LGPD para DBAsUma visão geral sobre a nova lei

Erika Nagamine

DBA Brasil - #DB4 – Maio 2019

+

_ XL e i : 1 3 . 7 0 9 / 2 0 1 8 – 1 4 / 0 8 / 2 0 1 8

Fonte: https://periciacomputacional.com/lgpd-lei-geral-brasileira-de-protecao-de-dados/

DBA Brasil - #DB4 – Maio 2019

+

Digita lE c o n o m i a

Pessoas | devices Dados | Informação

Cada vez mais Pessoas conectadas

_ Celulares

_ Computadores

_ Câmeras fotográficas

Geração de informaçõestroca de dados

_ IOT

_ Machine Learning

_ Blockchain

++

+Fonte: https://twitter.com/satyanadella/status/456133776947425282 DBA Brasil - #DB4 – Maio 2019

+Fonte: https://visual.ly/community/infographic/computers/world-data DBA Brasil - #DB4 – Maio 2019

+Fonte: https://www.visualcapitalist.com/what-happens-in-an-internet-minute-in-2019 DBA Brasil - #DB4 – Maio 2019

+Fonte: https://medium.com/@Dana_dam/are-digital-platform-companies-like-uber-airbnb-disrupting-traditional-industries-

f86835065a4DBA Brasil - #DB4 – Maio 2019

+Fonte: https://gizmodo.uol.com.br/maneiras-localizacao-rastreada/ DBA Brasil - #DB4 – Maio 2019

+

_ XS E U D A D O : E S T Á S E G U R O ?

Fonte: https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks DBA Brasil - #DB4 – Maio 2019

+Fonte: https://haveibeenpwned.com DBA Brasil - #DB4 – Maio 2019

+

_ XM a s p o r q u e : a d o t a r a L G P D ?

• Possibilidade de adequação para trazer novos negócios / manter os investimentos no Brasil

• Respaldo jurídico

• Atualização das leis presentes

• Criação de uma cultura de proteção a dados

DBA Brasil - #DB4 – Maio 2019

+Fonte: https://www.cnil.fr/en/data-protection-around-the-world DBA Brasil - #DB4 – Maio 2019

+

_ XA S P E C T O S G E R A I S

• Aplicabilidade: aplica-se a qualquer pessoal, natural ou jurídica – publica ou privada – que realize tratamento de dados

pessoais, inclusive por meios digitais

• Tratamento de dados pessoais: coleta, armazenamento, compartilhamento, exclusão, etc.

• Dado pessoal: qualquer informação que possa levar a identificação de uma pessoa, de maneira direta ou indireta.

• Assessment sobre tratamento de dados

• Transferencia de dados extraterritorial

• Escopo: territorial e extraterritorial

• Não é relevante:

- meio de operação para o tratamento de dados

- Pais sede da empresa

- localização dos dados

- Nacionalidade dos titulares dos dados

Art. 1, 3, 4, 38

DBA Brasil - #DB4 – Maio 2019

+

_ XT I P O S D E D A D O S P E S S O A I S

• Dado pessoal

• Dado pessoal sensível

• Dado anonimizado

Art. 5: I,II,III

DBA Brasil - #DB4 – Maio 2019

+

_ XE N V O LV I D O S | L G P D

• Banco de dados

• Titular

• Controlador

• Operador

• Encarregado (DPO)

• Autoridade Nacional (ANPD)

Art. 5: IV,V,VI,VI,VII,VIII,IX,XIX

Art. 41,55

DBA Brasil - #DB4 – Maio 2019

+

_ XÁ r e a s I m p a c t a d a s | L G P D

• Banco de dados

• Titular

• Controlador

• Operador

• Encarregado (DPO)

• Autoridade Nacional (ANPD)

Art. 5: IV,V,VI,VI,VII,VIII,IX,XIX

Art. 41,55

DBA Brasil - #DB4 – Maio 2019

+

_ XT R ATA M E N T O | D A D O S P E S S O A I S

• Toda operação realizada com dados

• Anonimização

• Pseudononimimização

• Privacidade por design / Privacidade por padrão (Privacy by design / Privacy by default)

• Veja na palestra da Rayssa – “Nem tudo que reluz é ouro! A importância do design na visualização de dados!”

• O tratamento de dados deve envolver técnicas de segurança e governança

Art. 5: X,XI

Capitulo VII – Art 46, 47

DBA Brasil - #DB4 – Maio 2019

+

_ XA U T O R I Z A Ç Ã O T R A T A M E N T O D E D A D O

1. Consentimento

2. Cumprimento de obrigação legal ou regulatória

3. Execução de politicas publicas

4. Estudos por órgãos de pesquisa

5. Execução de contrato

6. Exercício regular do direito

7. Proteção a vida

8. Tutela da Saúde

9. Interesses legítimos do Controlador / Terceiro

10. Proteção ao Credito

Art. 5: XII

Art. 7: I,II, III,IV,V,VI,VII,VIII,IX,X

DBA Brasil - #DB4 – Maio 2019

+

_ XA U T O R I Z A Ç Ã O T R A T A M E N T O D A D O S E N S I V E L

1. Consentimento especifico e destacado

2. Estudos por órgão de pesquisa

3. Proteção a saúde

4. Prevenção a fraude e a segurança do titular

5. Execução de politicas publicas

6. Proteção a vida

7. Exercício regular de direitos

8. Cumprimento de obrigação legal ou regulatória

Capitulo II, Sessão II

Art. 11, 12, 13

DBA Brasil - #DB4 – Maio 2019

+

_ XD I R E I T O T I T U L A R D E D A D O P E S S O A L

• Confirmação da existência de tratamento

• Acesso aos dados

• Correção de dados incompletos

• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados ilicitamente

• Eliminação dos dados pessoais

• Portabilidade dos dados a outro fornecedor de serviço ou produto

• Informações das entidades com as quais o controlador realizou o uso compartilhado dos dados

• Informação sobre a possibilidade de não fornecer consentimento

• Revogação do consentimento

• Reclamação à autoridade nacional

• Oposição ao tratamento, se irregular

Capitulo III

Art. 17,18,19,20,21,22

DBA Brasil - #DB4 – Maio 2019

+

_ XR E L AT Ó R I O D E I M PA C T O ( D P I A )

• Elaboração de um relatório de impacto a dados pessoais

• O relatório deverá conter:

• a descrição dos tipos de dados coletados

• a metodologia utilizada para a coleta

• Garantia da segurança das informações

• Análise do controlador com relação a medidas de backup e rastreio das informações

• Mecanismos de mitigação de risco adotados.

Art. 38

DBA Brasil - #DB4 – Maio 2019

+

_ XN O T I F I C A Ç Ã O D E U M I N C I D E N T E

• Controlador deve comunicar a ANPD qualquer incidente que acarrete dano ou risco ao titular

• A comunicação deverá ser feita em prazo razoável

Capitulo VIII

Art. 48

DBA Brasil - #DB4 – Maio 2019

+

_ XS A N S Õ E S A P L I C Á V E I S

• Fiscalização pela ANPD

• Agentes de tratamento podem sofrer por infração

• Advertência

• Multa Diária

• Multa simples de até 2% do faturamento da empresa limitado a R$ 50.000.000

Capitulo VIII

Art. 52,53,54

DBA Brasil - #DB4 – Maio 2019

+

_ XC O M O O D B A A J U D A N A A D E Q U A Ç Ã O A L E I ?

Mapeamento Prevenção Detecção

Processos

usuários

Dados

Riscos

Encriptação

Controle de acesso

Separação de papeis

Pseudononimização

Anonimização

Auditoria

Monitoração

Alerta

Relatórios

Art 5 e 12 (dados pessoais)

Art 37 (processamento)

Art 5,10,38 (DPIA)

Art13 (pseudonimização)

Art 6,46 (segurança

dados/violações)

Art 49 (atualização / boas

práticas)

Art. 48 (Notificação)

Art 6,46 (segurança

dados/violações)

Art 50 (boas práticas)

DBA Brasil - #DB4 – Maio 2019

+

_ XA R Q U I T E T U R A D E S E G U R A N Ç A D A O R A C L E

Fonte: https://slideplayer.com/slide/14238450/

TransparentDataEncryption

Key Vault

###-##-5100

Data Redaction DatabaseFirewall

Analise de privilegios

Data Masking

010-11-5100022-22-5001

Audit Vault

Audit Data

Database Vault

DBSAT

DBAs | App Adm

usuáriosAplicações

Test SQADev

DBA Brasil - #DB4 – Maio 2019

+

_ XC O M O O D B A A J U D A N A A D E Q U A Ç Ã O A L E I ?

Mapeamento Prevenção Detecção

Processos

usuários

Dados

Riscos

Encriptação

Controle de acesso

Separação de papeis

Pseudononimização

Anonimização

Auditoria

Monitoração

Alerta

Relatórios

DBSAT

Data Masking

Transparent data Encryption

Audit vault

Data redaction

Database firewall

Atualização de banco de

dados

Audit vault

DBA Brasil - #DB4 – Maio 2019

+DBA Brasil - #DB4 – Maio 2019

_ XD B S AT D B S E C U R I T Y A S S E S S M E N T T O O L

• Identifica gaps e propoe boas praticas

• Ajuda no discovery de informações

• Link: https://www.oracle.com/database/technologies/security/dbsat.html

+

_ XI N F O R M A Ç Õ E S G e r a i s

• Só aplicando as tecnicas apresentadas sua empresa está em compliance? Não!

• Governança (art. 49)

• Gestão de dados (art. 5, 49)

• Links:

• http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm• https://www.oracle.com/technetwork/database/security/wp-security-dbsec-gdpr-3073228.pdf• https://www.oracle.com/webfolder/s/delivery_production/docs/FY16h1/doc37/OracleGDPR-SecuritySolutions-

july17.pdf?elq_mid=83244&sh=9182419269231522212225592215814208&cmid=EMMK170606P00046• https://www.mysql.com/why-mysql/white-papers/mysql-enterprise-edition-gdpr/

DBA Brasil - #DB4 – Maio 2019

LGPD para DBAs

Erika Nagamine

Boa tarde! J