LGPD - Estruturando o produto e serviço para proteção de dados

Wellington Monaco
Diretor de Governança Corporativa, Governança de Proteção de Dados e Governança de

Privacidade, Diretor de Serviços Gerenciados a VANTIX, DPO (Exin), ITIL Manager, IT Service
Management ISO/IEC 20.000, GCEIT (Governance Certified of Enterprise IT), COBIT Foundations
(ISACA), ITT (Implantação de Acordos de Níveis de Serviços), Palestrante sobre LGPD e a
Jornada de Adequação à Lei.
monaco@palestrantemonaco.com.br | monaco@vantix.com.br
www.linkedin.com/in/wmonaco/
AGENDA
❑ Abordagem Comercial | Ganhar Reconhecimento
❑ Estruturar a Oferta
❑ Requisitos: Escolha de Ferramenta
30/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 3 / 58

LGPD - Lei Geral de Proteção de Dados
Abordagem Comercial | Ganhar Reconhecimento
Glossário
❑ LGPD - Lei Geral de Proteção de Dados Pessoais.
❑ Ativos - Um ativo da informação é algo que a organização atribui valor. Por exemplo:
o Informação eletrônica;
o Documentos em papel;
o Softwares;
o Hardwares;
o Instalações;
o Pessoas;
o Imagem e reputação da organização; e
o Serviços.
❑ Referências: Foram utilizados como referência os seguintes documentos:

o Lei n. 13.709 de 14/08/2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), alterada pela Lei n. 13.853 de 08/07/2019
o NBR ISO/IEC 27001 - Sistemas de Gestão da Segurança da Informação
o NBR ISO/IEC 27002 - Código de Prática para Controles de Segurança da Informação
o NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação
o NBR ISO/IEC 27701 - Gestão da Privacidade da Informação
o ISO/IEC 29100 | Information technology | Security techniques | Privacy Framework

Relação de Dependência | Integração
Contratos com Contratos com Relação com

Contratos com D
Fornecedores Parceiros Cliente Colaborado-res
P
G
O P
Código de Lei de Crimes O J
BACEN ANVISA Defesa do Cibernéticos - R N
V U .
Consumidor C O E
E R .
O C G
Lei do Cadastro Lei de Acesso à Lei de Liberdade R Í .
CVM Econômica N E Ó
Positivo Informação N D .
S S C
A I .
Lei Européia de Lei Geral de U S I
Lei da PCI, HIPPA, Proteção de Dados Proteção de Dados N C .
Desburocratiza- L O O
Governança, etc. e Privacidade Ç O
ção T S
A
Lei do Marco Civil O
Legislações e
da Internet R
Regulamentações

❑ Valor do DADO | INFORMAÇÃO

❖ Informação com um ATIVO
❖ Informação como um fator de Produção
❖ Processos Operacionais
❑ Processos de Negócio
31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 7 / 58 Slide: 7 / 35

❑ Fluxo de Dados e Inventário de Dados Pessoais estabelecido e consolidado
Método de Coleta de Origem da Coleta de Periodicidade da Coleta

Dados Pessoais Dados Pessoais de Dados Pessoais
Processos envolvidos D
Formato dos Dados Tipos dos Dados
Pessoais Coletados Pessoais Coletados
na Coleta de Dados P
Pessoais G
S O P
Sistemas envolvidos
Finalidade da Coleta
Onde e como os Dados O S
na Coleta dos Dados Pessoais estão E - R N
Pessoais
dos Dados Pessoais
armazenados V I
G C O E
Período de Retenção
Volume dos Dados Acessos aos Dados E S
dos Dados Pessoais U O C G
estão armazenados
Pessoais Coletados Pessoais Coletados R T
R N E Ó
Medidas de Incidentes N E
Medidas de Controle de de Seguraça da
Medidas de Vazamento A S S C
Acesso de Dados Pessoais A M
Informação N U S I
Responsável pelo Ferramentas e Soluções N A
Política de Atualização Tratamento dos Dados Ç L O O
dos Dados Pessoais usam IP ADDRESS Ç S
Pessoais A T S
A
Demais...... Demais...... O
R

Em um mundo sem fronteiras, os Dados são D

armazenamentos e viajam para qualquer lugar P
G
S O P
O S
E - R N
V I
G C O E
E S
U O C G
R T
R N E Ó
N E
A S S C
A M
N U S I
N A
Ç L O O
Ç S
A T S
A
O
R
Fonte: Microsoft

Ciclo de Vida dos Dados D

P
Rastreabilidade G
Gerar / S O P
Armazenar Usar Compartilhar Arquivar Excluir O S J
Coletar E - R N
V I U .
Crescimento Identificar Transformar Direitos de Backup Expirar G C O E
Classificar Mover Acesso Criptografia E S R .
Deletar U O C G
Armazenar Hierarquizar Fuga de Dados Reter Destruir R T Í .
Preservar Anonimizar Risco de Acesso Recuperar R N E Ó
Pseudonimizar N E D .
Proteger Preservar A S S C
Visibilidade Controle de Auditar A M I .
Acesso N U S I
Dark Data N A C .
Comportamento Ç L O O
Ç S O
A T S
Geração ou Coleta de Estrutura de Permissões de Regras de Retenção / A
O
dados Acessos Exclusão
R

Componentes
Legislação
LGPD Contratos
Complementar
Atividades de Aplicações | Repositórios

Parceiros
Tratamento Aplicativos Digitais
Repositórios
Manualmente Fornecedores
Físicos
Instituições
Colaboradore
s

Estrutura da LGPD
Estrutura da Lei 13.709 – Lei Geral de Proteção de Dados Pessoais - LGPD
Capítulo I | DISPOSIÇÕES Capítulo II | DO TRATAMENTO DE Capítulo III | DOS DIREITOS DO TITULAR |
PRELIMINARES | # 6 Artigos # DADOS PESSOAIS | # 10 Artigos # # 6 Artigos #
Capítulo IV | DO TRATAMENTO DE Capítulo V | DA TRANSFERÊNCIA Capítulo VI | DOS AGENTES DE

DADOS PESSOAIS PELO PODER INTERNACIONAL DE DADOS | TRATAMENTO DE DADOS PESSOAIS |
PÚBLICO | # 10 Artigos # # 5 Artigos # # 9 Artigos #
Capítulo IX | DA AUTORIDADE DE
PROTEÇÃO DE DADOS (ANPD) E DO
Capítulo VII | DA SEGURANÇA E DAS Capítulo VIII | DA FISCALIZAÇÃO |
CONSELHO NACIONAL DE PROTEÇÃO
BOAS PRÁTICAS | # 6 Artigos # # 3 Artigos #
DE DADOS PESSOAIS E DA
PRIVACIDADE | # 5 Artigos #
Capítulo X | DISPOSIÇÕES FINAIS E TRANSITÓRIAS | # 6 Artigos #
10 CÁPÍTULOS | 65 ARTIGOS
www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm

Estrutura da LGPD


Estrutura da LGPD
CAPÍTULO I - DISPOSIÇÕES PRELIMINARES
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os
seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de
tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com
abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a
integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade
e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a
realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos
não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados
pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e
capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da
eficácia dessas medidas.
Estrutura da LGPD



Estrutura da LGPD
CAPÍTULO VI - DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS

Seção I - Do Controlador e do Operador
Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que
realizarem, especialmente quando baseado no legítimo interesse.
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de
dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de
regulamento, observados os segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados
coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com
relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Estrutura da LGPD



Estrutura da LGPD
CAPÍTULO VII - DA SEGURANÇA E DAS BOAS PRÁTICAS
Seção I - Da Segurança e do Sigilo de Dados
Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que
realizarem, especialmente quando baseado no legítimo interesse.
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de
dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de
regulamento, observados os segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados
coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com
relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Estrutura da LGPD
CAPÍTULO VII - DA SEGURANÇA E DAS BOAS PRÁTICAS
Seção II - Das Boas Práticas e da Governança
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais,
individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que
estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e
petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no
tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos
relacionados ao tratamento de dados pessoais..

Estrutura da LGPD



Estrutura da LGPD
CAPÍTULO III - DOS DIREITOS DO TITULAR

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos
dados do titular por ele tratados, a qualquer momento e mediante requisição:
I - confirmação da existência de tratamento;
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o
disposto nesta Lei;
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados
os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo
com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; (Redação dada pela Lei nº
13.853, de 2019) Vigência
VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no
art. 16 desta Lei;
VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de
dados;
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

ABNT NBR ISO/IEC 27701
❑ Sistema de Gestão de Privacidade da Informação (SGPI) | Compliance à LGPD
ISO 27701 | Sistema de Gestão de Privacidade da Informação (SGPI) | Compliance à LGPD
1. Escopo | 2. Referências normativas | 3. Termos, definições e abreviaturas
4. Estrutura da Norma | Aplicação dos requisitos da ISO 27001 e ISO27002 | Clientes
5 Requisitos específicos de SGPI relacionados à ABNT NBR ISO/IEC 27001
6 Diretrizes específicas de SGPI relacionadas à ABNT NBR ISO/IEC 27002
7 Diretrizes adicionais ABNT NBR ISO/IEC 27002 | CONTROLADORES de DADOS PESSOAIS.
7.2 Condições para coleta e tratamento
7.3 Obrigações dos titulares de DP
1.Escopo
7.4 Privacy by Design e Privacy by Default
7.5 Compartilhamento, transferência e divulgação de DP 2.Referências normativas
8 Diretrizes adicionais ABNT NBR ISO/IEC 27002 | OPERADORES de DADOS PESSOAIS 3.Termos e definições
8.2 Condições para coleta e tratamento 4.Conceitos Gerais
8.3 Obrigações para os titulares de DP 5.Requisitos SGPI (27001)
8.4 Privacy by design e privacy by default
6.Diretrizes SGPI (27002)
8.5 Compartilhamento, transferência e divulgação de DP
ANEXO-A (normativo) |Controles e Objetivos de Controle | Controladores de DP
7.Diretrizes (Controladores)
ANEXO-B (normativo) |Controles e Objetivos de Controle | Operadores de DP
8.Diretrizes (Operadores)
ANEXO-C | Tabela C.1 | Mapeamento Controles | Controladores DP & ISO/IEC 29100 9.ANEXOS (A,B, C, D, E, F)
ANEXO-C | Tabela C.2 | Mapeamento Controles | Operadores DP & ISO/IEC 29100
Anexo D (informativo) | Mapeamento com o General Data Protection Regulation
Anexo E (informativo) | Mapeamento das ABNT NBR ISO/IEC 27018 e ISO/IEC 29151 (Cloud)
Anexo F (informativo) | Aplicar ABNT NBR ISO/IEC 27701 | ABNT NBR ISO/IEC 27001 e 27002
Anexo N (informativo) | Mapeamento com a LGPD
❖ 7. Diretrizes adicionais ABNT NBR ISO/IEC 277012 | CONTROLADORES de DADOS PESSOAIS.
7 Diretrizes adicionais ABNT NBR ISO/IEC 27002 | CONTROLADORES 7.4 Privacy by Design e Privacy by Default
7.2 Condições para coleta e tratamento 7.4.1 Limite de coleta
7.2.1 Identificação e documentação do propósito 7.4.2 Limite de tratamento
7.2.2 Identificação de bases legais 7.4.3 Precisão e qualidade
7.2.3 Determinando quando e como o consentimento deve ser obtido 7.4.4 Objetivos de minimização de DP
7.2.4 Obtendo e registrando o consentimento 7.4.5 Anonimização e exclusão de DP ao final do tratamento
7.2.5 Avaliação de impacto de privacidade 7.4.6 Arquivos temporários
7.2.6 Contratos com operadores de DP 7.4.7 Retenção
7.2.7 Controlador conjunto de DP 7.4.8 Descarte
7.2.8 Registros relativos ao tratamento de DP 7.4.9 Controle de transmissão de DP
7.3 Obrigações dos titulares de DP 7.5 Compartilhamento, transferência e divulgação de DP
7.3.1 Determinando e cumprindo as obrigações para os titulares de DP 7.5.1 Identificando as bases para a transferência de DP entre jurisdições
7.3.2 Determinando as informações para os titulares de DP 7.5.2 Transferência Internacional
7.3.3 Fornecendo informações aos titulares de DP 7.5.3 Registros de transferência de DP
7.3.4 Fornecendo mecanismos para modificar ou cancelar o consentimento 7.5.4 Registro de divulgação de DP para terceiros
7.3.5 Fornecendo mecanismos para negar o consentimento ao tratamento
7.3.6 Acesso, correção e/ou exclusão
7.3.7 Obrigações dos controladores de DP para informar aos terceiros
7.3.8 Fornecendo cópia do DP tratado
7.3.9 Tratamento de solicitações
7.3.10 Tomada de decisão automatizada
❖ 8. Diretrizes adicionais ABNT NBR ISO/IEC 27002 | OPERADORES de DADOS PESSOAIS.
8 Diretrizes adicionais ABNT NBR ISO/IEC 27002 | OPERADORES de DADOS PESSOAIS
8.2 Condições para coleta e tratamento
8.2.1 Acordos com o cliente
8.2.2 Propósitos da organização
8.2.3 Uso de marketing e propaganda
8.2.4 Violando instruções 1.Escopo
8.2.5 Obrigações do cliente
2.Referências normativas
8.2.6 Registros relativos ao tratamento de DP
8.3 Obrigações para os titulares de DP
3.Termos e definições
8.3.1 Obrigações para os titulares de DP 4.Conceitos Gerais
8.4 Privacy by design e privacy by default 5.Requisitos SGPI (27001)
8.4.1 Arquivos temporários 6.Diretrizes SGPI (27002)
8.4.2 Retorno, transferência ou descarte de DP
7.Diretrizes (Controladores)
8.4.3 Controles de transmissão de DP
8.5 Compartilhamento, transferência e divulgação de DP 8.Diretrizes (Operadores)
8.5.1 Bases para a transferência de DP entre jurisdições 9.ANEXOS (A,B, C, D, E, F)
8.5.2 Países e organizações internacionais para os quais DP podem ser transferidos
8.5.3 Registros de DP divulgados para terceiros
8.5.4 Notificação de solicitações de divulgação de DP
8.5.5 Divulgações legalmente obrigatórias de DP
8.5.6 Divulgação de subcontratados usados para tratar DP
8.5.7 Contratação de um subcontratado para tratar DP
8.5.8 Mudança de subcontratado para tratar DP
❖ Anexos | Informativos | Normativos
ANEXO-A (normativo) |Controles e Objetivos de Controle | Controladores de DP

ANEXO-B (normativo) |Controles e Objetivos de Controle | Operadores de DP
ANEXO-C (Informativo )| Tabela C.1 | Mapeamento Controles | Controladores DP & ISO/IEC 29100
ANEXO-C ANEXO-C (Informativo ) | Tabela C.2 | Mapeamento Controles | Operadores DP & ISO/IEC 29100
Anexo D (informativo) | Mapeamento com o General Data Protection Regulation
Anexo E (informativo) | Mapeamento das ABNT NBR ISO/IEC 27018 e ISO/IEC 29151 (Cloud)
Anexo F (informativo) | Aplicar ABNT NBR ISO/IEC 27701 | ABNT NBR ISO/IEC 27001 e 27002
Anexo N (informativo) | Mapeamento com a LGPD

LGPD | Impactos nas Organizações
LGPD | Impactos nas Organizações
Novo Modelo Corporativo

❑ Privacidade & Segurança da Informação
Proteção de Dados Pessoais contra Acesso Art. 6º As atividades de tratamento
Finalidade Físicos e Lógicos não Autorizados de dados pessoais deverão
Adequação observar a boa-fé e os seguintes
Necessidade PRINCÍPIOS:
Livre Acesso
X - responsabilização e
Qualidade Confidencialidade prestação de contas:
Transparência Segurança da Integridade demonstração, pelo agente, da
Segurança Privacidade Informação
Disponibilidade adoção de medidas eficazes e
Prevenção
capazes de comprovar a
Não Discriminação
observância e o cumprimento das
Responsabilização normas de proteção de dados
Prestação de Contas pessoais e, inclusive, da eficácia
dessas medidas.
Ciclo de Vida das Informações Pessoais e Ciclo de Vida das Informações Corporativas
dos Processos de Negócio que as utilizam e dos Processos de Negócio que as utilizam
Fonte: http://www.amchamrio.com/srcreleases/alexandre_cavina_protecao_de_dados_amchamrio.pdf
Adaptação: Wellington Antonio Monaco
❑ CONTROLES – SEGURANÇA DA INFORMAÇÃO

Estruturar a Oferta
Sistema de Gestão de Proteção de Dados – SGPD
❑ Objetivo: estruturar um processo responsável pelo gerenciamento e por mitigar os
riscos de proteção de dados e privacidade envolvidos em todo o ciclo de vida de
dados pessoais no ambiente corporativo, considerando-se a coleta e o processamento
de dados pessoais.
❑ Sistema proposto PD&P (Proteção de Dados e Privacidade) inclui uma metodologia
consolidada em processos, fases, etapas, políticas, procedimentos e várias
ferramentas técnicas.
Fonte: Kyriazoglou, J., Data

Protection and Privacy
Fase-1 5 Fases Management System. Data
Preparação Protection and Privacy Guide –
vol.1
Fase-5 36 Etapas
Avaliação e Fase-2
Melhoria Organização
Ações
Fase-3
Fase-4
Desenvolvimento e 44 Resultados
Governança
Implementação

Estruturar a Oferta
Fase-1: Preparação
❑ ambiente corporativo “preparado” para a Proteção e Privacidade dos Dados Pessoais,

considerando-se:
❖ processos corporativos mapeados e consolidados D
❖ requisitos técnicos e operacionais da proteção de dados e a privacidade que afetam sua P
G
empresa; S O P
O S J
E - R N
V I U .
G C O E
Fase-1 Fases E S R .
U O C G
Preparação R T Í .
R N E Ó
8 Etapas N E D .
Fase-5 A S S C
Avaliação e Fase-2 A M I .
N U S I
Melhoria Organização Ações N A C .
Ç L O O
Ç S O
A T S
10 Resultados A
Fase-3 O
Fase-4
Desenvolvimento R
Governança
e Implementação

Estruturar a Oferta
Sistema de Gestão de Proteção de Dados – SGPD Fase-1
Preparação
Fase-1: Preparação
Fase-5
Fase-2
Avaliação e
Organização
Melhoria
❑ Etapas
❖ Etapa #1: Realizar a Análise de Privacidade Fase-4
Fase-3
Desenvolvimento e
Governança
❖ Etapa #2: Coletar Leis de Privacidade Implementação
❖ Etapa #3: Analisar o impacto da Privacidade no negócio

❖ Etapa #4: Realizar Auditorias e Avaliações dos dados iniciais
❖ Etapa #5: Estabelecer a estrutura organizacional de Governança de Fases
Dados
8 Etapas
❖ Etapa #6: Estabelecer Fluxo de Dados e Inventário de Dados Pessoais
❖ Etapa #7: Estabelecer programa de Proteção de Dados e Privacidade Ações
❖ Etapa #8: Esboçar Planos de Implementação de ações de Proteção de 10 Resultados

Dados e Privacidade

Estruturar a Oferta Fase-1
Preparação
Fase-2
Avaliação e
Fase-1: Preparação Melhoria
Organização
Fase-3
❑ Resultados previstos Fase-4
Governança
Desenvolvimento e
Implementação
1. Relatório de Análises de Proteção de Dados e Privacidade - Etapa #1
2. Manual de Leis de Privacidade - Etapa #2 e #3
3. Relatório de Auditoria de Dados Pessoais - Etapa #4 Fases
4. Sistema de Fluxo de Dados por Processo - Etapa #6 8 Etapas

5. Inventário de Dados Pessoais - Etapa #6
6. Política de Proteção de Dados - Etapa #6 Ações
7. Plano de Treinamento em Privacidade - Etapa #7 10 Resultados

8. Programa de Proteção de Dados & Privacidade - Etapa #7
9. Orçamento da estruturação da Gestão de Proteção de Dados - Etapas #1 a #8
10. Planos de Implementação de Ações de Proteção de Dados e Privacidade - Etapas #1 à #8
Uma organização preparada para ser eficiente no tratamento e gerenciamento dos riscos
envolvidos na Proteção de Dados e Privacidade

Preparação

Avaliação e
Fase-2
Organização
Fase-2: Organização Melhoria
Fase-3
Fase-4
❑ Objetivo Principal Governança
Desenvolvimento e
Implementação
❖ Estabelecer as estruturas e mecanismos organizacionais responsáveis por

atender às necessidades de privacidade de dados pessoais da empresa, D
P
considerando.se: G
Fases S O P
❖ Desenhar e implementar o programa de proteção de dados e O S
E - R N
7 Etapas V I
privacidade. G C O E
E S
U O C G
❖ Designar um Encarregado de Dados – pessoa física Ações
R T
R N E Ó
9 Resultados N E
❖ Envolver e comprometer todas as partes envolvidas com proteção A S S C
A M
de dados e privacidade. N U S I
N A
Ç L O O
❖ Estabelecer as estruturas organizacionais adequadas para uma efetiva Ç S
A T S
A
proteção de dados e implementação de privacidade. O
R

Preparação

Avaliação e
Fase-2
Organização
Fase-3
Fase-4
❑ Etapas Governança
Desenvolvimento e
Implementação
❖ Etapa #1: Definir e implementar o “como manter” o programa, as políticas e controles de

Governança de Privacidade de Dados.
❖ Etapa #2: Definir e manter a matriz de atribuições e responsabilidades pela Proteção de Dados
e Privacidade - Matriz RACI. Fases
❖ Etapa #3: Definir e implementar o “como manter” o envolvimento dos níveis táticos e 7 Etapas
estratégicos da organização - Gerência Senior - na Proteção de Dados e Privacidade.
Ações
❖ Etapa #4: Estabelecer e manter a continuidade do compromisso de todos os níveis hierárquicos
da organização com a Proteção de Dados e Privacidade – PD&P. 9 Resultados
❖ Etapa #5: Estabelecer e manter um plano de comunicação corporativa regular para

direcionamentos, questões e problemas de Proteção de Dados e Privacidade.
❖ Etapa #6: Estabelecer e manter processos e procedimentos que garantam o envolvimento das
partes interessadas em questões de Proteção de Dados e Privacidade.
❖ Etapa #7: Implementar e operar sistemas informatizados para a sustentação da Proteção de
Dados e Privacidade corporativa.

Preparação

Avaliação e
Fase-2
Organização
Fase-3
Fase-4
❑ Resultados previstos Governança
Desenvolvimento e
Implementação
1. Estratégia de Proteção de Dados e Privacidade atualizada – Etapa #1.
2. Programa de Proteção de Dados e Privacidade atualizado – Etapa #1. Fases
3. Controles de Governança de Dados atualizados - Etapa#1
7 Etapas
4. Nomeação do Encarregado da Proteção de Dados Pessoais – pessoa física - Etapa #2.
5. Plano de Comunicação para todas questões de PD&P - Etapas #3, #4, #5 e #6 Ações
6. Rede corporativa de PD&P - Etapa #4
9 Resultados
7. Função de Proteção de Dados e Privacidade incluída nas descrições de cargos - Etapa#4
8. Plano atualizado de conscientização, comunicação e treinamento em privacidade - Etapa
#5
9. Sistema informatizado de Proteção de Dados e Privacidade - Etapa #7
Estruturas organizacionais aderentes à implementação da Proteção de Dados e

Privacidade

Estruturar a Oferta
Fase-3: Desenvolvimento e Implementação
❑ Objetivo Principal D
D P
❖ Desenvolver e implementar medidas e controles específicos para
P O
Proteção de Dados e Privacidade – Governança de Dados Pessoais G
S O P -
O S
E - R N C
❖ Projetar um Sistema de Classificação de Dados Fases V I
G C O E O
E S
U O C G R
❖ Desenvolver e implementar políticas, procedimentos e 7 Etapas
R T
R N E Ó P
controles para cumprir a Legislação de Privacidade e N E
A S S C O
requisitos da Organização. A M
Ações N U S I R
N A
Fase-1 Ç L O O A
Ç S
Preparação
7 Resultados A T S T
A
Fase-5
Fase-2 O I
Avaliação e
R
Organização
Melhoria V
O
Fase-3
Fase-4
Desenvolvimento e
Governança
Implementação

Estruturar a Oferta
Fase-1
Preparação
Fase-3: Desenvolvimento e Implementação Fase-5

Fase-2
Avaliação e
Organização
Melhoria
❑ Etapas
Fase-3
Fase-4
❖ Etapa #1: Desenvolver e implementar estratégias, planos e políticas de Governança
Desenvolvimento e
Implementação
Proteção de Dados e Privacidade.
❖ Etapa #2: Implementar o procedimento de aprovação para
Processamento de Dados Pessoais.
Fases
❖ Etapa #3: Registrar os Banco de Dados que contenham Dados Pessoais.
7 Etapas
❖ Etapa #4: Desenvolver e implementar um sistema de transferência
internacional de dados. Ações
❖ Etapa #5: Executar atividades de integração de Proteção de Dados e 7 Resultados

Privacidade dentro co contexto Corporativo.
❖ Etapa #6: Executar o plano de treinamento de Proteção de Dados e
Privacidade.
❖ Etapa #7: Implementar controles de Segurança de Dados Pessoais.

Estruturar a Oferta
Fases
Sistema de Gestão de Proteção de Dados – SGPD 7 Etapas
Fase-3: Desenvolvimento e Implementação
Ações
❑ Resultados previstos 7 Resultados
1. Sistema de Classificação de Dados Pessoais – Etapa #1

2. Procedimento de aprovação do Processamento dos Dados Pessoais - Etapa #2.
3. Documento de Registro dos Bancos de Dados que conteem Dados Pessoais - Etapa #3
4. Desenvolvimento e implementação de um Sistema de transferência internacional de
Dados - Etapa #4
5. Atividades de Integração de Proteção de Dados e Privacidade executadas – Etapa #5
6. Atividades de treinamento corporativo de Proteção de Dados e Privacidade executadas -
Etapa #6
7. Controles de Segurança de Dados Pessoais implementados – Etapa #7
Desenvolver e implementar um conjunto de medidas de Proteção e Privacidade para

administrar os dados pessoais de maneira eficiente e eficaz.

Estruturar a Oferta
Fase-1
Preparação
Fase-2
Avaliação e
Fase-4: Governança Melhoria
Organização
Fase-3
Fase-4
Desenvolvimento e
❑ Objetivo Principal Governança
Implementação
❖ Estabelecer mecanismos de Governança de Privacidade dos Dados Pessoais. D

P
❖ Desenhar e configurar estruturas organizacionais de Governança no O
G
contexto de Proteção de Dados e Privacidade. S - P
O S
E C R N
V I
❖ Envolver e obter o comprometimento de todas as partes G O O E
Fases E S
interessadas relevantes. U R C G
R T
7 Etapas R P E Ó
❖ Relatar todas as questões de Privacidade considerando-se um N E
A O S C
contexto de processo contínuo A M
Ações N R S I
N A
Ç A O O
9 Resultados Ç S
A T S
A
I
V
O

Estruturar a Oferta
Fase-1

Preparação
Fase-5
Fase-2
Avaliação e
Fase-4: Governança Melhoria
Organização
Fase-3
Fase-4
❑ Etapas Governança
Desenvolvimento e
Implementação
❖ Etapa #1: Implementar práticas Governança para o gerenciamento do

uso dos Dados Pessoais ao longo de todo o Ciclo de Vida.
❖ Etapa #2: Manter avisos de Privacidades sobre os Dados Pessoais. Fases
❖ Etapa #3: Executar um plano de solicitações, reclamações e retificações. 7 Etapas

❖ Etapa #4: Executar uma Avaliação de riscos de Proteção de Dados –
Ações
Análise de Impacto a Proteção de Dados – AIPD.
❖ Etapa #5: Emitir Relatório de Proteção de Dados e Privacidade. 9 Resultados
❖ Etapa #6: Manter documentação de Privacidade de Dados.

❖ Etapa #7: Estabelecer e manter um Plano de Resposta de Violação de
Privacidade.

Estruturar a Oferta
Fase-1
Sistema de Gestão de Proteção de Dados – SGPD Preparação
Fase-5
Fase-4: Governança Avaliação e
Fase-2
Organização
Melhoria

Governança
Fase-3
Desenvolvimento e
Implementação
1. Estratégia de Proteção de Dados e Privacidade atualizada - Etapa #1.
2. Política de Proteção de Dados - Etapa #1.
3. Procedimentos para manter Avisos de Privacidade de Dados - Etapa #2. Fases
4. Plano de tratamento de solicitações, reclamações e retificação - Etapa #3. 7 Etapas

5. Processo de Avaliação de Riscos para Proteção de Dados - Etapa #4.
6. Plano de Gerenciamento de Riscos de Terceiros - Etapa #4. Ações
7. Relatório de Proteção de Dados & Privacidade - Etapa #5. 9 Resultados

8. Documentação de Privacidade de Dados - Etapa #6.
9. Plano de Resposta à Violação de Privacidade de Dados - Etapa #7.
Estabelecer uma estrutura de Proteção de Dados e Governança da Privacidade para uma

melhor proteção dos dados e gerenciamento de privacidade.

Estruturar a Oferta
Fase-1

Preparação
Fase-5
Fase-2
Avaliação e
Fase-5: Avaliação e Melhoria Melhoria
Organização
Fase-3
❑ Objetivo Principal Fase-4
Governança
Desenvolvimento e
Implementação
❖ Avaliar, monitorar e melhorar continuamente todos os aspectos D

P
específicos de Proteção de Dados e Privacidade da Organização
Fases O
(controles, políticas, procedimentos, práticas, etc.). G
S -
7 Etapas O
E C
❖ Monitorar a operação e a resolução de todas as questões V
Ações G O
relacionadas à Privacidade. E
U R
R
9 Resultados R P
❖ Avaliar regularmente a conformidade dos processos e políticas N
A O
internas. A
N R
N
Ç A
❖ Melhorar a Proteção de Dados e as medidas de Privacidade. Ç
A T
A
I
V
O

Estruturar a Oferta
Fase-1
Sistema de Gestão de Proteção de Dados – SGPD Preparação
Fase-5
Fase-5: Avaliação e Melhoria Avaliação e
Melhoria
Fase-2
Organização
❑ Etapas Fase-4
Governança
Fase-3
Desenvolvimento e
Implementação
❖ Etapa #1: Realizar auditoria interna de PD & P

❖ Etapa #2: Envolver uma parte externa para avaliações de PD & P.
Fases
❖ Etapa #3: Realizar avaliações e estabelecer “benchmarkes” (comparações).
7 Etapas
❖ tapa #4: Executar avaliações de riscos de Proteção de Dados.
❖ Etapa #5: Resolver riscos de PD & P. Ações
❖ Etapa #6: Relatar análise de riscos de PD & P e resultados 9 Resultados
❖ Etapa #7: Monitorar as leis e regulamentos de PD

Estruturar a Oferta
Fase-1
Preparação
Fase-2
Avaliação e
Fase-5: Avaliação e Melhoria Melhoria
Organização
Fase-3
Governança
Desenvolvimento e
Implementação
1. Relatório de auditoria interna sobre PD & P - Etapa #1.

2. Relatório de auditoria externa sobre PD & P - Etapa #2. Fases
3. Relatório de Avaliação de Privacidade ad-hoc - Etapa #3.
4. Relatório de autoavaliação de Privacidade - Etapa #3. 7 Etapas
5. Relatório de benchmark (comparação) de Privacidade - Etapa #3 Ações

6. Relatório de Avaliação de Impacto sobre a Proteção de Dados – AIPD - Etapa #4.
7. Relatório de riscos tratados para PD & P - Etapa #5. 9 Resultados
8. Relatório de Análise de Riscos e Resultados de PD & P - Etapa #6.

9. Relatório de Monitoramento da Legislação envolvida na Privacidade de Dados
Pessoais - Etapa #7.
Monitoração e auditaria contínua dos aspectos de Proteção e Privacidade de Dados para a identificação de falhas
e pontos de melhorias nos atuais procedimentos e controles implementados, incluindo um plano de ação para a
melhoria contínua da Política e Programa de Proteção e Privacidade de Dados Pessoais.

Estruturar a Oferta
ABNT NBR ISO/IEC 27701 | ABNT NBR ISO/IEC 27001 & 27002
❑ ISO/IEC 27001
❖ Estabelece requisitos mandatários para:
✓ Planejar, implementar, monitorar, analisar e
aperfeiçoar o SGSI;
✓ Documentação
1. Escopo
✓ Responsabilidade da Alta Direção
2. Referências normativas ✓ Análise crítica pela Direção
3. Termos e definições ✓ Auditorias internas

✓ Melhoria contínua
4. Conceitos Gerais ❖ Anexo-A – Controles
5. Requisitos SGPI (27001) ❖ Considerada como base para a Certificação
6. Diretrizes SGPI (27002)
❑ ISO/IEC 27002
7. Diretrizes (Controladores) ❖ Não define como gerenciar o SGSI
8. Diretrizes (Operadores) ❖ Traz recomendações e não requisitos obrigatórios
❖ Detalha os Controles – Anexo-A
9. ANEXOS (A,B, C, D, E, F) ❖ Não aborda a aplicabilidade ou não dos Controles - Anexo-A
❖ Não se utiliza para a Certificação

Estruturar a Oferta
PROGRAMA DE COMPLIANCE LGPD Boas práticas das medidas de segurança técnica e
administrativa, utilizando como referência:
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, ▪ Normas ISO 9001
técnicas e administrativas aptas a proteger os dados pessoais de acessos
não autorizados e de situações acidentais ou ilícitas de destruição, perda,
▪ Normas ISO 27001
alteração, comunicação ou qualquer forma de tratamento inadequado ou Gestão da ▪ Normas ISO 27701
ilícito. ▪ LGPD | ei Geral de Proteção de Dados Pessoais
Segurança
Art. 50. Os controladores e operadores poderão formular
regras de boas práticas e de governança que estabeleçam as Organização da Segurança
condições de organização, o regime de funcionamento, os
procedimentos, incluindo reclamações e petições de titulares,
as normas de segurança, os padrões técnicos, as obrigações Gestão Controle
específicas para os diversos envolvidos no tratamento, as de Ativos de Acesso
ações educativas, os mecanismos internos de supervisão e de
mitigação de riscos e outros aspectos relacionados ao
tratamento de dados pessoais. Conformidade
Segurança de Gestão de Segurança

Recursos Humanos Comunicações Física e de TI
Aquisição, Desenvolvimento Gestão de Gestão da

E Manutenção de Sistemas Incidentes Continuidade do Negócio

Estruturar a Oferta
•
•
POL_03.001-Política de Classificação e Manuseio da Informação
POL_03.002-Política de Utilização de Equipamentos
PROGRAMA DE COMPLIANCE LGPD
• MAT_03.001-Matriz de Ativos da Informação
• POL_01.001-Política de Segurança da Informação
• PRO_01.001-Procedimento de Auditoria Interna
• POL_05.001-Política de Proteção de Dados Pessoais • PLA_01.001-Plano Anual de Auditorias
• POL_05.002-Aviso de Privacidade 1.Gestão da • MAT_01.001-Matriz de Controle de Documentos
• POL_05.003-Política Interna de Privacidade • Ata de Reunião de Análise Crítica
• POL_05.004-Política de Contrato com Operadores Segurança
• POL_05.005-Política de Retenção de Dados • Manual do Sistema de Gestão da
• PRO_05.001-Procedimento para Solicitação de Dados Pessoais Informação
• PRO_05.002-Procedimento de Avaliação do Legítimo Interesse 2. Organização da Segurança
• FRM_05.001-Formulário de Avaliação do Legítimo Interesse
• PRO_05.003-Procedimento-Transferência Internacional de Dados Pessoais
• PRO_05.004-Procedimento - Relatório de Impacto à Proteção de Dados Pessoais • POL_04.001-Política de Controle de Acesso
• Relatório de Impacto à Proteção de Dados Pessoais 3. Gestão 4. Controle • POL_04.002-Política de Controle de Acesso Remoto
• MAT_05.002-Matriz de Riscos - RIPD
• MAT_05.001-Calendário de Retenção de Dados de Ativos de Acesso
• POL_08.001-Política de Segurança Física
• POL_08.002-Política de Proteção Contra
•
•
POL_06.001-Política de Segurança de Recursos Humanos
POL_06.002-Política de Controle de Uso Aceitável dos Ativos
5. Gestão da Privacidade e Proteção a Dados Pessoais •
Códigos Maliciosos
POL_08.003-Política de Criptografia
• PLA_06.001-Plano Anual de Treinamentos • POL_08.004-Política de Monitoramento dos
• MAT_06.001-Matriz de Competências Ativos de Informação
• MAT_06.002-Matriz de Descrição de Papéis e Atividades 6. Segurança de 7. Gestão de 8. Segurança • PRO_08..001-Procedimento de Backup
Recursos Humanos Comunicações Física e de TI
• PLA_11.001-Plano de
• POL_09.0-Política de Continuidade de
Desenvolvimento Seguro 9. Aquisição, Desenvolvimento 10. Gestão de 11. Gestão da Negócios
E Manutenção de Sistemas Incidentes Continuidade do Negócio
• POL_10.001-Política de Resposta a Incidentes de Segurança da Informação

• PRO_10.001-Procedimento de Resposta a Incidentes de Segurança da Informação • POL_07.001-Política de Segurança de Rede
• PRO_10.002-Procedimento de Registro de Não Conformidades • POL_07.002-Política de Acesso a Internet e Mídias Sociais
• FRM_10.001-Formulário de Registro de Não Conformidades • POL_07.003-Política de Mensagens Eletrônicas
• MAT_10.001-Matriz de Riscos
• MAT_10.002-Matriz de não conformidades AAAA
Operação-Loja
Frente de Loja | Pagto Cheque
OPERADORA PGTO CARTÃO PDV-CAIXA SEFAZ

CARTÃO Sw Express
PDV-SAT
VENDITOR - app SAT-CE-e 10 Dias
Manual
Consolidação
Não PDV- e Carga
Extrato CAIXA | CPF
no Extrato
Coleta Sim PDV Server | Emporium CLOUD
CPF MODERATOR - app
PDV-Guarda SAT
TOTVS-RMS Coleta | Consentimento:
Cofre Loja Arquivo Morto
Nome Completo
LOJA
CPF / CNPJ
TOTVS-RMS
Tesouraria DANFE
Sim
TOTVS -RMS
Precificação DANFE |
Nota Fim Ips Lojas:
TOTVS-RMS Conjugada Não Cada PDV:
Clientes ▪ 1 PDV
▪ 1 SAT
Coleta | Consentimento:
Nome Completo
CPF / CNPJ
30/07/2021 LGPD | IMPACTOS NAS INSTITUIÇÕES Slide: 50 / 40
❑ Impactos Corporativos | Dia-a-Dia
❑ Modelo - online

❑ Precificação
❖ Organograma Funcional
❖ Quantidade de Processo | Atividades de Tratamento de Dados
▪ 1,5 horas / Processo
❖ Quantidade de Titulares: Clientes e Colaboradores
❖ Quantidade de Fornecedores
❖ Quantidade de Contratos
❖ Quantidade de Relatório de Impacto à Proteção de Dados Pessoais:
❖ Envolvimento ou não de Ferramenta

▪ Licenciamento
▪ Instalação
▪ Configuração
▪ Carga dos Dados

❑ Requisitos para a Contratação de uma Ferramenta
❖ Abrangência ❖ Templates Personalizados
✓ Processos ✓ Levantamento de Processos
✓ Ativos ✓ Avaliação de Riscos: ISO 27001
✓ Fornecedores ✓ Avaliação de Riscos: ISO 27701
✓ Instituições ❖ Gerenciamento de Incidentes
❖ Gerenciamento de Riscos ✓ Esforço de geração
✓ Processos ❖ Portal do Titular
✓ Ativos ✓ Esforço de configuração e Ativação
✓ Fornecedores ❖ Gerenciamento de Cookies
✓ Instituições ✓ Esforço de configuração e Ativação
❖ Relatório de Impacto à Proteção de Dados ❖ Discovery e Mapeamento de Dados Pessoais
✓ Esforço de geração ✓ Dados Estruturados
✓ Dados não Estruturados
✓ On-premisses / Outsourcing / Cloud

Wellington A. Monaco
DPO, ITIL, ISO20.000, Cobit, CGEIT
+55 11 99222-4396 : palestrantemonaco
monaco@palestrantemonaco.com.br Monitoração Integradas - Monitoração Luz Apagada Slide: 59 / 99
palestrantemonaco.com.br

LGPD - Estruturando o produto e serviço para proteção de dados

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

LGPD - Estruturando o produto e serviço para proteção de dados

Enviado por

Direitos autorais:

Formatos disponíveis

Wellington Monaco

Diretor de Governança Corporativa, Governança de Proteção de Dados e Governança de

30/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 3 / 58

❑ Referências: Foram utilizados como referência os seguintes documentos:

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 5 / 58

Contratos com Contratos com Relação com

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 6 / 58

❑ Valor do DADO | INFORMAÇÃO

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 7 / 58 Slide: 7 / 35

Método de Coleta de Origem da Coleta de Periodicidade da Coleta

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 8 / 58

Em um mundo sem fronteiras, os Dados são D

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 9 / 58

Ciclo de Vida dos Dados D

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 10 / 58

Atividades de Aplicações | Repositórios

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 11 / 58

Capítulo IV | DO TRATAMENTO DE Capítulo V | DA TRANSFERÊNCIA Capítulo VI | DOS AGENTES DE

Capítulo X | DISPOSIÇÕES FINAIS E TRANSITÓRIAS | # 6 Artigos #

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 12 / 58

Capítulo IV | DO TRATAMENTO DE Capítulo V | DA TRANSFERÊNCIA Capítulo VI | DOS AGENTES DE

Capítulo X | DISPOSIÇÕES FINAIS E TRANSITÓRIAS | # 6 Artigos #

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 13 / 58

Estrutura da Lei 13.709 – Lei Geral de Proteção de Dados Pessoais - LGPD

Capítulo IV | DO TRATAMENTO DE Capítulo V | DA TRANSFERÊNCIA Capítulo VI | DOS AGENTES DE

Capítulo X | DISPOSIÇÕES FINAIS E TRANSITÓRIAS | # 6 Artigos #

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 15 / 58

CAPÍTULO VI - DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 16 / 58

Estrutura da Lei 13.709 – Lei Geral de Proteção de Dados Pessoais - LGPD

Capítulo IV | DO TRATAMENTO DE Capítulo V | DA TRANSFERÊNCIA Capítulo VI | DOS AGENTES DE

Capítulo X | DISPOSIÇÕES FINAIS E TRANSITÓRIAS | # 6 Artigos #

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 17 / 58

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 18 / 58

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 19 / 58

Estrutura da Lei 13.709 – Lei Geral de Proteção de Dados Pessoais - LGPD

Capítulo IV | DO TRATAMENTO DE Capítulo V | DA TRANSFERÊNCIA Capítulo VI | DOS AGENTES DE

Capítulo X | DISPOSIÇÕES FINAIS E TRANSITÓRIAS | # 6 Artigos #

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 20 / 58

CAPÍTULO III - DOS DIREITOS DO TITULAR

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 21 / 58

ANEXO-A (normativo) |Controles e Objetivos de Controle | Controladores de DP

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 25 / 58

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 27 / 58

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 29 / 58

Fonte: Kyriazoglou, J., Data

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 31 / 58

❑ ambiente corporativo “preparado” para a Proteção e Privacidade dos Dados Pessoais,

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 32 / 58

❖ Etapa #3: Analisar o impacto da Privacidade no negócio

❖ Etapa #8: Esboçar Planos de Implementação de ações de Proteção de 10 Resultados

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 33 / 58

4. Sistema de Fluxo de Dados por Processo - Etapa #6 8 Etapas

7. Plano de Treinamento em Privacidade - Etapa #7 10 Resultados

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 34 / 58

Sistema de Gestão de Proteção de Dados – SGPD Fase-5

❖ Estabelecer as estruturas e mecanismos organizacionais responsáveis por

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 35 / 58

Sistema de Gestão de Proteção de Dados – SGPD Fase-5

❖ Etapa #1: Definir e implementar o “como manter” o programa, as políticas e controles de

❖ Etapa #5: Estabelecer e manter um plano de comunicação corporativa regular para

31/07/2021 LGPD | ESTRUTURAÇÃO DO PRODUTO & SERVIÇO Slide: 36 / 58

Sistema de Gestão de Proteção de Dados – SGPD Fase-5