Você está na página 1de 26

LGPD

_O que muda no cenário de incidentes de


segurança_
Bruno Bioni
São Paulo, 30 de novembro de 2019
SUMÁRIO

1. LGPD: janela de oportunidade

2. LGPD: novas fronteiras para incidentes de


segurança
LGPD
1
. Janela de Oportunidade
DUPLA FUNÇÃO
JANELA DE OPORTUNIDADE
Proteção
de direitos
1. The new regulations have forced e liberdades
organisations to create order in the fundamentais
information they have (..)

2. And order provides insight. Insight


into value that was hidden there -
(Delloitte, 2018)

Fomento ao
desenvolvimento
econômico
e tecnológico
A maioria das
organizações está tendo
retornos muito positivos
em seus investimentos
em privacidade, sendo
que mais de 40% destas
organizações estão
percebendo benefícios
que alcançam pelo
menos o dobro de seus
aportes na área.
“INOVAR PELA LEI”
JANELA DE OPORTUNIDADE

https://brunobioni.com.br/home/wp-content/uploads/2019/08/gv_0184ce5.pdf

Revista FGV-Exeuctivo “A era dos Dados”


ALÉM DO CONSENTIMENTO
“CARDÁPIO” DE BASES LEGAIS

LEGÍTIMO
PROCESSO CRÉDITO
INTERESSE
JUDICIAL
10 HIPÓTESES DE AUTORIZAÇÃO
• Maior flexibilidade

EXECUÇÃO DE PROTEÇÃO À OBRIGAÇÃO


TUTELA DA SAÚDE
CONTRATOS VIDA LEGAL

PESQUISA POR POLÍTICA CONSENTIMENTO


ÓRGÃO PÚBLICA
MONITORAMENTO DO CERTS &
INVESTIGAÇÕES CSIRTS
AMBIENTE DE TRABALHO INTERNAS
LGPD
2 . Novas Fronteiras
SEGURANÇA DA INFORMAÇÃO SEGURANÇA
PADRÕES
TÉCNICAS ESTABELECIDOS PELA
AUTORIDADE
ADMINISTRATIVAS

ADOTADAS DESDE O MOMENTO DA


MEDIDAS CONCEPÇÃO
PRIVACY BY DESIGN

PREVISTAS EM OUTRAS NORMAS

ACESSOS NÃO AUTORIZADOS

SEGURANÇA DA DESTRUIÇÃO, PERDA OU


INFORMAÇÃO ALTERAÇÃO
PROTEGER
COMUNICAÇÃO NÃO
AUTORIZADA

QUALQUER FORMA DE TRATAMENTO


INADEQUADO OU ILÍCITO

AGENTES DE TRATAMENTO
RESPONSABILIDADE

APÓS O TÉRMINO DO TRATAMENTO


PROTEÇÃO DE DADOS NA ORGANIZAÇÃO

C. LGPD
2 . VAZAMENTO DE DADOS
VAZAMENTO DE DADOS

https://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
VAZAMENTO DE DADOS
VAZAMENTO DE DADOS

https://www.ok.org.br/noticia/ministerio-da-saude-ja-havia-deixado-dados-pessoais-expostos-no-proprio-sistema-da-covid-
19-em-junho-aqui-esta-a-prova/
PROTEÇÃO DE DADOS NA ORGANIZAÇÃO

Já existia uma
obrigatoriedade em
notificação?
DATA BREACH NOTIFICATION (DBN) AUTORIDADES CONSUMERISTAS

RECALL (ART. 10, § 1°) CONSUMIDORES


CDC

BACEN
PROCEDIMENTOS NA HIPÓTESE DE
VAZAMENTO DE INFORMAÇÕES
SENACON
(Decreto, Art. 18)
LCP
COMUNICAÇÃO DE
CONSUMIDORES
INCIDENTES DE
SEGURANÇA DA POLÍTICA DE SEGURANÇA
INFORMAÇÃO CIBERNÉTICA
(Resolução nº 4.658/2018, CMN)
OBRIGATORIEDADE DE
COMUNICAÇÃO DE
BACEN PROCEDIMENTOS PARA RESPOSTA À INCIDENTE
INCIDENTES

CVM 505
OBRIGATORIEDADE DE
(Alterada pela Instrução CVM 612/2019) COMUNICAÇÃO DE INCIDENTE

CVM FATO RELEVANTE (CVM 358, Art. 2) INFLUENCIAR NA COTAÇÃO DE


VALORES MOBILIÁRIOS
REPUTAÇÃO E DESVALORIZAÇÃO
REPUTAÇÃO E DESVALORIZAÇÃO

https://exame.abril.com.br/seu-dinheiro/banco-inter-suspende-acesso-dos-clientes-as-contas-correntes/
DATA BREACH NOTIFICATION (DBN)
CONTROLADOR (ART. 48, CAPUT)

QUEM:
OPERADOR (NÃO MENCIONADO)

AMPLA DIVULGAÇÃO
AUTORIDADE NACIONAL (ART. 48, CAPUT)

INCIDENTE DE A QUEM: MEDIDAS PARA


SEGURANÇA TITULARES DOS DADOS (Art. 48, caput) REVERTER
(Art. 48, caput, da LGPD)

DESCRIÇÃO DOS DADOS (ART. 48, § 1º, I)

VALE A PENA
INFO SOBRE TITULARES ATINGIDOS (Art. 48, § 1º, II) NOTIFICAR?
QUANDO COMO:
NOTIFICAR? MEDIDAS TÉCNICAS ADOTADAS (Art. 48, § 1º, III) § 3º No juízo de
gravidade do
Incidente de MEDIDAS PARA REVERTER PREJUÍZOS (Art. 48, § 1º, VI) incidente, será
avaliada eventual
segurança que
comprovação de que
possa acarretar IMEDIATA (Art. 48, § 1º, V)
risco ou dano foram adotadas
relevante aos medidas técnicas
titulares.
RAZOAVEL (Art. 48, § 1º, V) adequadas
PRAZOS:
DEFINIDO PELA ANPD (Art. 48, § 1º)
DATA BREACH NOTIFICATION (DBN)
DATA BREACH NOTIFICATION
PLANO DE RESPOSTA À INCIDENTES
ÁREA DA EMPRESA PLANEJAMENTO DURANTE INCIDENTE
Fornecer orientação sobre detecção,
Endereçar dados comprometidos,
SEG. DA INFORMAÇÃO / TI isolamento, remoção e preservação de sistemas
afetados conduzir investigações forenses
Limitar responsabilidade e Orientar em respostas, principalmente
JURÍDICO consequências econômicas. às autoridades e stakeholders
Fornecer uma perspectiva dos Servir de canal de comunicação com
RH empregados e fazer treinamentos os empregados
Calcular e gerenciar o impacto financeiro Assegurar recursos para financiar a
FINANCEIRO dos contenções e correções resolução do incidentes
Planejar comunicação estratégica e Assumir posição na linha de frente do
RELAÇÕES PÚBLICAS tática para informar e influenciar incidente
Aconselhar em como manter um bom Estabelecer e manter uma msg
MARKETING relacionamento com os clientes consistente e positiva com clientes
Demonstrar valor na prevenção de Imediatamente alocar recursos e pessoal
CEO / PRESIDÊNCIA incidentes por meio de ações e publicamente comentar o incidente.
+ ACCOUNTABLE
- RISCO
VALE A PENA? NOTIF + COLABORAÇÃO

GESTÃO DO
INCIDENTE

RECURSOS HUMANOS
E TECNOLÓGICOS

POLÍTICAS
CALIBRAÇÃO DAS SANÇÕES
- REPROVÁVEL
(art. 52 LGPD) - ACCOUNTABLE
• Seriedade das sanções de acordo ADVERTÊNCIA
com a reprovação do
comportamento PUBLICIZAÇÃO
• Expressa menção à caixa de
ferramentas MULTA

SUSPENSÃO

+ RISCO BLOQ
- COLABORAÇÃO
+ REPROVÁVEL
Bioni, 2018
OBRIGADO!
dataprivacy.com.br

Bruno Ricardo Bioni

@brunobioni

bruno@dataprivacy.com.br

DataPrivacy.br