Soluções IBM com foco na LGPD

Como as empresas
podem se preparar

Julio Kochem
IBM Security

jkochem@br.ibm.com
(21) 96703-4315
Agenda
Construindo uma jornada para LGPD

Introdução
a LGPD

IBM LGPD Framework

Como a IBM
pode ajudar

Ofertas IBM
O que está acontecendo lá fora
Até 2020, teremos
20.8 bilhões 5 bilhões US$8 trilhões
“coisas” para ter segurança dados pessoais roubados perdidos para o cybercrime

…e as pressões por segurança continuam a crescer

REGRAS DE ESCASSEZ DE MUITAS

COMPLIANCE PROFISSIONAIS FERRAMENTAS
Multas de GDPR e LGPD Até 2022, teremos Empresas estão usando muitas
podem custar
1.8 milhões ferramentas
bilhões vagas de cybersecurity em de diversos fornecedores
para grandes empresas aberto

3
Mais alguns números 43%
É a chance de

do Brasil… enfrentarmos
uma violação. É
a maior do
mundo
(~ 27%)

Como se
100 dias gerencia uma 46%
É o tempo Das violações
necessário para violação de foram ataques
conter cada maliciosos ou
violação. dados no criminosos.
Brasil?

240 dias
É o tempo médio
para identificar
uma violação.

Cost of data Breach. Ponemon Institute, 2018.

Introdução a LGPD
Lei Geral de Proteção de Dados
 Benchmark global
GDPR já impulsiona o engajamento do consumidor, a inovação e a vantagem competitiva

A lei auxilia a
prontidão da
conformidade

66% Tenho
dos clientes se sentem mensagens mais
mais confortáveis em personalizadas
compartilhar seus dados
caso exista uma forte
política de governança em
vigor* Respeitam
Sou mais leal à meus dados e
marca cuidam de
maneira
adequada

*Lock, Michael. “Data Governance 2.0: Uniting People and Information to Drive Real Business Results, Aberdeen Group,31 August 2017,
https://www-01.ibm.com/common/ssi/cgi-bin/ssialias?htmlfid=IML14586USEN&
No Brasil:
LGPD
Lei Geral de Proteção de Dados

SANCIONADA ENTRA EM VIGOR EM

24 MESES DE ADAPTAÇÃO
EM 14/08/18 AGO/2020
Qual o objetivo da Lei? PROPÓSITO
LGPD at a Glance

Regulamenta Define Regras

Lei Geral de Proteção de dados O uso, a proteção e a
SANCIONADA EM: 14 DE AGOSTO DE 2018
transferência de dados Para a segurança,
pessoais no Brasil transparência,
“Art. 1º Esta Lei dispõe sobre o tratamento de dados confidencialidade de
pessoais, inclusive nos meios digitais, por pessoa natural dados, privacidade e
ou por pessoa jurídica de direito público ou privado, com o
objetivo de proteger os direitos fundamentais de liberdade Globalização proteção de informações
e de privacidade e o livre desenvolvimento da pessoais na coleta,
personalidade da pessoa natural.” A lei está alinhada às armazenamento e
regulamentações tratamento dos dados por
internacionais, como GDPR empresas e órgãos
A Lei é aplicável a qualquer operação de tratamento
realizada, independente do meio, do país de sua sede ou (em vigor desde mai/18) públicos
do país onde estejam localizados os dados.
O que é um
dado pessoal?
Qualquer informação que
identifique o indivíduo em
particular, obtidos em qualquer
tipo de suporte (papel,
eletrônico, informático, som,
imagem, etc.). Ex:
▪ Nome
▪ Endereço
▪ Localização
▪ Informações de saúde
▪ Perfil Cultural
▪ Identificação online
O que muda
com a LGPD?
Os cidadãos poderão saber como
as empresas tratam os dados
pessoais:
▪ como e por que coletam
▪ como armazenam
▪ por quanto tempo
guardam
▪ com quem compartilham
Do lado das empresas, o trabalho
será fornecer essas informações
de forma clara, inteligível e
simples
 DADOS PESSOAIS: Informação relacionada à pessoa
natural identificada ou identificável, obtidos em
qualquer tipo de suporte (papel, eletrônico,
informático, som, imagem, etc.).

DADOS SENSÍVEIS: Dados pessoais da origem racial ou étnica,

convicções religiosas, opiniões políticas, filiação a sindicatos
ou organizações de caráter religioso, filosófico ou político,
dados referentes à saúde ou à vida sexual, dados genéticos ou
biométricos, quando vinculados a uma pessoa natural.

10 IBM Security
Principais Conceitos da Lei
Fique atento na relação com o consumidor
TITULAR: A pessoa natural a quem se referem os dados
pessoais;
AGENTES DE TRATAMENTO: o controlador e o operador;
CONTROLADOR: pessoa natural ou jurídica, de direito
público ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais;
OPERADOR: pessoa natural ou jurídica, de direito
público ou privado, que realiza o tratamento de dados
pessoais em nome do controlador;
11 IBM Security
CONSENTIMENTO: Manifestação livre, informada e
inequívoca pela qual o titular concorda com o tratamento de
seus dados pessoais para uma finalidade determinada;
TRATAMENTO: Toda operação realizada com dados pessoais,
como coleta, produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação,
avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração;
TRANSFERÊNCIA INTERNACIONAL DE DADOS: transferência
de dados pessoais para país estrangeiro ou organismo
internacional do qual o país seja membro;
AUTORIDADE NACIONAL: órgão da administração pública
indireta responsável por zelar, implementar e fiscalizar o
cumprimento desta Lei.
Principais Conceitos da Lei
Fique atento na relação com o consumidor

DIREITOS DO TITULAR CONTROLADOR

• Deve garantir a segurança dos dados, respondendo pelos danos
• Acesso às informações;
decorrentes da violação da segurança de dados
• Correção dos dados; • Devem emitir um relatório de impacto à proteção dos dados
• Anonimização, bloqueio ou eliminação de dados (riscos, metodologia, análise das medidas, salvaguardas e
mecanismos de mitigação dos riscos)
• Portabilidade dos dados pessoais
• Transferência internacional somente para países ou órgãos
• Revisões de decisões tomadas em tratamento dos dados pessoais internacionais que proporcionem grau de proteção adequado;
(perfil pessoal, profissional, de consumo, de crédito ou
personalidade).

CONSENTIMENTO
• Obrigatório, salvo as situações explicitas na Lei;
• Dados estritamente necessários para a finalidade de tratamento
• Pode ser revogado a qualquer momento pelo Titular
• Deve ser expressa claramente em clausulas destacadas, contendo
as finalidades e os Agentes de Tratamento, não podendo ocorrer
vício de consentimento
• O Titular deve ser avisado em caso de alteração
SANÇÕES
• Advertência, com indicação de medidas corretivas
• Multa (simples ou diárias) de até 2% do faturamento do ultimo
exercício, limitado a 50 milhões por infração.
• Publicização da infração;
• Bloqueio / eliminação dos dados pessoais a que se refere a infração
Seis informações importantes sobre LGPD
Impacto Nacional
Qualquer empresa que possua dados coletados
ou tratados em qualquer parte do território
nacional deverá entrar em conformidade
Direito de dados
Dados no controle dos titulares dos dados,
obtendo o poder para questionar como e por
que a empresa coletou, onde será armazenado,
por quanto tempo e com quem compartilham
Multas por não conformidade
Valor chega até 2% do volume do negócio, ou
R$ 50M .
Difuso e coletivo
Além dos próprios titulares dos dados,
organizações (com ou sem fins lucrativos)
podem reivindicar a conformidade com a lei
como um direito difuso e coletivo
Privacidade e Segurança by
design
Privacidade e segurança devem ser
incorporados por padrão em novos produtos,
sistemas e serviços das empresas
Medidas técnicas e de
organização
Padrões necessários para respostas aos riscos
identificados, e a nomeação de responsável
pela proteção de dados (Encarregado de
Dados) será obrigatória
 Como as empresas podem se preparar?
Entenda as Estabeleça uma Nomeie um Saiba onde estão os
obrigações equipe Encarregado dos dados pessoais na
multidisciplinar dados sua organização

Reveja as Reveja os Revise os processos Revise os prazos de

declarações e as mecanismos de para atendimento dos retenção de dados
políticas de consentimento e pedidos de acesso,
correção e eliminação
privacidade opção
dos dados

Documente as Reveja processos de Implemente e Treine os

atividades de transferência documente medidas colaboradores
cumprimento da Lei internacional de apropriadas de
dados segurança

Desenvolva Implemente uma Estabeleça protocolos Assegure orçamento e

processos abordagem de de resposta e patrocínio executivo
especializados de Privacidade (e notificação de para suportar as
violações de segurança mudanças!
auditoria Segurança) by Design
Esses itens são bons pontos de início.
A LGPD não é um tema de TI, de Segurança ou de Compliance. Ela
afeta todo o negócio.

Estas são algumas das problemáticas que se

aplicam a diferentes industrias. Será que o seu
cliente tem algum destes riscos?

▪ Credibilidade da marca
▪ Perda financeira a roubo de credenciais de clientes
▪ Atendimento às regulamentações próprias do setor (BACEN)
▪ Gerenciamento da cadeia de fornecedores/supply chain
▪ Roubo de dados nos meios de pagamento
▪ Abordagem de marketing com clientes
▪ Aplicação de golpes com roubo interno e externo de dados digitais
Estágios de prontidão

Observadores Iniciantes Avançados

“Escutamos sobre a “Por onde “Nós entendemos o

LGPD, mas vamos começamos? que precisa ser feito
esperar e definer A regulamentação é e vamos fazer as
uma abordagem até tão confusa Quais mudanças
que seja necessário soluções a IBM necessárias”
tomar uma ação.” oferece?”

Qual o seu estágio?

Framework IBM
Entenda onde você está
 IBM GDPR & LGPD Framework: cinco passos para ficar pronto
Fase

Avalie Desenhe Transforme Opere Mantenha

– Conduza assessments – Projete a – Desenvolva e incorpore – Execute todos os – Monitore, avalie,

de GDPR e LGPD entre governança, o procedimentos, processos de negócio audite, reporte e avalie a
governança, pessoas, enablement, as processos e ferramentas. relevantes. aderencia à GDPR e à
processos, dados e comunicações e os LGPD.
segurança. – Faça treinamentos de – Monitore a segurança e
processos. a privacidade usando as
Atividade

– Desenvolva um
– Desenhe o padrão
roadmap de prontidão.
– Identifique e mapeie
dados pessoais.
Outcome
GDPR e LGPD.
medidas estabelecidas.
– Desenvolva e incorpore
de gerenciamento e padrões e políticas – Gerencie o
da segurança de
usando Privacy by Design consentimento e o
dados pessoais. e Security acesso aos dados.
by Design.

Assessments Defina um plano de Framework Monitoramento e

Aprimoramento
e roadmap implementação pronto reporte

Identifique o impacto da Inclua controles de proteção Com as medidas técnicas e Comece a nova forma de Monitore a execução das
GDPR e da LGPD e planeje de dados, processos e operacionais prontas, trabalhar com GDPR e LGPD medidas: apresente
medidas técnicas e soluções a serem trabalhe na descoberta, evidências de compliance
organizacionais. implementadas. classificação e governança de para stakeholders internos e
dados pessoais. externos
 Algumas preocupações com a
LGPD em toda a empresa

María Antonio José Ana

Linha de negócios Compliance Leader CDO CISO

Quero garantir que Preciso suportar que a Devo atender novas

nossos clientes tenham nossa organização está Devo usar minhas
demandas de compliance,
a garantia de que seus compliance com as novas habilidades e
e administrar a segurança
dados estão seguros. regulamentações LGPD e conhecimentos de
dos dados da empresa e
Quero que nossa marca GDPR. interface da Web front-end
nossos clientes, frente a
seja autêntica, acessível para criar, integrar e
uma crescente diversidade
e confiável. Devo responder personalizar aplicativos
de novas ameaças.
rapidamente aos cliente novos e existentes.
sobre o uso,
processamento e e Preciso ter uma relação
Como a IBM pode ajudar
Somos o parceiro para ajudar você nesta jornada
8 competências na jornada de adequação à lei
Soluções IBM em cada fase do Framework
Soluções IBM SECURITY
 Soluções para Jornada LGPD
Guardium Data Protect IBM Resilient Identity Governance and
Quais são seus dados? Onde estão? Quem está Resposta a Incidentes Guiada através da combinação de Intelligence (IGI)
acessando? Como estão sendo acessados? O Que os inteligência humana e artificial, playbooks dinâmicos e
customizados e a capacidade de fornecer dados Identificar e mitigar os riscos de acesso a aplicativos
Administradores fazem com eles? Quais e informações pessoais; automatizar processos de
vulnerabilidades? analíticos.
ciclo de vida de acesso e identidade
Monitoração On Line e Visibilidade de todas as atividades Permite automação do processo de resolução de
incidentes de segurança. Matriz SOD e criação de profiles de acessos
no ambiente de dados On Premise e SaaS. padronizadas, facilitando o processo de gestão.
Regras de acesso, Bloqueio a acesso indevido.
Mascaramento Dinâmico.
SIEM IBM QRadar
Relatórios Compliance GDPR/LGPD
Secret Server
Visibilidade Completa e Integrada das Soluções
de Segurança, priorizando a gestão de ameaças Permite o controle de usuários privilegiados, dando
cibernéticas. maior visibilidade e controle na utilização de
Guardium Analyzer credenciais privilegiadas,
Reduza custos, aumente a visibilidade com uma
Descobrimento de Dados Pessoais e Sensível de Maneira plataforma integrada e unificada.
Rápida, Inteligente e Dinâmica.

IBM i2 Guardium Data Encryption

Solução SaaS para identificar Bancos de Dados que
possam estar vulneráveis perante a LGPD. Criptografia do Banco On Premise, Criptografia de
Solução Investigativa para análise de dados Banco de Dados em Nuvem (IBM, PRIVATE, AWS,
focada em fraudes. AZURE, GOOGLE).
Relatório de risco e recomendações de correção ajudam
você a entender como abordar a vulnerabilidade e riscos
de dados LGPD. Gerenciamento centralizado de políticas, controle
de acesso e chaves (SKLM)
 Contatos IBM

Q&A Julio Kochem

IBM Secutity

jkochem@br.ibm.com
(11) 96703-4315