Proteção de Dados Pessoaisebooklgpd.pgadvogados.com.br/wp-content/uploads/2019/05/PG_Dir… ·...

Proteção de Dados Pessoais:

Passo-a-passo para conformidade

à LGPD e GDPR

INFORMAÇÃO CONFIDENCIAL

ÍNDICE:

1. Como iniciar......................................................................................................................3

2. Quais os principais desafios....................................................................................6

3. Escopo do projeto.........................................................................................................8

4. Perfil da equipe...............................................................................................................10

5. Grau de maturidade sobre Proteção de Dados Pessoais......................12

6. A seleção do fornecedor.............................................................................................14


3

1) COMO INICIAR ________________________________________________________________________

Como toda nova regulamentação, o primeiro passo é o de identificar qual o estágio atual que a Instituição se encontra e fazer um comparativo com como ela deveria se adequar para estar em conformidade com as novas regras.

Sendo assim, o projeto inicia com o levantamento do Diagnóstico de Riscos e Conformidade. Para poder realizar esta análise, é importante identificar algumas questões iniciais:

a) Qual o segmento de atuação da instituição

b) Qual o modelo societário (instituição pública, economia mista, LTDA, aberta S.A, startup)

c) Quantas localidades opera e que deverão ser consideradas na análise

d) Se for Grupo Econômico, quais são as empresas que integram o Grupo

O Diagnóstico em geral contém duas partes: 1. Levantamento e 2. Análise, e deve considerar no mínimo os seguintes itens:

Parte 1: Levantamento – em geral é usada metodologia de questionário e também é recomendável a aplicação de alguma solução de Data Discovery (data mapping) para identificar onde de fato estão depositados os dados pessoais e se já há alguma vulnerabilidade de segurança que possa ser um facilitador para uma violação ou vazamento.

a) Organograma da empresa

b) Inventário dos dados pessoais atuais (legado) – quais são?

c) Mapeamento e desenho do fluxo dos dados pessoais com o seu ciclo de vida dos dados pessoais – por onde entram (formas de captura), onde ficam armazenados, quais os controles aplicados, se há compartilhamento com terceiros (inclusive dentro do próprio grupo econômico) e como é feita a sua eliminação.


4

d) Lista dos sistemas de informação que tratam dados pessoais (próprios ou terceirizados) com identificação dos fornecedores relevantes

e) Lista dos documentos que precisarão passar por atualização (ex: Política de Privacidade, Política de Cookies, Termos de Uso, Política de Segurança da Informação, NDA)

f) Tabela de temporalidade (guarda dos dados pessoais)

Parte 2: Análise – Deve considerar os principais domínios trazidos pela regulamentação


5

a) Cenário geral – principais achados do diagnóstico b) Matriz de Riscos e Conformidade com apresentação de severidade (se possível usar

alguma referência ao COBIT ou outro relacionado) c) Como atender a nova regulamentação e continuar a maximizar o uso dos dados pessoais

no negócio – estratégias para justificar o tratamento e a retenção dos dados pessoais d) O que precisará ser ajustado urgente – destaque para as implementações mais

importantes (principalmente se afetar algum ajuste de modelo de negócios) e) Lista dos processos e documentos que precisam ser criados (não existiam) ou precisam

ser atualizados (para adequação à nova regulamentação)

Junto com o Diagnóstico deve ser apresentado então um Plano de Ação com priorização das atividades, visto que algumas possuem um impacto e um risco maior para a instituição do que outros.

0

1

2

3

4

5

6

7

8

9

10

1. Governança deProteção de Dados

2. Gestão de DadosPessoais

3. Segurança daInformação

4. Gestão de Riscodos Dados Pessoais

5. Gestão de DadosPessoais em

Terceiros

6. Gestão deIncidentes

Resumo do Diagnóstico Proteção de Dados

Controles Atingimento


6

2) QUAIS OS PRINCIPAIS DESAFIOS ________________________________________________________________________

O principal desafio desta nova regulamentação é o fato dela ter uma característica híbrida, que exige conhecimentos multidisciplinares, tanto técnicos (relacionados à governança de dados e de segurança da informação) quanto jurídicos (para definir as prioridades, realizar a atualização documental e apoiar na resposta à incidentes).

Além disso, a conformidade à nova lei envolve vários departamentos que precisarão participar do projeto desde o início para fins de diagnóstico adequado, mas que depois terão um dever de casa para manutenção da conformidade, pois há uma gestão contínua desta pauta.

Em geral, a coleta de informações exige o envolvimento da área de Tecnologia da Informação (TI), área de Segurança da Informação (SI), área de gestão de pessoas (RH), área de negócios (N), área de marketing (MKT), do próprio jurídico (JUR) e do compliance (COM). Mas dependendo do perfil da instituição pode ser necessário envolver área de Auditoria (AU), Riscos (R), Relações com Investidor (RI), Produção (PROD), Atendimento de Consumidor (SAC).

Como o tema é novo, há uma lacuna de conhecimento que precisa ser sanada. Logo no começo é recomendável um workshop de sensibilização para as principais áreas envolvidas, de modo a uniformizar o conhecimento e já deixar claro o grau de participação de cada uma dentro do projeto para que tenha êxito.


7

• O QUE PODE DAR ERRADO NO PROJETO:

• Dificuldade de levantar as informações podendo provocar atrasos.

• Utilizar mais de um fornecedor para parte técnica e jurídica e haver dificuldade de conciliação e integração entre as equipes.

• Falta de liderança clara na condução do projeto internamente na instituição devido a envolver várias áreas (problema do “é de todo mundo, mas não é de ninguém”).

• Receber um diagnóstico muito teórico sobre a lei sem as devidas adaptações com a realidade do negócio e sem uma visão estratégica de como será a governança dos dados pessoais com maior aproveitamento possível deste ativo (redução de riscos e perdas).

• Falta de um plano de ação detalhado para executar as implementações que precisam estar priorizadas dentro de alguma metodologia de análise de riscos e impactos.

• Deixar de verificar (confirmar ou auditar) que as implementações foram efetivamente realizadas.

• Terminar não preparando a continuidade pós implementação para fazer a gestão e permitir aplicar um modelo PDCA para aprendizagem e manutenção das atualizações futuras conforme a evolução do negócio.

• Ocorrer um incidente de vazamento de informação com necessidade de ação rápida e resposta à crise de imagem ainda durante a execução do projeto e não estar preparado com o procedimento para tratar deste evento de forma coordenada e eficiente.


8

3) ESCOPO DO PROJETO ________________________________________________________________________

O projeto para conformidade às novas regulamentações de proteção de dados pessoais deve, logo de início, identificar da melhor forma o escopo e abrangência. Para tanto, é preciso saber:

a) Perfil de tratamento dos dados pessoais: se vai incluir todo tipo de dado pessoal, com qualquer relação jurídica ou vai focar em alguma categoria em específico. Isso porque a legislação está relacionada a dados de funcionários, dados de cliente (consumidor PF), dados de pessoa física associada aos contratos de pessoa jurídica (clientes PJ com representantes PF), dados de acionistas (investidores).

b) Se pela atuação da empresa vai necessitar comparar ordenamentos jurídicos (ex: analisar GDPR – UE, Califórnia Privacy Act – EUA, algum país da América Latina que também já possui legislação específica, outros)

c) Para maior otimização de recursos e desempenho do trabalho, também é importante definir se o escopo técnico e o escopo jurídico serão realizados juntos, o que é sempre preferível, ou serão feitos em separado. Isso porque há uma série de indicadores que para receberem a conformidade legal precisam ter uma verificação de status técnico.

Como exemplo, uma parte do questionário usado para determinar o grau de risco e fazer o gap analysis onde a resposta dependerá muito da capacidade de levantar o grau de maturidade dos controles e das evidências:


9


10

4) PERFIL DA EQUIPE ________________________________________________________________________

O escopo do trabalho e a sua complexidade, faz com que o uso de uma abordagem de PMO (Project Management Officer) seja uma boa estratégia para conduzir o projeto.

Como o fluxo de informações será muito grande e irá envolver muitas áreas, criar um ponto de contato único do lado da Instituição e do lado do fornecedor também facilita a gestão do trabalho e seu acompanhamento.

Quer seja o fornecedor da área de consultoria de TI ou de consultoria jurídica, um elemento fundamental para o sucesso é a integração. Se as equipes já tiverem experiência de trabalharem juntas, tanto melhor. Mas é importante determinar a liderança geral do projeto dentro da Instituição, principalmente devido a necessidade de atender a um cronograma muito intenso.

Quanto a quem deve assumir o projeto, em geral tem sido a área de Compliance ou a área de TI, dependendo da estrutura organizacional. De todo modo, novamente, a atuação técnica e a atuação jurídica devem ocorrer com o máximo de sinergia.

Se o fornecedor já puder trazer para o projeto uma equipe multidisciplinar isso contribui muito pois diminui o desafio de fazer a gestão de vários parceiros. No entanto, vai depender do porte da empresa.

Quanto maior o número de empresas envolvidas e de particularidades no ecossistema de fluxo de dados pessoais, casos em que há o uso de Datalake ou há um Pool de empresas compartilhando informações ou ainda um número expressivo de terceiros envolvidos no modelo de negócios que realizam algum tratamento de dados pessoais, mais vai necessitar de recursos para realizar a imersão e a coleta de informações adequadamente.

Portanto, prever a alocação interna dentro da empresa de alguns profissionais específicos do projeto, por um período, ajuda muito a cumprir com a etapa tão crítica e importante de mapeamento e diagnóstico.


11

Também deve-se prever a capacitação da equipe interna para que ao final do projeto tenha condições de dar continuidade à governança que foi estabelecida para conformidade no tocante à proteção de dados pessoais.

Na seleção da equipe, que normalmente exige um mínimo de 4 pessoas, que podem já estar e uma equipe única ou ter atuações integradas e complementares (quando é contratado em separado a consultoria técnica da consultoria jurídica), alguns itens precisam ser considerados:

§ Experiência comprovada com análise de Riscos e Compliance; § Expertise de Direito Digital para poder unir os aspectos técnicos e jurídicos; § Expertise em cibersegurança; § Alguma certificação relacionada a Privacy & Data Protection ; § Alguma premiação ou reconhecimento relacionado a cibersegurança ou outra forma

que ateste o domínio técnico.


12

5) GRAU DE MATURIDADE SOBRE PROTEÇÃO DE DADOS PESSOAIS

________________________________________________________________________

Devido a ser uma regulamentação com impacto horizontal, afeta todos os tipos de empresas, tanto o setor público como o privado, da startup ao conglomerado, e segmentos de mercado, é uma legislação em que deve haver duas preocupações: a) como adequar o negócio às novas regras; b) como fazer a manutenção da conformidade ao longo do tempo.

Há dois princípios-chave que precisam ser observados: transparência e controle.

Sendo assim, se uma instituição já está sujeita a outras regulamentações (ex: como Resolução 4658 do BACEN, HIPPA na área Saúde, PCI para uso do cartão de crédito) e implementou medidas de controle de acesso aos dados, norma de classificação da informação e emprega soluções de cibersegurança com uso de Data Loss Prevention (DLP) e criptografia, ela já está bem mais perto da conformidade do que outra instituição que ainda não tem processos bem definidos para proteção de dados.

Ocorre que será necessário recategorizar os dados que devem ser protegidos, já que muitas vezes, até então, havia uma decisão em proteger informações confidenciais, normalmente relacionadas ao segredo do negócio e sigilo por lei (sigilo bancário, segredo de justiça, sigilo do paciente). E isso é feito logo no início, no inventário e desenho do mapa de fluxo de dados pessoais. Estas atividades são essenciais para um correto diagnóstico.

Quanto mais uso de recursos mobile e cloud, maior necessidade de implementar medidas que façam com que a proteção dos dados pessoais chegue até a ponta do dispositivo. E isso é o que exige uma análise, visto que pode ter um alto impacto financeiro. A forma de otimizar o recurso é identificar o quão necessário é levar o dado pessoal até as pontas ou centralizar mais a sua localização para facilitar a proteção com controle de acesso.


13

Considerando o prazo de conformidade indo até agosto de 2020 (conferido pela MP 869/18), quais estágios de maturidade a empresa deve alcançar para conseguir se adequar a tempo:

OBS: Se a empresa for do varejo, é importante considerar no cronograma o calendário do comércio, para evitar mudanças nas interfaces e plataformas nos períodos anteriores ao pico de vendas.

6) A SELEÇÃO DO FORNECEDOR


14

________________________________________________________________________

Para melhor conduzir o processo de seleção do fornecedor, é recomendável elaborar uma RFI ou RFP. Deve-se ter muita atenção para definir os critérios de avaliação adequados.

A definição sobre o perfil da contratação, se será através da escolha de um conjunto de fornecedores para atender aos requisitos da RFP ou se será concentrado em um único fornecedor, depende muito das necessidades de cada instituição e seu grau de maturidade com relação ao tema de proteção de dados pessoais.

Além disso, se for possível agendar uma pequena apresentação, pelo menos dos fornecedores finalistas, mesmo que seja via web, também pode fazer diferença no processo de decisão. Isso porque como o tema é novo e o prazo é curto, qual a metodologia de trabalho, neste caso, pode ser um dos fatores decisivos para a escolha.

Por isso, buscar quem possa apresentar mais detalhes sobre como será conduzido o trabalho e definir claramente quem será a equipe que atuará no projeto são itens que devem ser tratados. Até porque não há tantos profissionais com experiência em Privacy & Data Protection e o fornecedor deve ser capaz de demonstrar que tem equipe preparada para atender o projeto.

Deve-se lembrar que o fornecedor precisará além de realizar o Diagnóstico também estar apto para apoiar a implementação das recomendações. Ou pelo menos, direcionar os esforços de implementação mesmo que envolva outros (da organização) ou terceiros (soluções tecnológicas). E muitas vão envolver elaboração e/ou atualização de processos e documentos, com análise inclusive dos contratos críticos com terceirizados que realizam tratamento de dados pessoais. Lembrando que estes documentos não devem apenas atender à uma conformidade técnica mas estarem bem escritos caso sejam levados para discussão na Justiça. Tais como:

§ LISTA DO KIT MÍNIMO DE DOCUMENTOS PARA ELABORAÇÃO OU ATUALIZAÇÃO PROJETO LGPD/GDPR:

a) Política de Segurança da Informação

b) Normas de Segurança da Informação

c) Procedimentos de Segurança da Informação


15

d) Norma ou Procedimento de Backup e Restore

e) Política ou Norma de Classificação da Informação

f) Norma ou Procedimento de Descarte Seguro

g) Norma ou Procedimento para Desenvolvimento e Aquisição de Software

h) Norma ou Procedimento para Serviços em Nuvem (Cloud Computing)

i) Norma ou Procedimento para E-commerce

j) Norma ou Procedimento para Registros de Log e Monitoramento

k) Procedimentos para Atendimentos ao Titular de Dados

l) Política de Gestão de Dados Pessoais

m) Contrato de Trabalho padrão

n) Contrato de Prestação de Serviços padrão

o) Política de Privacidade de Plataformas

p) Política de Cookies de Plataformas

q) Termos de Uso de Plataformas

Alguns cuidados para a tomada de preços:

§ Separar bem quais são as atividades envolvidas na Etapa de levantamento e diagnóstico das atividades que já seriam parte da Etapa de implementação: uma coisa é levantar os controles de cibersegurança, outra é atualizar os controles para atender a regulamentação. Uma coisa é analisar a documentação para determinar o gap outra é elaborar e revisar normas, políticas, contratos e procedimentos.

§ Prever, se possível, a realização de um workshop de sensibilização para uniformizar o conhecimento nos gestores e alta direção. Quando realizado no kick-off do projeto facilita a condução do mesmo e sua priorização dentro das diversas áreas da Instituiçã

Equipe

Patricia Peck Pinheiro, PhD Head de Direito Digital do PG Advogados Especialista em Privacidade, Data Protection e Cibersegurança. Contatos: [email protected] (+5511) 98696-3999 Sócios Gestores – Direito Digital Márcio Chaves [email protected] Leandro Bissoli [email protected] Marcelo Crespo [email protected] Sandra Tomazi [email protected]

Proteção de Dados Pessoaisebooklgpd.pgadvogados.com.br/wp-content/uploads/2019/05/PG_Dir… ·...

Documents

Transcript of Proteção de Dados Pessoaisebooklgpd.pgadvogados.com.br/wp-content/uploads/2019/05/PG_Dir… ·...