grande quantidade de dados.
competem as decisões referentes ao tratamento de dados pessoais
“O usuário migrar para uma plataforma
mobile faz com que tenha que se preocupar Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza
com conteúdo, segmentação, customiza- o tratamento de dados pessoais em nome do controlador
ção. Caso contrário, ele vai embora”, afirma
Pedro Fleury, diretor de TI da Webmotors.
Segundo o executivo, o dado é fundamen-
tal para criar uma estratégia relevante para organizações. Mostra como você pensa, HIERARQUIZAÇÃO E
o cliente dentro da jornada de compra e onde vive, como está. É o caminho direto às CLASSIFICAÇÃO DE
venda de um produto. “Além disso, a pró- pessoas”, avalia. “Para o Varejo, especifica- DADOS
pria informação é utilizada como um atri- mente, é o meio de acesso ao consumidor, A Transformação Digital, tema presente
buto de segurança, já que a plataforma uma forma de atender aos anseios dele, na agenda dos profissionais de Tecnologia
intermedia uma transação financeira entre mas também de demonstrar o respeito por e Segurança da Informação nos últimos
vendedor e comprador. Consultamos diver- aquilo que ele nos oferece”. anos, é fundamentada em plataformas
sos birôs de crédito, fazemos modelos de Paulo Yukio, especialista em Segurança tecnológicas e uma das responsáveis pela
análises, entre outras práticas, para evitar o da Informação e ex-líder de SI da Ambev, enorme geração de dados existentes hoje,
processo fraudulento”, complementa. reforça que a LGPD diz respeito ao dado principalmente por meio das mídias sociais.
Segundo Ticiano Benetti, CSO da pessoal e que chegou para certificar que o Atualmente, mais da metade da população
Natura, é a importância do dado hoje que Brasil será capaz de negociar com outras mundial tem acesso à internet, resultando
levou autoridades a se preocuparem com regiões mundiais que estão nesse escopo em mais de quatro bilhões de pessoas
a forma como essas informações são trata- de lei. Além disso, o executivo destaca que conectadas à rede, sendo que três bilhões
das. “Ele tem uma característica especial: é um momento oportuno de crescimento de usuários são ativos em mídias sociais de
faz com que a gente conheça pessoas e profissional para quem atua na área. diferentes tipos. É essa enxurrada de infor-
DA ESQUERDA PARA A DIREITA: PAULO FERREIRA, INFORMATION SECURITY OFFICER DO GRUPO PÃO DE AÇÚCAR - PEDRO FLEURY, DIRETOR DE TI DA WEBMOTORS - TICIANO
BENETTI, CSO DA NATURA - PAULO YUKIO, ESPECIALISTA EM SEGURANÇA DA INFORMAÇÃO E EX-LÍDER DE SI DA AMBEV - MARCOS TUPINAMBÁ, COORDENADOR DO LABORATÓRIO
DA ESQUERDA PARA A DIREITA: ADRIANO BREVIGLIERI, ENGENHEIRO DE TI DO TRIBUNAL DE JUSTIÇA DE SÃO PAULO - GLAUCO SAMPAIO, INFORMATION SECURITY MANAGER DO
BANCO ORIGINAL - RENATO AUGUSTO, GERENTE DE SEGURANÇA DA INFORMAÇÃO DO BRADESCO - BRUNO ZANI, HEAD OF CLOUD SECURITY SALES DA MCAFEE - ROBERTO TOSCANI,
mações que levou organizações a armaze- nir melhor os níveis de proteção, senão o Segundo Roberto Toscani, gerente de
narem grandes quantidades de dados. custo fica inviável. Cresceu a complexidade Segurança da Informação e Prevenção a
No entanto, a LGPD exigirá das organi- de classificação e trouxe de forma mais Fraude Global da LIQ, a LGPD mudará até
zações uma nova postura frente ao tema, explícita o desafio de criar um inventário modelos de negócios. As empresas pres-
forçando-as a repensarem se elas de fato de dados, que precisa ser mais robusto. As tadoras de serviços, que lidam com dados
precisarão de tanta informação. “As empre- empresas terão que rever essa hierarquiza- internos e externos, como as de contact
sas têm muitos dados, acima do que é ção”, opina Glauco Sampaio, Information center que compram mailings, terão que
necessário. A lei irá fazê-las refletir sobre Security Manager do Banco Original. verificar como tal coleta foi feita, se foi
essa necessidade, afinal, cada vez que se Parece não haver dúvidas entre os consentida pelo usuário. “No caso da LIQ,
armazena um dado, gasta-se recursos para especialistas que a LGPD exigirá observar a já estamos trabalhando intensamente
protegê-lo”, explica Marcos Tupinambá, classificação de dados de outra maneira e considerando esse cenário junto aos
coordenador do Laboratório de Análise de isso vale até mesmo para os setores mais consultores, tanto pela forma que coleta-
Crimes Eletrônicos da Polícia Civil. maduros, como o financeiro. “A nova lei mos dados como o que é fornecido pelo
Para Adriano Breviglieri, engenheiro vai demandar uma cultura de governança cliente”, explica.
de TI do Tribunal de Justiça de São Paulo, e gestão com foco nos dados pessoais. Se houve uma mudança imediata, após
o dado no setor público tem uma impor- Soma-se a isso o fato de que muitos ainda a nova lei ser sancionada, foi o interesse
tância diferente do Varejo. Os órgãos de terão que rever até mesmo o dado já clas- despertado em outros departamentos da
Governo pegam os dados do cidadão e sificado para entender que tipo de consen- empresa sobre como terão que lidar com
mantêm fechado, abrindo conforme vão timento o usuário deu para tratar aquela os dados de agora em diante. “Percebo que
entendendo o que não é crítico. “Um desa- informação. É a revisão do conceito de clas- a área de marketing está consultando mais
fio para as empresas de comércio é olhar sificação com foco no aspecto pessoal”, o pessoal de Segurança a fim de entender
o inverso. Fecho, mantenho internamente acrescenta Renato Augusto, gerente de as mudanças e como isso deve ser condu-
e vou liberando conforme entende que Segurança da Informação do Bradesco. zido”, avalia Willians Santos, coordenador
não é segredo de justiça”. Segundo ele, Para Bruno Zani, Head of Cloud Secu- de Governança e Segurança da Informação
todo dado é importante, mas nem tudo é rity Sales da McAfee, a LGPD cria dois rótu- da Somos Educação.
segredo. “O desafio é entender o que não los: o que é dado pessoal e dado sensível. Esse interesse por outras áreas é
é crítico”. “Ou seja, o ciclo de vida da informação vai positivo, porque a LGPD cria uma res-
A LGPD traz um peso maior para a mudar totalmente, desde a forma como ponsabilidade muito grande em cada
questão da proteção dos dados, que aca- coleto e gravo. A maneira como as empre- uma das empresas que manipula dados,
bava sendo ignorada por algumas frentes. sas terão que deletar um dado interfere principalmente para quem os manipula.
“A lei tornou claro que não se trata mais na forma como eles serão tratados numa O artigo 42, inciso 1, prevê que o opera-
apenas de dados diretos, como nome e organização. Isso vai mexer com sistemas, dor responde solidariamente em caso de
sobrenome, mas também informações processos e fazer com que as empresas problema, ou seja, ele é tão responsável
indiretas. Ou seja, aumentou o prisma de repensem se coletarão essa grande quan- quanto a organização. Na opinião de Edson
necessidade de controle e é preciso defi- tidade de dados”. Sivieri, diretor de TI e SI da Cushman &
E XECUTIVE RE PO RT 9
Wakefield, a Lei reforça a responsabilização de uso do dado por parte dos colaboradores,
que demandará um grande investimento em conscientização sobre como eles trabalharão É RESPONSABILIDADE DO
daqui para frente. ENCARREGADO:
Embora a LGPD ainda tenha alguns pontos obscuros, Carlos Jardim, Sales Engineering
Leader da McAfee, acredita que as novas diretrizes trarão um olhar sobre a segurança não Receber reclamações dos titulares dos
visto até então, exigindo não apenas ajustes na classificação, mas uma preocupação com
todo o ciclo de vida do dado, afinal, os dados podem estar espalhados e o responsável terá dados, prestar esclarecimentos e adotar
que se certificar que a resposta a um incidente irá englobar essa informação onde quer que providências
ela esteja.
Comunicar com a Autoridade Nacional
sentido. Uma entidade reguladora seria boa público assumir o incidente, clientes serão
para dar uma base no processo de adequa- prejudicados, a imagem da empresa será
ção”, explica Renato Augusto. danificada, pessoas podem ser dispensa-
A counicação em caso de vazamento de das, sua empresa pode ser impedida de
dados é um dos pontos destacados por Car- operar. Ou seja, tudo isso já diz muito sobre
los Jardim, da McAfee, que deveria ser escla- se vale a pena correr os riscos”, observou o
recido por uma Agência reguladora. A nova especialista em SI, Paulo Yukio.
Lei prevê um “prazo razoável” para anúncio “A chance de chegar 100% no prazo
público em caso de incidente, porém, não já é difícil, mas é preciso fazer o melhor
é claro quanto tempo se trata essa referên- para estar o mais aderente possível”, disse
cia. Além disso, eles torcem para que esse Glauco Sampaio, do Banco Original. O exe-
órgão seja criado o quanto antes a fim de cutivo destaca uma recente pesquisa feita
dar um direcionamento às empresas antes pós-implantação da GDPR na Europa, onde
que surjam outros desdobramentos, novas apenas 10% diziam estar 100% aderentes
regras e consequentemente prazos recon- ao novo Regulamento. A maioria das organi-
siderados, prejudicando quem já está em zações consultadas havia atingido cerca de
processo de adequação. 70% do processo e lembrou que elas ainda
tiveram mais prazo para se adequar que os
PRAZOS FACTÍVEIS? brasileiros terão.
Na opinião dos especialistas, o fato de Apesar da desconfiança, Bruno Zani da
a ANPD ter sido vetada levanta a suspeita McAfee acredita que a LGPD veio para fazer
de que a Lei não entre em vigor no prazo as coisas acontecerem. “Tudo que era boa
estipulado ou não seja levada a sério pelas prática de segurança virou lei”. Carlos Jar-
empresas. No entanto, todos concordam dim, também da McAfee, complementa a DE CIMA PARA BAIXO:
que esse é um caminho sem volta e a exe- visão de Zani acrescentando que a Lei exi- WILLIANS SANTOS, COORDENADOR
cução dela é para valer. Portanto, quem girá a evolução da área de Segurança, que DE GOVERNANÇA E SEGURANÇA DA
ainda não começou a se preparar é bom terá de se adaptar e abandonar a visão de INFORMAÇÃO DA SOMOS EDUCAÇÃO
correr, pois o prazo é curto. “Colocar dados que uma única e determinada tecnologia irá - EDSON SIVIERI, DIRETOR DE TI E SI
pessoais sob controle pressupõe projetos gerenciar e adequar esses dados às novas DA CUSHMAN & WAKEFIELD - CARLOS
JARDIM, SALES ENGINEERING LEADER
complexos e isso não se faz em dois ou três diretrizes. Além de envolver pessoas espe-
DA MCAFEE
meses”, alertou Ticiano Benetti, da Natura. cializadas, será preciso rever os processos
“As multas correspondem a R$ 50 de Segurança, Risco e Governança e tam-
milhões por infração. O DPO terá que ir a bém toda a arquitetura tecnológica.
Empresas que não estiverem aderentes à LGPG ou infringirem alguma das práticas
diária, publicação da infração, bloqueio dos dados e eliminação dos dados afetados
E XECUTIVE RE PO RT 1 1
O PA P E L D A
TECNOLOGIA
LGPD
s soluções de DLP/CASB: capaz de garantir a correta SIEM: ideal para assegurar a integridade
classificação, utilização, reprodução, trans- dos dados, arquivamento ou armazena-
Segurança da
missão, distribuição, transferência, difusão mento, uma vez que os logs também pos-
Informação terão ou extração de dados. suem dados pessoais internos e externos. É
também fundamental para a correta manu-
um papel crucial
CHANGE CONTROL: essencial para tenção e pesquisa dos registros.
na jornada das empresas para controlar a permissão de acesso, registro e
estarem em conformidade modificação dos dados. EDR: rastreia os dados onde quer que
estejam para que as organizações não ape-
com a LGPD. A McAfee tem IPS: responsável por garantir proteção na nas respondam aos incidentes, mas tam-
uma série de tecnologias que camada de comunicação dos clientes e pro- bém identifiquem o local exato da existên-
teção contra extração de dados através de cia, optar pela eliminação ou obter rápido
poderão auxiliar as organiza- ataques avançados advindos da rede. Con- acesso aos dados, já que o titular poderá
ções a tornar esse processo trola acessos não autorizados ou comuni- requerer a informação a qualquer momento.
cações ilícitas. Esta ferramenta ainda é crucial para avalia-
mais rápido e efetivo. São elas: ção do impacto de um vazamento interno,
acidental ou não.
1 2 E XECUTIVE RE PO RT