A LGPD

Lei Geral de Proteção
Dados Pessoais já é
realidade no Brasil.

A sua organização já está preparada?

EXPERIÊNCIA

Internacional

A DataShield traz para o Brasil uma das primeiras consultorias internacionais especializadas em segurança da informação e tecnologia para a implementação da LGPD.

A Lei Geral de Proteção de Dados Pessoais (LGPD) Brasileira é inspirada em quase toda a sua totalidade na lei Europeia – EU General Data Protection Regulation (GDPR) aprovada em 2016 e em vigor desde maio de 2018.

“A DataShield vem adaptando sua metodologia a medida em que os processos inerentes ao cumprimento e adoção da GDPR na Europa vão amadurecendo.  Esta expertise de mais de 2 anos, permite aos clientes da O&G Brasil saírem na frente – antecipando problemas, reduzindo custos e agilizando a implementação da LGPD no Brasil”.

Elmer OliveiraDataShield Brasil

Metodologia

“On-Stop-Shop”

What you need to know

  • O que é a LGPD?

    A Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018, é a legislação brasileira que determina como os dados dos cidadãos podem ser coletados e tratados, e que prevê punições para transgressões.

  • A quem se Aplica?

    Afeta qualquer atividade que envolva utilização de dados pessoais, incluindo o tratamento pela internet, de consumidores, empregados, entre outros.

  • Quando entra em Vigor?

    A Lei N. 13.709, sancionada em 14/08/2018 e publicada no Diário Oficial em 15/08/2018, entra em vigor a partir de agosto de 2020.

  • Qual o Impacto?

    Para além da imagem institucional da empresa, as multas podem chegar a 2% do faturamento global, limitado a R$ 50 Milhões por ocorrência.

Principais

Pontos da LGPD

  • Consentimento

    O consentimento será uma das 10 possibilidades que legitimarão o tratamento de dados pessoais

  • prestação de contas

    Demonstrar medidas adotadas para cumprir a lei (prestação de contas)

  • Titulares dos Dados

    Terão amplos direitos: informação, acesso, retificação, cancelamento, oposição, portabilidade, entre outros

  • Notificações obrigatórias

    Em caso de incidentes de segurança envolvendo os dados, nas situações aplicáveis

  • Empresas Estrangeiras

    Aplica-se também a empresas que não possuem estabelecimento no Brasil

  • Regras específicas

    Para tratar dados sensíveis, transferência internacional de dados e utilizar dados de crianças e adolescentes

  • Assessment

    Necessidade de realizar assessment de impacto à proteção de dados (semelhante ao DPIA)

  • Tratamento de dados

    Atividades de tratamento de dados devem ser registradas em relatório

  • DPO

    Toda empresa responsável por tratamento de dados deverá nomear um Encarregado da Proteção de Dados Pessoais – DPO

Desafios

Para a implementação da LGPD

Identificar e abordar todos os problemas de privacidade que afetam a qualidade intrínseca e contextual (relevância, efetividade, adequação), acessibilidade, segurança e a conformidade legal, relativamente às informações pessoais recolhidas, utilizadas, armazenadas e processadas na organização.

Mitigar os riscos de violação de dados, protegendo os dados pessoais que possam revelar informações sobre os titulares e condicionar a sua liberdade e direitos.  Desenvolver mecanismos de controle da intrusão e fuga e implementar procedimentos para notificação da Autoridade de Supervisão e gestão de danos.

Assegurar que os requisitos legais do LGPD são cumpridos, que as expectativas das partes interessadas são geridas e que são evitadas penalidades. Garantir que a conformidade se mantém após a implementação, procedendo a auditorias internas e obtendo pareceres do DPO.

Utilizar a conformidade com o LGPD para projetar confiança, valor e a imagem da Organização nos ambientes externo e interno.

How to

Get ready

Políticas e Procedimentos

Estabelecer políticas e procedimentos que permitam reagir a qualquer falha de segurança e notificar as autoridades competentes nos prazos estabelecidos.

Avaliar consentimento

Analisar a base legal para processar dados. Havendo consentimento, rever o mesmo para apurar se respeita as novas exigências ou, se será necessário obter novo consentimento.

Rever políticas

Rever impressos, formulários, politicas de privacidade. Verificar se a linguagem utilizada é clara, acessível e se é fornecida ao titular dos dados, toda a informação que a LGPD obriga.

Rever contratos de terceiros

Rever contratos de serviços realizados por terceiros no âmbito de tratamento de dados, para verificar se cumprem com os requisitos exigidos pela LGPD.

Implementar medidas de resposta

Preparar e implementar medidas de resposta aos novos direitos do titular dos dados (esquecimento, portabilidade, correção, etc.).

Readiness assessment

Garantir meios para provar o cumprimento dos requisitos do LGPD. Realizar “readiness assessment” para validar o que tem de ser feito para a conformidade.

LGPD em todas as vertentes

Implementar projeto de conformidade LGPD em todas as vertentes (legal, processos e tecnologia). Se aplicável, designar o DPO.

Procedimentos de governança

Definir procedimentos de governança que permitam manter a conformidade com o LGPD. Manter os registos atualizados, com evidências e proceder a auditorias.

Como fazer

1 - READINESS ASSESSMENT

Permite avaliar os níveis de cumprimento e as necessidades que têm de ser endereçadas para atingir a conformidade. Inclui a elaboração do PIA (Privacy Impact Assessment), análise de “gaps“, recomendação de metodologia e de faseamento.

2 - PLAN

Considera as dimensões estratégica e táctica do projeto. Definição dos procedimentos a seguir, planejamento dos processos e afetação de meios e recursos. Considera o inventário dos dados e awareness e/ou formação inicial dos envolvidos.

3 - DO

É a fase executiva da metodologia onde são cumpridos todos os processos planejados. Considera também a avaliação da evolução do nível de conformidade. Inclui também o awareness e formação dos envolvidos.

4 - CHECK

Monitorização dos resultados, avaliação de processos e análise dos desvios. Permite verificar se o nível de conformidade “previsto” nas fase inicial (“Plan”, foi conseguido na implementação (“Act”). É também entendida com a fase de “Accountability”.

5 - ACT

Esta é a fase de “Governance”, que implica uma avaliação continua. Pressupõe procedimentos para medidas corretivas, preventivas e evolutivas, tendo por objetivo a manutenção do cumprimento com o LGPD.

LGPD

One-Stop Shop

Assessments
Implementação
Formação
Assessoria e Gestão de Projeto

DPO “as-a-service”

Validação de DPIA

Assessoria a DPO’s e Auditores

Assessoria na implementação

Procedimentos de controle

Auditorias

Assessoria jurídica

Pareceres técnicos

Cyber Security

Portal “SAR”, IDM, EOVD, DP Suíte for Oracle (discoverer, encrypt & audit)

Big Data, Blockchain

Seguros

Compliance Framework

A DataShield desenvolveu um framework próprio para a gestão de compliance que integra os requisitos do LGPD com os standards de Proteção de Dados, Privacidade e Segurança de Informação.  Esta plataforma integrada de controle, associada à implementação de um repositório documental, para além da conformidade com o regulamento, permite que a Organização fique preparada a certificação.

A framework baseia-se:

  • EU 2016/679 – General Data Protection Regulation
  • BS10012:2017 – Sistema de Gestão de Dados Pessoais
  • ISO 29100:2011 – Princípios de “Data Privacy”
  • ISO 29134:2017 – Avaliação de Impacto sobre a Privacidade (DPIA)
  • ISO 27001:2013 – Sistema de Gestão de Segurança de Informação
  • Cybersecurity

Certificações e Membership

Certificações dos Consultores

  • EU Data Protection Officer (Behaviour Group)
  • GDPR Foundation (IT Governance)
  • GDPR Practitioner (IT Governance)
  • CIPP/E & CIPP/M (IAPP)
  • ISO 27001:2013 (ISMS/F)
  • PMP – Project Management Professional (Project Management Institute)
  • PRINCE2 Foundation (Axelos)
  • PRINCE2 Practitioner (Axelos)
  • ITIL Foundation (Axelos)
  • CCP (ex CAP) – formação de formadores
  • Scrum Master

Membership

  • AEPD – Associação dos Encarregados de Protecção de Dados
  • APDPO – Associação dos Profissionais de Proteção e de Segurança de Dados
  • Forum “Data Protection and the EU GDPR”
  • IEEE Standards Association – Data Privacy Process (P7002) Working Group
  • IAPP – International Association of Privacy Professionals

CONTATE-NOS

contato@datashieldbrasil.com.br ou

2021 © Copyright - DataShield Brasil
DATASHIELD BRASIL LTDA
CNPJ 41.358.478/0001-75
ST SCN QUADRA 04 BLOCO B SALA 702 PARTE 311 - ED.VARIG - ASA NORTE - BRASILIA - DF - CEP: 70.714-020