• Introdução:
A nova lei N° 13.709/18 seria aplicada em agosto de 2020 e possuí o cavatio legis de 18 meses.
Devido ao COVID-19 a lei foi adiada no dia 03/04/20 pelo Senado para 1° de Janeiro de 2021. Porém o Senado alterou novamente a data da vigência e só entrará em agosto de 2021.
Na câmara de deputados em 18\08\2020 começaram a votar sobre a MP citada acima. Caso ela seja rejeitada a lei começa sua vigência imediatamente, e suas penalidades começam a valer em Agosto de 2021.
“LGPD” significa Lei Geral de Proteção de Dados Pessoais.
Essa lei foi aprovada em 2018 ainda durante o governo do ex-presidente Michel Temer.
• O artigo consiste em explicar:
- Objetivo da Lei;
- Quais os fundamentos;
- Aonde e a quem se aplica;
- Tratamento dos dados pessoais;
- Acesso às informações;
- Mudanças nas companhias;
- Agentes de tratamento (Controlador e do Operador de dados);
- DPO (Data Protection Officer);
- ANPD (Autoridade Nacional de Proteção de Dados);
- PII (Personally Identifiable Information) Informações de identificação pessoal;
- Como a tecnologia pode te ajudar:
-Veeam
-Ferramentas da Veeam (Veeam ONE)
-GeoTagging
-Exclusões de PII confidenciais
-Atividade de restauração
-Staged restore
1- Objetivo da lei:
Seu objetivo é proteger os direitos fundamentais de liberdade de privacidade e livre desenvolvimento da personalidade.
Ela foi inspirada na regulamentação europeia GDPR (General Data Protection Regulation)
A lei entende que o cidadão tem direito a proteção dos seus dados pessoais e controlar quais dados circulam e qual a finalidade.
2- Quais os fundamentos:
A disciplina da proteção de dados pessoais tem como fundamentos:
-Respeito a privacidade;
-Autodeterminação informativa;
-Liberdade de expressão, informação, comunicação e opinião;
-A inviolável da intimidade da honra e imagem;
-Desenvolvimento da tecnológico e inovação;
-Defesa do consumidor;
-O Livre desenvolvimento personalidade, dignidade e exercício da cidadania pelas pessoas naturais;
3- A quem se aplica e aonde:
Pessoa natural e jurídica de direito público ou privado independentemente do meio, país, sede ou aonde estão localizados os dados.
Se aplica em todo território nacional.
4- Tratamento dos dados pessoais:
Segundo o capítulo II Art. 7° os dados pessoais só poderão ser tratados nas seguintes hipóteses:
-Fornecimento do titular;
-Para cumprimento de obrigação legal;
-Administração publica para tratamento de dados necessários para execução de políticas públicas previstas em leis;
-Realização de estudos por órgão de pesquisa;
-Quando necessário para contratos do titular ou parte do titular;
-Para processos judiciais em termos da lei N° 9.307;
-Para proteção da vida do titular ou terceiro;
-Para saúde, serviços de saúde ou autoridade sanitária;
-Quando necessário para atender os interesses do controlador ou terceiro.
-Para proteção do crédito;
*Dentro dessa sessão há muitas outras informações e revogações sobre tratamento de dados. Caso você necessite de mais informações sobre tratamento de dados acesse o site do Planalto.
5- Acesso às informações:
Segundo o Art. 17 toda pessoa natural tem a titularidade de seus dados pessoais.
Segundo o Art. 18 O titular tem direito a obter do CONTROLADOR os dados de sua titularidade a QUALQUER momento mediante requisição a várias requisições. Ex: Confirmação da existência de tratamento.
6- Mudanças nas companhias:
A LGPD irá provocar grandes mudanças nas empresas.
Terão de rever seus processos, procedimentos tudo que envolva DADOS PESSOAIS.
Além dos ajustes e enquadramento legal, deverão instalar programas de segurança e proteção de dados pessoais.
A lei é restritiva, porém ainda existe a previsão de MULTA no caso de descumprimento.
Entre as principais mudanças:
-Cultura responsável de armazenamento de dados;
-Tratamento de dados;
-Data Discovery (BI- relatórios interativos e dados exploráveis de várias fontes);
7- Agentes de tratamento (Controlador e Operador de dados);
(Ambos podem ser pessoa natural ou jurídica, de direito público ou privado)
-Controlador: A quem competem as decisões referentes ao tratamento de dados pessoais.
-Operador de dados: A que realiza o tratamento de dados pessoais em nome do controlador.
8- DPO (Data Protection Officer):
Toda empresa deverá ter um profissional ou a empresa fará figura do mesmo.
Será responsável por receber as notificações dos titulares dos dados e fazer intermediação entre a empresa e a ANPD (Autoridade Nacional de Proteção de Dados).
Seu nome será PUBLICO visando a comunicação direta e transparente.
9- ANPD (Autoridade Nacional de Proteção de Dados):
As competências da ANPD estão zelar pela proteção dos dados pessoais, elaborar diretrizes para política nacional de proteção de dados pessoais e da privacidade e aplicar sanções em caso de tratamento de dados realizado de forma irregular.
Terá 23 representantes de órgãos públicos e da sociedade civil.
10- PII (Personally Identifiable Information) Informações de identificação pessoal:
Informações que podem ser utilizadas para identificar um indivíduo.
Essas informações podem ser: Nome completo, endereço IP, número de cartão de crédito e muitas outras.
11- Como a tecnologia pode te ajudar:
A Veeam é uma das empresas de tecnologia mais inovadora e revolucionária dos ultimos tempos referente a proteção de dados.
Essa ferramenta nos ajuda em vários pontos para seguir com a conformidade dessa lei tão complexa.
*Pontos principais citados por Mark Wong, conselheiro geral da Veeam:
⦁ Conheça seus dados: Identifique e localize o (PII) “Identificação pessoal” de todas as áreas de sua organização e de seus clientes.
⦁ Gerencie seus dados: Estabeleça regras para acesso e uso do PII.
As áreas abaixo estão em constante acesso e manuseio de PII.
Marketing – Em constante coleta dessas informações em clientes.
Vendas- Manuseia esses dados.
RH- Aqui é o nível mais alto de cuidados para grande parte das empresas.
Softwares em conformidade com a GDPR para auxiliar essas áreas:
GRC: Salesforce
SIRH: WorkDay
⦁ Proteja seus dados: Garantia de controles de segurança.
⦁ Documentação e conformidade: Documente seus processos, relate problemas ou violações.
⦁ Melhora constante: Mantenha-se atualizado com o mundo digital.
*Após os 5 pontos citados acima concluídos, irei apresentar as ferramentas que a Veeam oferece para seguir com a conformidade:
-Para auxílio do conhecimento em seu ambiente a Veeam oferece o VEEAM ONE que monitora e cria relatórios de capacidade.
HYPER-V, VMWARE, servidores físicos, estações, VMs na nuvem e muito mais.
Abaixo uma foto de painel baseado na identificação de departamentos:
*Agora que você conhece seus dados e sabe onde estão os seus backups, você deve criar políticas de acesso a essas informações.
GeoTagging
Mais um recurso avançado da Veeam é o GeoTaggin. Para controlar as migrações entre dados virtuais, a VEEAM introduz uma noção de locais.
O local define a região geográfica ou país e que o objeto da infraestrutura reside.
Você pode criar uma lista de locais e atribuir aos objetos da infra de backup.
Caso exista a tentativa de restore para outro local, ele irá alertar ao administrador de backup e solicitar uma confirmação.
Os objetos que podem ser atribuídos sobre aos locais da infra:
⦁ Objetos virtuais de infra: vCenter, datacenters, clusters e hosts
⦁ Infra de backup: Repositórios, repositórios externos, scale out, libraries
⦁ Grupos de proteção
⦁ Repositórios na nuvem e planos de harware
A informação fica salva no seu LOG DE BACKUP, exemplo marcado em amarelo abaixo:
Exclusões de PII confidenciais
Você talvez precise criar EXCLUSÕES em alguns dados do seu backup.
Dados de PII CONFIDENCIAIS podem não ser permitidos fazer cópias.
Com o Veeam ONE você consegue ter um relatório dessas exclusões:
Atividade de restauração
Além de você precisar saber quem tem acesso às informações você precisa saber quem restaura ou restaurou essas informações. Abaixo um modelo de relatório gerado via Veeam ONE:
Staged restore
Essa função permite que o administrador possa executar scripts na VM antes que ela seja restaurada no ambiente de produção.
Assim você pode garantir que na VM não haja dados pessoais ou confidenciais na maquina, ou seja, PIIs.
* Por exemplo, você pode executar um script de PowerShell para remover os usuários do AD.
Segue requisitos para essa função -
*Necessário edição Enterprise ou Plus do Veeam;
*Necessário laboratório virtual pré-configurado na sua infraestrutura de backup;
*Os scripts que você deseja executar devem estar em uma pasta no BACKUP SERVER;
*Caso você deseja executar o restore para varias VMs, as mesmas devem ter o mesmo SO;
⦁ Finalização:
A lei irá “obrigar” as empresas a se adaptarem.
Vários diretores e empresários irão ver a lei como uma ameaça aos seus negócios. Mas como tudo na vida é adaptável e alterado. "Na natureza nada se cria, nada se perde, tudo se transforma" Antoine Lavoisier...
TECNOLOGIA E DIREITO CAMINHANDO NA MESMA ESTRADA. Essa estrada nos leva para uma INTERNET mais segura, para as pessoas e para empresas.
Vamos aceitar o fato de ser uma “evolução” não uma “revolução”.
⦁ Fontes:
planalto.gov.br/, 12.senado.leg.br/, lgpdbrasil.com.br/, portogente.com.br/, plugar.com.br/, Veeam.com.br/, lifelock.com/, triplait.com/, geekbi.wordpress.com, workday.com/, salesforce.com/, vladan.com/.
Obrigado!
