Bootcamp LGPD

LGPD de ponta a ponta com TI e Jurídico juntas colocando

a mão na massa!
Fabíola Grimaldi e Lamara Ferreira
02

O que é
Bootcamp?
Campo de Batalha!
A realidade do mercado, a linha de frente
da Consultoria!
 Fabíola Grimaldi
Advogada especializada em consultoria empresarial com
foco no digital e proteção de dados para empresas,
startups, negócios digitais, e-commerce e marketing digital.
 Especialista em Direito de Controle em Proteção de
Dados, PUC-SP
 Especialista em Direito Digital e Crimes
Informáticos, IBCCRIM
 Especialista em Direto Startups, PUC-SP
 Pós graduanda em Master of Laws (LLM) em Proteção
de Dados LGPD & GDPR, FMP e Faculdade Direito
Lisboa
 MBA Gestão em Administração Empresarial, FGV
 DataDefense Cybersec Foudation, DataDefense
Cybersecurity, Data Science pela BigDataUniversity
 Membro da Comissão de Empreendorismo e Direito
Startup OAB/BA e Membro Comitê de Compliance e
Integridade OAB/BA
 Fundadora Projeto Social @educarnaeradigital
Lamara Ferreira
Empreendora de TI
Lamara Ferreira é Fundadora da LFerreira
Consultoria ,Criadora do LGPD Model Canvas® e
Consultora de TI há mais de 10 anos, com foco em
implantação de projetos de Segurança da
Informação. Mestranda em Gestão e Tecnologia,
MBA em Gestão de Projetos pela USP e graduada em
Gestão de TI pelo IFSC. Atuou em grandes
empresas como Oracle, Stefanini, ENKEL e ENTEL
no Chile. Possui 8 certificações internacionais
e é DPO (Data Protection Officer), certificada
pela EXIN
+ 8 certificações internacionais

DPO EXIN
Data Protection Officer - DPO; Privacy and
Data Protection Practitioner (PDPP) – DPO;
EXIN Privacy and Data Protection Foundation
(GPDR); Privacy and Data Protection
Essentials (LGPD); Information Security
Foundation (ISO 27001); DevOps
Professional; PSM (Scrum Master); ITIL –
Foundation.
https://app.exeed.pro/holder/profile/11641
LFerreira Consultoria e
Treinamento

nosso time
Clientes, projetos, treinamentos e eventos:
+ 10 anos de Consultoria em TI
+ 60 projetos implantados em TI, Segurança da Informação
e LGPD
+ 1800 profissionais e empresas capacitados na LGPD e na
metodologia LGPD Model Canvas®
 03

Sua cabeça após

vários cursos
teóricos da LGPD…
A importância de
estar na linha de
frente! Vivendo o dia
a dia do mercado…
“Na teoria é tudo
lindo…”
Precisamos colocar a
mão na massa e ver com
os próprios olhos!
 Instruções
Relembrando... Para quem chegou agora, esta
apresentação:

• Estar no grupo do WhatsApp! É o canal oficial!

• Não ficará gravado!
• Sorteio do livro no final (explicaremos a regra);
• Mega presente inédito e surpresa que nunca fizemos
antes, no último dia!!!

• Mantenha o foco! 3 noites que vão valer por meses!

• Cases práticos;
• Marca lá no ig @lamaraferreira, @fabiolagrimaldifg
e LinkedIn #bootcamp;
• Chama todo mundo, manda esse link!
3 Dias de mão na massa no
Bootcamp LGPD
Dia 1
Descobrindo a chave secreta da
LGPD: Oportunidades,
Auditorias, TI, Gestão de
Projetos;
Dia 2
Abrindo o código-fonte:
Cláusulas, due diligence, Código
de ética; Titulares: Central da
Privacidade, Mapeamento,
Riscos, Govenança, RIPD!
Sites e Apps e Incidentes
Dia 3
Compilar tudo e surpresa inétida
+ roteiro completo!
Portfólio completo: Agentes de
tratamento de pequeno porte,
MVP de implementação,
treinamentos e DPO
 Iniciando a estruturação do seu portfólio:
adequação completa LGPD de ponta a ponta;

Oportunidades gerais: vagas, demandas de

serviços, treinamentos, consultoria, DPO,
revisões...

Agenda Tecnologia da Informação: foco na

segurança da informação;
para hoje
Gestão de Projetos;

Auditorias: LGPD e TI
 Primeiro de tudo... Se estruture!
A LGPD na sua empresa está mais para pastelaria
ou projeto?
• De pastelaria para um Viena “portfólio de serviços completo”:
 • Segundo a biblioteca da ITIL é
"um conjunto completo de
serviços que serão entregues
“Nosso pelo provedor. São agrupados
por tamanho, disciplina e
cardápio” valor estratégico". Em outras
para a LGPD palavras, o Portfólio engloba
todos os serviços entregues.

• https://www.portalgsti.com.br/2012/10/portfolio-de-servicos-x-catalogo-de-
servicos.html
 Diagnóstico;

Portfólio de
Adequação completa: E2E;
serviços para
Privacidade e
Proteção de Dados: Adequação Escopo Fechado;

Auditorias: Internas e externas – De TI e LGPD;

 Consultoria Jurídica;

Tecnologia da Informação;

Portfólio de
serviços para Treinamentos: LGPD x CIPA;

Privacidade e
Proteção de Dados: Central da Privacidade;

Encarregado(a) de Proteção de Dados x Contador(a);

 Privacidade e
proteção de dados
A grande oportunidade do momento, a LGPD!
• Oportunidades para todas as áreas: é multidisciplinar!

• Tem que gostar de Consultoria, processos/fluxos de negócio: são 50% da

LGPD!

• Precisa da visão de Tecnlogia, Jurídico + Gestão de Projetos;

• Oportunidades internas e externas;

Contexto atual
Em vigor desde setembro 2020! Penalizações sendo aplicadas pela ANPD desde
agosto de 2021. "SIM! Está fresquinha! Oceano azul! Repleta de oportunidades!"
 Contexto atual
Em vigor desde setembro 2020! Penalizações sendo aplicadas pela ANPD desde
agosto de 2021. "SIM! Está fresquinha! Oceano azul! Repleta de oportunidades!"

"Depois de 12 meses em vigência, a lei já embasou 1.102 sentenças judiciais de cidadãos que
questionam o uso de seus dados por empresas. Até julho, eram apenas 600 decisões."
Fonte: Metrópoles
952 resultados no LinkedIn citando a LGPD nas vagas!!!
174 oportunidades abertas para DPO no Brasil!
A LGPD é multidisciplinar!
5 pilares:
TI Jurídico

Processos Governança

Educacional
 TI na LGPD:
“TI não é opcional é
fundamental!”
Como chegam as demandas de TI na LGPD?
Duas formas:

• Busca pela adequação completa: “A Consultoria de vocês tem TI”?

• Busca específica pela Consultoria de TI para a LGPD (exemplo abaixo).
 O que precisamos para
atender a frente
Tecnologia da Informação
para a LGPD?
• Primeira coisa: “O pessoal de TI não é a
segurança da informação!!!”
– A segurança da informação é o berço da
proteção de dados! Muito importante desde
que existe Tecnologia, porém sempre foi
considerada o “patinho feio”, “perfumaria”,
“exagero”, “burocracia”.... Agora ela é
queridinha do momento! Mas, exige
especialização (nunca mais para de estudar
e praticar), tecnologia, foco na segurança
e cultura!
– “Ajoelhar no milho para pedir a aplicação
de um patch?”;
– A LGPD impulsionou aquilo que já estamos
falando há anos! Não é só mais uma boa
prática, é uma exigência por lei!
• O capítulo 7 é segurança da informação na
veiaaa!
 Levantamento de
requisitos e
revisões:
• Sistemas: novos e legados: Não tem
mapeamento de processos? Tem o
mapeamento de TI também!
• Dados em repouso, dados em trânsito,
estruturados e não estruturados;
• Redes seguras x perímetros, home
office (está seguro mesmo?),
armazenamento físico e do ambiente,
dispositivos da empresa e o nosso
pessoal BYOD, antivírus e antimalware
(como se proteger?);
• Redes sociais, mundo pessoal x
profissional, uso do e-mail, uso do
Whats...
O que não são as políticas
de segurança?

• Não é passo a passo;

• Não é genérica demais:“A senha
deve ser forte! Não pode admin x
admin”... Nãããooooooooo!!! “Deve
ter no mínimo este padrão:”
• Não é os prints, detalhes de como
fazer... Para isto, temos os
procedimentos, tutoriais,
manuais...
• Não é tudo junto e misturado!
POLÍTICA GRANDE DEMAIS NINGUÉM
VAI LER! Não é linguajar chato,
difícil, técnico demais, super
formal... Temos que criar
proximidade com quem está lendo...
 A política é coisa
séria, mas deve ser
divertida e conhecida
por todos!
• Deve ser segmentada por temas e frentes: Redes;
BYOD; Classificação da Informação; Redes sociais;
Criptografia, Antívirus/malware... A “pai/mãe” de
todas elas: A PSI – Política de segurança da
informação;
• Amplamente divulgada e conhecida: “Onde tá a PSI?
Tá aqui na intranet!” Ter política e não saber
onde encontrar é o mesmo que nada!
• Deve ser possível de auditar: Deixa eu ver se
está...
• Deve ter um linguajar gostoso de ler! Fácil de
entender e aplicar no dia a dia! Ex: home office
seguro, o que eu devo fazer para ter segurança
trabalhando da minha casa?
• Revisada e atualizada de forma contínua! Segurança
deve estar próxima de negócio!
Vamos direto ao ponto? O
mínimo necessário para
Segurança da Informação!
• Política de gestão de acessos e
identidades;
• Matriz de Acessos;
• Levantamento de requisitos de
segurança da informação (LRSI);
• Mapeamento de TI;
• Política de classificação da
informação! (Não é dado pessoal x
sensível);
• Política de segurança física e do
ambiente;
• Política de BYOD; Cada vez mais comum
e cheia de cuidados;
Vamos direto ao ponto? O
mínimo necessário para
Segurança da Informação!
• Política de redes sociais e mensagem
eletrônica;
• Política de antivírus/antimalware;
• Política de home office seguro;
• Política de segurança em redes;
• Política de Cloud! Não é só olhar a
transferência internacional ok?
#ficaadica
• Política de Criptografia;
• Política de anonimização;
• Política de Segurança da Informação;
• Se relacionam: Gestão de Incidentes e
Auditoria de TI;
Gestão de Projetos
na LGPD
Gestão de Projetos
• Aquilo que não se pode medir não se pode gerenciar!
Peter Drucker;
• Um projeto de LGPD, um programa de adequação, sem
gestão de projetos é um “fazejamento” e não
planejamento!
• Deveria ser básico, mas não é! Portanto, é um
diferencial competitivo!
• Ter um cronograma detalhado, uma metodologia de
gestão, plano de comunicação, gestão do escopo,
orçamento, status... É ESSENCIAL!
• Advogados(as) com um pezinho no ágil, na gestão de
projetos? Sejam muito bem-vindos(as)! Vocês vão amar!
Gestão é vida e vida é gestão!
• Os indicadores valem ouro! Onde estamos? Próximos
passos? O que pendente? Quais as barreiras? Nossa
escada no modelo de maturidade está em qual fase?
Como melhorar mais? Como ter a prestação de contas?
Manter os controles em dia? Visibilidade e
transparência!
 • Pode atuar em um único projeto/diversos
clientes, gestão do programa de adequação:
RH, aquisição de ferramentas, acompanhar
os novos projetos nascendo já incluindo
compliance com a LGPD (Privacy by Design);

• Gestão do cronograma, entregas,

Gestor de
alinhamento do status, report com a alta
direção e patrocinadores do projeto,
alinhamento com as áreas, comitê e DPO;

Projetos
• Gestão dos riscos, do plano de ação e dos
fornecedores;

• Gestão da comunicação: “Manual do projeto

de adequação”

LGPD • Prestação de contas: formalizações, base

de conhecimento, atas, registros,
relatório, consolidação dos resultados:
“foi implementado com sucesso x ferramenta
para gestão de vulnerabilidade e assim tal
risco... + RIPD”;
 • Kick-off do projeto;
• Cronograma;
Vamos direto • Trello;

ao ponto? • Plano de projeto: escopo,

comunicação, mudanças, riscos,
Entregáveis cronograma...
Papéis e responsabilidades;
da Gestão de
•
• Atas de reunião: do projeto,
Projetos na nomeação do DPO, nomeação do
comitê;
LGPD; • Carta de risco;
• Plano de comunicação e
conscientização;
Cronograma
Trello do projeto
Auditorias
Contexto atual
Auditoria LGPD
Auditoria de TI
 Conhecimentos e experiências na implementação do Sistema de
Gestão da Qualidade;

Lei Geral de Proteção de Dados x Modelo de Governança;

Base de
conhecimento
ISO 27001, 27002, 27701, ITIL, DevSecOps, Capítulo 7 da
LGPD;

das Experiências dos projetos de implementação + 10 anos

Consultoria em TI;

auditorias Lição aprendida: Crie um ambiente seguro para a sua

auditoria! Precisamos ser Facilitadores para levantar as
vulnerabilidades e propor as soluções;

Oportunidade: Interna e externa, para LGPD e TI, renovação

a cada 6 meses, para monitoramento, avaliação e melhoria
contínua;
 • Auditorias preenchidas com os
resultados, observações e
gráficos;

Vamos direto
• Sugestão de plano de ação com
gerenciamento de riscos;
• Relatório conclusivo de
ao ponto? Auditoria LGPD;
• Relatório conclusivo de
Entregáveis Auditoria TI;
• Procedimento de auditoria:
da Auditoria metodologia;
• Carta de declaração de
LGPD e TI: conformidade com a LGPD (não é
um selo – não existe empresa
100% compliance, pois não existe
segurança da informação 100%
segura ok?);
Como a nossa Auditoria
LGPD fez a diferença
para a Advogada e
Consultora Tiana Ferraz?
 Gostou? Amanhã tem muito mais!!!

Due Diligence; Contratos: Cláusulas Todos os entregáveis

Sites e aplicativos
Carta para o operador; para a LGPD; do jurídico;

Atendendo os direitos
KPIs, Indicadores, Apagando os
Mapeamento de dos titulares:
monitoramento, RIPD incêndios: gestão de
processos e riscos; Procedimentos para a
e melhoria contínua... incidentes na LGPD;
central de privacidade;
Sorteio!
•
•

•
 Dúvidas?
Vamos crescer juntos!
Obrigada ;)
/fabiolagrimaldiadv/
/lamara-ferreira

contato@pacotelgpd.com.br

@fabiolagrimaldifg
@lamaraferreira
@pacotelgpd