Formacao de DBAs - Parte 8 - Banco de Dados Distribuí-do.pdf
LGPD para DBAs - DBA BRASILLGPD para DBAs Erika Nagamine Boa tarde! J Title Apresentação do...
Transcript of LGPD para DBAs - DBA BRASILLGPD para DBAs Erika Nagamine Boa tarde! J Title Apresentação do...
DBA Brasil - #DB4 – Maio 2019
+
_ XL e i : 1 3 . 7 0 9 / 2 0 1 8 – 1 4 / 0 8 / 2 0 1 8
Fonte: https://periciacomputacional.com/lgpd-lei-geral-brasileira-de-protecao-de-dados/
DBA Brasil - #DB4 – Maio 2019
+
Digita lE c o n o m i a
Pessoas | devices Dados | Informação
Cada vez mais Pessoas conectadas
_ Celulares
_ Computadores
_ Câmeras fotográficas
Geração de informaçõestroca de dados
_ IOT
_ Machine Learning
_ Blockchain
++
+Fonte: https://www.visualcapitalist.com/what-happens-in-an-internet-minute-in-2019 DBA Brasil - #DB4 – Maio 2019
+Fonte: https://medium.com/@Dana_dam/are-digital-platform-companies-like-uber-airbnb-disrupting-traditional-industries-
f86835065a4DBA Brasil - #DB4 – Maio 2019
+
_ XS E U D A D O : E S T Á S E G U R O ?
Fonte: https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks DBA Brasil - #DB4 – Maio 2019
+
_ XM a s p o r q u e : a d o t a r a L G P D ?
• Possibilidade de adequação para trazer novos negócios / manter os investimentos no Brasil
• Respaldo jurídico
• Atualização das leis presentes
• Criação de uma cultura de proteção a dados
DBA Brasil - #DB4 – Maio 2019
+
_ XA S P E C T O S G E R A I S
• Aplicabilidade: aplica-se a qualquer pessoal, natural ou jurídica – publica ou privada – que realize tratamento de dados
pessoais, inclusive por meios digitais
• Tratamento de dados pessoais: coleta, armazenamento, compartilhamento, exclusão, etc.
• Dado pessoal: qualquer informação que possa levar a identificação de uma pessoa, de maneira direta ou indireta.
• Assessment sobre tratamento de dados
• Transferencia de dados extraterritorial
• Escopo: territorial e extraterritorial
• Não é relevante:
- meio de operação para o tratamento de dados
- Pais sede da empresa
- localização dos dados
- Nacionalidade dos titulares dos dados
Art. 1, 3, 4, 38
DBA Brasil - #DB4 – Maio 2019
+
_ XT I P O S D E D A D O S P E S S O A I S
• Dado pessoal
• Dado pessoal sensível
• Dado anonimizado
Art. 5: I,II,III
DBA Brasil - #DB4 – Maio 2019
+
_ XE N V O LV I D O S | L G P D
• Banco de dados
• Titular
• Controlador
• Operador
• Encarregado (DPO)
• Autoridade Nacional (ANPD)
Art. 5: IV,V,VI,VI,VII,VIII,IX,XIX
Art. 41,55
DBA Brasil - #DB4 – Maio 2019
+
_ XÁ r e a s I m p a c t a d a s | L G P D
• Banco de dados
• Titular
• Controlador
• Operador
• Encarregado (DPO)
• Autoridade Nacional (ANPD)
Art. 5: IV,V,VI,VI,VII,VIII,IX,XIX
Art. 41,55
DBA Brasil - #DB4 – Maio 2019
+
_ XT R ATA M E N T O | D A D O S P E S S O A I S
• Toda operação realizada com dados
• Anonimização
• Pseudononimimização
• Privacidade por design / Privacidade por padrão (Privacy by design / Privacy by default)
• Veja na palestra da Rayssa – “Nem tudo que reluz é ouro! A importância do design na visualização de dados!”
• O tratamento de dados deve envolver técnicas de segurança e governança
Art. 5: X,XI
Capitulo VII – Art 46, 47
DBA Brasil - #DB4 – Maio 2019
+
_ XA U T O R I Z A Ç Ã O T R A T A M E N T O D E D A D O
1. Consentimento
2. Cumprimento de obrigação legal ou regulatória
3. Execução de politicas publicas
4. Estudos por órgãos de pesquisa
5. Execução de contrato
6. Exercício regular do direito
7. Proteção a vida
8. Tutela da Saúde
9. Interesses legítimos do Controlador / Terceiro
10. Proteção ao Credito
Art. 5: XII
Art. 7: I,II, III,IV,V,VI,VII,VIII,IX,X
DBA Brasil - #DB4 – Maio 2019
+
_ XA U T O R I Z A Ç Ã O T R A T A M E N T O D A D O S E N S I V E L
1. Consentimento especifico e destacado
2. Estudos por órgão de pesquisa
3. Proteção a saúde
4. Prevenção a fraude e a segurança do titular
5. Execução de politicas publicas
6. Proteção a vida
7. Exercício regular de direitos
8. Cumprimento de obrigação legal ou regulatória
Capitulo II, Sessão II
Art. 11, 12, 13
DBA Brasil - #DB4 – Maio 2019
+
_ XD I R E I T O T I T U L A R D E D A D O P E S S O A L
• Confirmação da existência de tratamento
• Acesso aos dados
• Correção de dados incompletos
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados ilicitamente
• Eliminação dos dados pessoais
• Portabilidade dos dados a outro fornecedor de serviço ou produto
• Informações das entidades com as quais o controlador realizou o uso compartilhado dos dados
• Informação sobre a possibilidade de não fornecer consentimento
• Revogação do consentimento
• Reclamação à autoridade nacional
• Oposição ao tratamento, se irregular
Capitulo III
Art. 17,18,19,20,21,22
DBA Brasil - #DB4 – Maio 2019
+
_ XR E L AT Ó R I O D E I M PA C T O ( D P I A )
• Elaboração de um relatório de impacto a dados pessoais
• O relatório deverá conter:
• a descrição dos tipos de dados coletados
• a metodologia utilizada para a coleta
• Garantia da segurança das informações
• Análise do controlador com relação a medidas de backup e rastreio das informações
• Mecanismos de mitigação de risco adotados.
Art. 38
DBA Brasil - #DB4 – Maio 2019
+
_ XN O T I F I C A Ç Ã O D E U M I N C I D E N T E
• Controlador deve comunicar a ANPD qualquer incidente que acarrete dano ou risco ao titular
• A comunicação deverá ser feita em prazo razoável
Capitulo VIII
Art. 48
DBA Brasil - #DB4 – Maio 2019
+
_ XS A N S Õ E S A P L I C Á V E I S
• Fiscalização pela ANPD
• Agentes de tratamento podem sofrer por infração
• Advertência
• Multa Diária
• Multa simples de até 2% do faturamento da empresa limitado a R$ 50.000.000
Capitulo VIII
Art. 52,53,54
DBA Brasil - #DB4 – Maio 2019
+
_ XC O M O O D B A A J U D A N A A D E Q U A Ç Ã O A L E I ?
Mapeamento Prevenção Detecção
Processos
usuários
Dados
Riscos
Encriptação
Controle de acesso
Separação de papeis
Pseudononimização
Anonimização
Auditoria
Monitoração
Alerta
Relatórios
Art 5 e 12 (dados pessoais)
Art 37 (processamento)
Art 5,10,38 (DPIA)
Art13 (pseudonimização)
Art 6,46 (segurança
dados/violações)
Art 49 (atualização / boas
práticas)
Art. 48 (Notificação)
Art 6,46 (segurança
dados/violações)
Art 50 (boas práticas)
DBA Brasil - #DB4 – Maio 2019
+
_ XA R Q U I T E T U R A D E S E G U R A N Ç A D A O R A C L E
Fonte: https://slideplayer.com/slide/14238450/
TransparentDataEncryption
Key Vault
###-##-5100
Data Redaction DatabaseFirewall
Analise de privilegios
Data Masking
010-11-5100022-22-5001
Audit Vault
Audit Data
Database Vault
DBSAT
DBAs | App Adm
usuáriosAplicações
Test SQADev
DBA Brasil - #DB4 – Maio 2019
+
_ XC O M O O D B A A J U D A N A A D E Q U A Ç Ã O A L E I ?
Mapeamento Prevenção Detecção
Processos
usuários
Dados
Riscos
Encriptação
Controle de acesso
Separação de papeis
Pseudononimização
Anonimização
Auditoria
Monitoração
Alerta
Relatórios
DBSAT
Data Masking
Transparent data Encryption
Audit vault
Data redaction
Database firewall
Atualização de banco de
dados
Audit vault
DBA Brasil - #DB4 – Maio 2019
+DBA Brasil - #DB4 – Maio 2019
_ XD B S AT D B S E C U R I T Y A S S E S S M E N T T O O L
• Identifica gaps e propoe boas praticas
• Ajuda no discovery de informações
• Link: https://www.oracle.com/database/technologies/security/dbsat.html
+
_ XI N F O R M A Ç Õ E S G e r a i s
• Só aplicando as tecnicas apresentadas sua empresa está em compliance? Não!
• Governança (art. 49)
• Gestão de dados (art. 5, 49)
• Links:
• http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm• https://www.oracle.com/technetwork/database/security/wp-security-dbsec-gdpr-3073228.pdf• https://www.oracle.com/webfolder/s/delivery_production/docs/FY16h1/doc37/OracleGDPR-SecuritySolutions-
july17.pdf?elq_mid=83244&sh=9182419269231522212225592215814208&cmid=EMMK170606P00046• https://www.mysql.com/why-mysql/white-papers/mysql-enterprise-edition-gdpr/
DBA Brasil - #DB4 – Maio 2019