Banner LGPD

Como adaptar minha estratégia de negócio à LGPD?

Em maio de 2018 foi divulgado a GPDR - General Data Protection Regulation - na União Europeia, a fim de proteger dados pessoais. No Brasil, a Lei Geral de Proteção de Dados (LGPD) foi sancionada em 14 de agosto de 2018 e entrará em vigor a partir do dia 20 de fevereiro de 2020.

O que é a LGPD e por que isso é importante para sua empresa?

A LGPD é um regulamento do Brasil relacionado com a proteção de dados pessoais e a livre circulação desses dados. A LGPD exige um gerenciamento muito sistemático e abrangente da segurança de TI. Isso requer mecanismos de gerenciamento, relatórios e prestação de contas de proteção de dados, incluindo um requisito para notificar violações de dados, mapear fluxos de dados e conduzir avaliações de impacto de proteção de dados. 
A LGPD oferece direitos aprimorados para indivíduos e maior controle por parte dos reguladores. O não cumprimento pode levar a multas substanciais.
Quando a LGPD entrar em vigor, muitas organizações terão que ter um Diretor de Proteção de Dados (DPO) e uma compreensão fundamental dos processos e da classificação dos dados. O consentimento de um titular de dados para o uso de seus dados pessoais deve ser dado por um ato claro e afirmativo. As organizações serão obrigadas a notificar as autoridades e a comunicar as violações de dados aos titulares dos dados. Outras obrigações, como as avaliações de impacto da proteção de dados, também entrarão em vigor. 

Você está pronto para a LGPD?

Trabalhamos com organizações de todos os setores em todo o mundo. Juntos, temos um profundo conhecimento da LGPD e também do GPDR, dos desafios comerciais associados e das soluções tecnológicas. 
Veja abaixo três exemplos hipotéticos nos quais ilustramos como as nossas soluções podem ajudar você a se preparar para a LGPD. Os desafios descritos nessas organizações refletem o trabalho preparatório que vemos na prática.

Exemplo 1: Grande Banco Europeu

A primeira organização é um grande banco europeu. O banco está trabalhando em prol da conformidade com a LGPD e considera a prontidão como um meio de enfatizar a confiança e a segurança. A gerência sênior consultou um escritório de advocacia especializado e seus parceiros de tecnologia.
Estratégia: A gerência sênior entende as implicações da LGPD. O banco elaborou um roteiro para alcançar a prontidão da Lei e nomeou um DPO em 2015, mesmo antes da aprovação da nova lei. O banco modificou seus aplicativos, portal e processos para fornecer informações claras a seus clientes e coletar diferentes graus de consentimento sobre o uso de dados pessoais. A organização entende como abordar a LGPD na totalidade no contexto de muitos outros regulamentos que deve cumprir. A Proteção de Dados foi integrada ao Sistema de Gerenciamento de Segurança da Informação (ISMS) do banco.
Além disso, adotou uma estratégia de comunicação interna que explica a necessidade de novas medidas. O DPO identificou todos os aplicativos que processam dados pessoais e todos os bancos de dados que contêm dados pessoais. O banco se esforça para evitar - a todo custo - a perda de dados pessoais. 
O problema: No entanto, em duas ocasiões, uma violação de dados foi relatada. 
A solução: Processos voltados para contenção e recuperação garantiram que as violações fossem tratadas rapidamente e as conseqüências fossem minimizadas. Além disso, o banco informou imediatamente as violações às autoridades requeridas e aos clientes afetados, de acordo com os procedimentos predefinidos. O banco trabalhou conosco para criar um plano de emergência. A execução do plano garante a disponibilidade de sua equipe, organização, processos, infraestrutura e TI para a LGPD.

Exemplo 2: Fábrica de automóveis

A segunda organização é um fabricante de carros grandes. O fabricante associa a conformidade com a LGPD com sua valiosa imagem de marca, que é fundamental para a organização e, portanto, está interessada em aplicar a Lei de forma correta. 
O fabricante de carros adotou uma nova estratégia em que dados e grandes análises servem como base de seus planos, levando-os a usar e produzir cada vez mais uma abundância de dados. 
O problema: Embora o fabricante de automóveis tenha designado um DPO e tenha elaborado elaboradas campanhas de conscientização sobre dados e proteção, a vastidão, a complexidade técnica e o caráter internacional de seus dados e cenário de banco de dados estão se tornando cada vez mais complexos. Embora o fabricante de automóveis não esteja disposto a aceitar riscos, seus especialistas em proteção de dados sabem que esta lei e futuras violações de dados geram multas - o que pode prejudicar a imagem da marca e levar a uma perda inaceitável de multas. 
A solução: O fabricante do carro trabalha com a Itelios para implementar soluções a fim de aumentar ainda mais a segurança do banco de dados, as soluções de gerenciamento de identidade e acesso e resiliência.

Exemplo 3: Empresa familiar de varejo nacional 

A terceira organização é uma empresa de varejo nacional de 300 supermercados de pequeno e médio porte na Europa Ocidental.
Sua diretoria não tem conhecimento da LGPD e nenhuma medida foi tomada que seja voltada para a compliance. A organização nunca lidou com violações significativas de dados, embora colete dados pessoais de seus clientes desde 2005. O varejista usa os dados para marketing digital e compras online, mas não possui um DPO e não vincula a proteção de dados ou a segurança ao seu core business. Seu panorama de aplicativos e bancos de dados associados não foi verificado para dados pessoais. Em resumo, a liderança da organização não considerou a proteção e segurança de dados e ainda não está pronta para lidar com violações de dados. 
A solução: O varejista buscou nossa ajuda para uma análise e recomendações sobre planejamento, governança, processo, cultura, dados e tecnologia, com o objetivo de testar a prontidão para a LGPD.

E como podemos lhe ajudar?

Junto com nossos parceiros vamos ajudá-lo a se preparar para a LGPD. Projetamos um conjunto combinando ofertas que podem se adequar às suas necessidades para se preparar para o novo Regulamento, esteja você pronto ou ainda com um longo caminho a percorrer. Nosso portfólio considera os tópicos mais importantes para executivos em relação à proteção de dados e segurança e é composto por quatro categorias:

  • Avaliação LGPD
  • Plano estratégico 
  • Avaliação de impacto da proteção de dados 
  • Soluções de tecnologia 

Avaliação da LGPD

Propomos uma avaliação de duas semanas que fornece uma análise e recomendações sobre planejamento, governança, processo, cultura, dados e tecnologia. A avaliação é realizada por uma equipe de três especialistas que coletam e analisam os materiais disponíveis nas categorias citadas acima, entrevistam pessoas-chave responsáveis ​​por essas áreas e verificam tanto os bancos de dados quanto a materiais relacionados à proteção de dados.

A avaliação é baseada em padrões de mercado para metodologia, como ISO, ISF, CSA e C2M2. O resultado da avaliação é uma lista de resultados categorizados, conclusões e recomendações acionáveis ​​com o objetivo de preparar o GDPR. A avaliação pode ser o primeiro passo para a implementação de outras categorias, como planejamento, governança, processo, cultura, dados e tecnologia. A avaliação também pode confirmar que todas as preparações estão em vigor. 


Em particular, as seguintes áreas serão avaliadas:

  • Âmbito Territorial: avaliar se a totalidade ou parte da sua organização se enquadra no âmbito da LGPD.
  • Direitos individuais: analise e avalie seus processos internos para determinar se eles atendem aos requisitos dos direitos individuais (por exemplo, fornecer consentimento, como conceder acesso aos dados);
  • Requisitos de notificação de violação de dados: analise e avalie a prontidão de sua organização em relação às novas regras LGPD relativas à notificação de violação de dados para Autoridades de Supervisão e indivíduos;
  • Manutenção de registros: analise e avalie os bancos de dados, registros e arquivos atuais da sua organização para ver o que está em vigor e o que está faltando para atender aos novos requisitos de registros;
  • Diretor de Proteção de Dados (“DPO”): avalia a necessidade de sua organização ter um DPO e revisa a posição atual de um DPO (se houver) para verificar quais mudanças organizacionais são necessárias;
  • Consentimento e Aviso: reveja os materiais voltados ao cliente para atender aos novos requisitos de consentimento e transparência (e, se aplicável, em particular no que diz respeito à análise de dados, criação de perfis, serviços gratuitos e ofertas digitais para crianças);
  • Serviços de Terceiros: revise e atualize acordos e modelos com os processadores de dados da sua organização (fornecedores, parceiros, etc).

 

Plano estratégico LGPD

Vamos incluir em seu plano estratégico uma série de ações que emprega o uso da tecnologia para aprimorar a qualidade e o nível da proteção de dados pessoais em sua organização. O desenvolvimento do plano envolverá as partes interessadas de sua organização e resultará em um plano realista, apoiado e acionável. Nosso papel é facilitar o desenvolvimento do plano e utilizará sua experiência em desenvolvimento de planos estratégicos, capacidades de preparação para a LGPD e obterá insights sobre suas soluções de negócios e tecnologia. Um plano estratégico pode ser desenvolvido em duas a quatro semanas.

Avaliação de impacto da proteção de dados LGPD

Avaliaremos a disponibilidade de LGPD da sua infraestrutura de TI para qualquer tipo de processamento. No início, o escopo, a governança, o questionário e as ferramentas de avaliação de impacto de proteção de dados são ajustados às necessidades específicas de sua organização. Para garantir a cooperação de todos os grupos-alvo, é iniciada uma campanha de conscientização sobre proteção de dados e proteção de dados. Uma seleção de sistemas de informação relevantes é feita com base no seu risco inicial de proteção de dados. Com base nas respostas dadas na ferramenta de avaliação de impacto de proteção de dados, o impacto de cada sistema é calculado e uma visão geral de lacunas, riscos e medidas é gerada. A ferramenta fornece para cada função um painel com lacunas, pontuações de riscos e medidas de mitigação que são categorizadas.
Posteriormente, um relatório consolidado interno (diretoria) e externo (regulador) pode ser gerado.
Os resultados fornecem o ponto de partida para um plano de melhoria para o responsável pela proteção de dados.

Soluções de tecnologia LGPD

Oferecemos o gerenciamento de projetos e a implementação técnica de três soluções de tecnologia aplicáveis ​​aos sistemas digitais existentes, legados e novos:
• Opções de Segurança do Banco de Dados e soluções como Segurança Avançada e Key Vault, Database Vault, Audit Vault e Database Firewall, Database Masking e Subsetting e Label Security.
• Gerenciamento de identidade e acesso, para gerenciar a oportunidade oferecida pela transformação digital, como o Identity Governance, o Access Management, o Directory, o Identity Cloud Service e o API Platform Cloud Service.
• Soluções de alta disponibilidade e resiliência, uma área em que a Oracle atingiu a excelência há muitos anos, com produtos como Exadata, Real Application Cluster e DB Recovery Appliance, para citar alguns.
Em nossa experiência, um início precoce em direção à disponibilidade de LGPD é fundamental. Maio de 2018 está mais perto do que a maioria imagina. A LGPD pode ter um impacto significativo nos processos de negócios da sua organização e, portanto, a prontidão da LGPD não pode ser alcançada da noite para o dia. Nosso conjunto combinado de ofertas garante a prontidão para a LGPD, bem como a melhoria da mitigação de riscos. 
Além disso, a prontidão para a LGPD melhora o gerenciamento geral de dados, o que, por sua vez, protegerá seus ativos.