LGPD

_O que muda no cenário de incidentes de

segurança_
Bruno Bioni
São Paulo, 30 de novembro de 2019
 SUMÁRIO

1. LGPD: janela de oportunidade

2. LGPD: novas fronteiras para incidentes de

segurança
 LGPD
1
. Janela de Oportunidade
DUPLA FUNÇÃO
JANELA DE OPORTUNIDADE
Proteção
de direitos
1. The new regulations have forced e liberdades
organisations to create order in the fundamentais
information they have (..)

2. And order provides insight. Insight

into value that was hidden there -
(Delloitte, 2018)

Fomento ao
desenvolvimento
econômico
e tecnológico
A maioria das
organizações está tendo
retornos muito positivos
em seus investimentos
em privacidade, sendo
que mais de 40% destas
organizações estão
percebendo benefícios
que alcançam pelo
menos o dobro de seus
aportes na área.
“INOVAR PELA LEI”
JANELA DE OPORTUNIDADE

https://brunobioni.com.br/home/wp-content/uploads/2019/08/gv_0184ce5.pdf

Revista FGV-Exeuctivo “A era dos Dados”

ALÉM DO CONSENTIMENTO
“CARDÁPIO” DE BASES LEGAIS

LEGÍTIMO
PROCESSO CRÉDITO
INTERESSE
JUDICIAL
10 HIPÓTESES DE AUTORIZAÇÃO
• Maior flexibilidade

EXECUÇÃO DE PROTEÇÃO À OBRIGAÇÃO

TUTELA DA SAÚDE
CONTRATOS VIDA LEGAL

PESQUISA POR POLÍTICA CONSENTIMENTO

ÓRGÃO PÚBLICA
 MONITORAMENTO DO CERTS &
INVESTIGAÇÕES CSIRTS
AMBIENTE DE TRABALHO INTERNAS
 LGPD
2 . Novas Fronteiras
SEGURANÇA DA INFORMAÇÃO SEGURANÇA
PADRÕES
TÉCNICAS ESTABELECIDOS PELA
AUTORIDADE
ADMINISTRATIVAS

ADOTADAS DESDE O MOMENTO DA

MEDIDAS CONCEPÇÃO
PRIVACY BY DESIGN

PREVISTAS EM OUTRAS NORMAS

ACESSOS NÃO AUTORIZADOS

SEGURANÇA DA DESTRUIÇÃO, PERDA OU

INFORMAÇÃO ALTERAÇÃO
PROTEGER
COMUNICAÇÃO NÃO
AUTORIZADA

QUALQUER FORMA DE TRATAMENTO

INADEQUADO OU ILÍCITO

AGENTES DE TRATAMENTO
RESPONSABILIDADE

APÓS O TÉRMINO DO TRATAMENTO

PROTEÇÃO DE DADOS NA ORGANIZAÇÃO

C. LGPD
2 . VAZAMENTO DE DADOS
VAZAMENTO DE DADOS

https://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
VAZAMENTO DE DADOS
VAZAMENTO DE DADOS

https://www.ok.org.br/noticia/ministerio-da-saude-ja-havia-deixado-dados-pessoais-expostos-no-proprio-sistema-da-covid-
19-em-junho-aqui-esta-a-prova/
PROTEÇÃO DE DADOS NA ORGANIZAÇÃO

Já existia uma
obrigatoriedade em
notificação?
DATA BREACH NOTIFICATION (DBN) AUTORIDADES CONSUMERISTAS

RECALL (ART. 10, § 1°) CONSUMIDORES

CDC

BACEN
PROCEDIMENTOS NA HIPÓTESE DE
VAZAMENTO DE INFORMAÇÕES
SENACON
(Decreto, Art. 18)
LCP
COMUNICAÇÃO DE
CONSUMIDORES
INCIDENTES DE
SEGURANÇA DA POLÍTICA DE SEGURANÇA
INFORMAÇÃO CIBERNÉTICA
(Resolução nº 4.658/2018, CMN)
OBRIGATORIEDADE DE
COMUNICAÇÃO DE
BACEN PROCEDIMENTOS PARA RESPOSTA À INCIDENTE
INCIDENTES

CVM 505
OBRIGATORIEDADE DE
(Alterada pela Instrução CVM 612/2019) COMUNICAÇÃO DE INCIDENTE

CVM FATO RELEVANTE (CVM 358, Art. 2) INFLUENCIAR NA COTAÇÃO DE

VALORES MOBILIÁRIOS
REPUTAÇÃO E DESVALORIZAÇÃO
 REPUTAÇÃO E DESVALORIZAÇÃO

https://exame.abril.com.br/seu-dinheiro/banco-inter-suspende-acesso-dos-clientes-as-contas-correntes/
DATA BREACH NOTIFICATION (DBN)
CONTROLADOR (ART. 48, CAPUT)

QUEM:
OPERADOR (NÃO MENCIONADO)

AMPLA DIVULGAÇÃO
AUTORIDADE NACIONAL (ART. 48, CAPUT)

INCIDENTE DE A QUEM: MEDIDAS PARA

SEGURANÇA TITULARES DOS DADOS (Art. 48, caput) REVERTER
(Art. 48, caput, da LGPD)

DESCRIÇÃO DOS DADOS (ART. 48, § 1º, I)

VALE A PENA
INFO SOBRE TITULARES ATINGIDOS (Art. 48, § 1º, II) NOTIFICAR?
QUANDO COMO:
NOTIFICAR? MEDIDAS TÉCNICAS ADOTADAS (Art. 48, § 1º, III) § 3º No juízo de
gravidade do
Incidente de MEDIDAS PARA REVERTER PREJUÍZOS (Art. 48, § 1º, VI) incidente, será
avaliada eventual
segurança que
comprovação de que
possa acarretar IMEDIATA (Art. 48, § 1º, V)
risco ou dano foram adotadas
relevante aos medidas técnicas
titulares.
RAZOAVEL (Art. 48, § 1º, V) adequadas
PRAZOS:
DEFINIDO PELA ANPD (Art. 48, § 1º)
DATA BREACH NOTIFICATION (DBN)
DATA BREACH NOTIFICATION
PLANO DE RESPOSTA À INCIDENTES
ÁREA DA EMPRESA PLANEJAMENTO
Fornecer orientação sobre detecção,
SEG. DA INFORMAÇÃO / TI isolamento, remoção e preservação de sistemas
afetados
Limitar responsabilidade e
JURÍDICO consequências econômicas.
Fornecer uma perspectiva dos
RH empregados e fazer treinamentos
Calcular e gerenciar o impacto financeiro
FINANCEIRO dos contenções e correções
Planejar comunicação estratégica e
RELAÇÕES PÚBLICAS tática para informar e influenciar
Aconselhar em como manter um bom
MARKETING relacionamento com os clientes
Demonstrar valor na prevenção de
CEO / PRESIDÊNCIA incidentes por meio de ações
DURANTE INCIDENTE
Endereçar dados comprometidos,
conduzir investigações forenses
Orientar em respostas, principalmente
às autoridades e stakeholders
Servir de canal de comunicação com
os empregados
Assegurar recursos para financiar a
resolução do incidentes
Assumir posição na linha de frente do
incidente
Estabelecer e manter uma msg
consistente e positiva com clientes
Imediatamente alocar recursos e pessoal
e publicamente comentar o incidente.
 + ACCOUNTABLE
- RISCO
VALE A PENA? NOTIF + COLABORAÇÃO

GESTÃO DO
INCIDENTE

RECURSOS HUMANOS
E TECNOLÓGICOS

POLÍTICAS
CALIBRAÇÃO DAS SANÇÕES
- REPROVÁVEL
(art. 52 LGPD) - ACCOUNTABLE
• Seriedade das sanções de acordo ADVERTÊNCIA
com a reprovação do
comportamento PUBLICIZAÇÃO
• Expressa menção à caixa de
ferramentas MULTA

SUSPENSÃO

+ RISCO BLOQ
- COLABORAÇÃO
+ REPROVÁVEL
Bioni, 2018
 OBRIGADO!
dataprivacy.com.br

Bruno Ricardo Bioni

@brunobioni

bruno@dataprivacy.com.br

DataPrivacy.br