• LGPD - Lei Geral de Proteção de Dados

• O objetivo básico da LGPD é regulamentar o tratamento de dados pessoais dos indivíduos garantindo direitos fundamentais relacionados à proteção da liberdade, privacidade e intimidade das pessoas e permitindo aos titulares mais transparência e controle sobre a coleta e utilização de seus dados.

Os deveres das empresas segundo a LGPD são:

• Obrigatoriedade de transparência: a coleta dos dados dos clientes deve acontecer de forma explícita e também devem saber para quais finalidades essas informações serão utilizadas;
• Minimização da coleta de dados: serão colhidos apenas os dados realmente necessários para a realização da atividade;
• Garantir clareza e exatidão das informações: uso de sistemas de defesa e proteção contra acessos não autorizados, mal uso e adulteração de dados.

É direito do titular:

• Acesso e manuseio: podendo editar, atualizar e completar seus dados;
• Compartilhamento com terceiros e tratamento: o titular sempre que quiser pode ter acesso a quais terceiros suas informações foram compartilhadas e como elas estão sendo tratadas;
• Portabilidade para outras empresas;
• Anonimização para não ser identificado;
• Eliminação e revogação do uso desses dados.

Compreendemos que o conceito de "dados pessoais" pode ser muito vago, portanto trazemos abaixo o artigo da Lei que os descreve.

• Art. 5o Para os fins desta Lei, considera-se:
  • I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
• Informação relativa a uma pessoa física identificada ou identificável (“titular dos dados”).

• Exemplos:
  • • Nome Completo, Nacionalidade, Data de Nascimento, Gênero,Documento de Identidade, Cadastro de Pessoa Física, Nome empresarial, CNPJ, Informações societárias, Endereço de e-mail, Endereço Físico, Número de telefone;
  • Outros exemplos:
    • Informações sobre sistema operacional e navegador de dispositivo,Endereço IP, Geolocalização, Dados técnicos de dispositivo utilizado,Registros de interações com a plataforma;
    • Quaisquer elementos específicos da identidade física (etnia, biometria), fisiológica (dados de saúde, vida sexual), genética, mental (opiniões políticas, filosóficas e religiosas, orientação sexual), econômica (Dados bancários / financeiros / creditícios), cultural (preferências) ou social (dados laborais, perfil de consumo, perfil acadêmico) etc.
  • II - dado pessoal sensível:
    • origem racial ou étnica;
    • convicção religiosa;
    • opinião política;
    • convicções filosóficas;
    • filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
    • saúde;
    • vida sexual;
    • dado genético; e
    • biometria.

• Entra em vigor em agosto/ 2020;
• Proteção de dados pessoais em quaisquer meios, e não apenas os digitais;
• Regulamenta o tratamento de dados pessoais;
• Busca proteger o direito fundamental à privacidade;
• Minimização no tratamento dos dados pessoais;
• Sanções: Multa e Publicização da infração, dentre outras.
• Conceito Controlador e Operador;
• Conceito de Encarregado (DPO) e suas funções; e
• Cenário atual da proteção de dados no Brasil e no mundo.

• Drive da Empresa: LGPD - Lei Geral de Proteção de Dados

Link [[1]]

Apresentação LGBD- Lei Geral de Proteção de Dados

• Scrum
• Kanban
• Pmbok
• Contratada Consultoria KPMG

A Lei Geral de Proteção de Dados tem como principais abordagens:

• Segurança de dados;
• Privacidade;
• Transparência entre as partes envolvidas;
• Tratamento de dados responsável;

Essas abordagens buscam garantir a proteção e a intimidade do titular dos dados, beneficiando tanto o usuário final quanto a o organização.

• Vantagem competitiva inicial onde as empresas que estiverem adequadas à Lei estarão um passo a frente daquelas que ainda vão se adequar, e, portanto, podem receber preferência dos consumidores e clientes;
• Segurança jurídica, visto que estarão atuando sob as normas e condições legais;
• Confiabilidade no relacionamento com o cliente: a transparência na coleta e tratamento de dados fará com que o cliente se sinta mais seguro e confortável em lidar com aquela organização, tornando a experiência menos invasiva e mais respeitosa;
• Valorização de informações relevantes para o marketing da organização: com a quantidade de dados extremamente restrita as empresas deverão, através de estudos, valorizar informações que realmente exercem alguma influência no comportamento do consumidor, o que provavelmente irá fortalecer as ações de marketing e aumentar sua eficácia.

• Transparência no uso de dados pessoais: a partir da LGPD o consumidor terá maior controle a respeito do uso de suas informações, podendo limitar o acesso a eles (na maior parte das vezes) da maneira que preferir;
• Privacidade e liberdade: exceto casos raros, cabe ao consumidor determinar quando julga necessário ou não que a empresa tenha acesso aos seus dados;
• Valorização de dados: a longo prazo as pessoas irão compreender o quão valiosos suas informações pessoais podem ser, facilitando sua própria segurança;
• Confiabilidade: os consumidores terão maior senso de confiabilidade com as companhias que tratarem seus dados adequadamente.

A Lei Geral de Proteção de Dados têm como principais direcionadores:

• Segurança e privacidade do consumidor;
• Responsabilidade empresarial com informações de seus clientes;
• Proteção jurídica contra o uso irresponsável de informações particulares;
• Transparência entre a relação consumidor - organização.

Para que a Algar desenvolva as ações necessárias para a conclusão do projeto de adequação à Lei é indicado que busquem orientação e acompanhamento jurídico, buscando compreender e respeitar toda a abrangência da mesma, também se faz preciso o envolvimento de quase todas as áreas da empresa, sendo elas:

• Operações: TI, Relacionamento, Técnico/Campo e Algar Franquias;
• Staff: Talentos Humanos, Faturamento/Cobrança, Jurídico e Processos;
• Negócios: Marketing e Vendas.

O envolvimento e adequação dessas áreas é preciso, visto que todas elas, até então, possuíam livre acesso a dados e informações pessoais dos consumidores e clientes. Além disso, todos os parceiros da Algar também devem se adaptar e acolher a Lei de maneira apropriada, caso contrário a empresa não deve se envolver ou manter tal parceria pois pode ser legalmente prejudicada. Será necessário durante a execução do projeto uma frente que acompanhe e monitore a adequação destes terceiros à Lei, evitando sigilos e garantindo o interesse mútuo entre as partes.

Também listamos algumas empresas que oferecem serviços que podem auxiliar no cumprimento da Lei:

• McAfee: podem oferecer antivírus e sistemas de monitoramento ao uso e acesso de dados;

• KPMG: serviços de consultoria para auxiliar nos melhores processos e tecnologias a serem utilizados;

• PG: consultoria jurídica para auxílio nas alterações das minutas contratuais;

• Coruja: treinamentos para conscientização dos colaboradores, além de elaboração de peças de comunicação com o mesmo tema;

• OneTrust: tratamento adequado de cookies nos site da Algar Telecom;

• Palo Alto: monitorar o compartilhamento de dados por softwares não homologados pela Algar Telecom;

• IBM: rastreamento e monitoramento do uso e acesso de dados em todas as ferramentas sob a gestão da Algar Telecom;

• MD2: portal de acesso aos clientes para conferir, restringir e consultar o uso e acesso de seus dados;

• Oracle:

Como a Lei Geral de Proteção de Dados ainda não entrou em vigor, decidimos apresentar alguns Cases da GDPR (General Data Protection Regulation), uma Lei européia que serviu como inspiração para a criação da LGPD e tem como principal intuito a mesma proteção de dados dos cidadãos europeus.

• British Airways

Um dos casos que ficaram internacionalmente conhecidos está o da companhia aérea British Airways, que foi multada em aproximadamente R$ 900 milhões de reais. A empresa foi condenada a essa multa por vazamento de informações pessoais e financeiros de mais de 500 mil clientes. Isso aconteceu devido a mecanismos de proteção frágeis, inadequados e ineficientes que não foram capazes de prevenir dos ataques cibernéticos. Todas essas informações foram vazadas tanto do site quanto do aplicativo e foram direcionadas para um servidor falso que registrava o login, nome, endereço, detalhes da reserva de viagem e o cartão utilizado para realizar o pagamento. Logo após a divulgação a companhia aérea aparentemente não se importou muito e nem divulgou as medidas que seriam tomadas para evitar que isso acontecesse novamente, o que gerou mais indignação ainda de seus clientes e pessoas envolvidas, o que agravou a multa. Todas essas pessoas ficaram completamente expostas, podendo sofrer ataques físicos, financeiros e ameaças por conta da negligência empresarial que poderiam ser evitadas com sistemas de proteção mais eficientes.

• Marriott International

A rede internacional de hotéis foi multada em aproximadamente R$ 500 milhões de reais em 2019 por uma violação nos dados que afetou mais de 383 milhões de hóspede, sendo aproximadamente 30 milhões cidadãos europeus. Foram vazadas informações sobre reservas de quartos na rede, 5 milhões de passaportes com números não criptografados e 8 milhões de cartões de crédito. Segundo o Gabinete do Reino Unido o vazamento se deu na aquisição de propriedades da rede Starwood e isso aconteceu devido a falta de cuidado durante a transição e falta vontade por corrigir as falhas existentes. Ao contrário da British Airways a rede Marriott retirou o sistema que foi hackeado de seus sistemas e buscou adotar novos métodos de proteção e correção de falhas. Também terão direito a recorrer a multa e encontrar punições mais adequadas, visto que sempre buscaram auxiliar na investigação e correção das falhas.

• Austrian Post

O serviço de Correios nacional da Áustria foi acusado de usar os dados de mais de 2,2 milhões de clientes para determinar as inclinações políticas dos mesmos, compartilhando esses dados com partidos políticos em troca de propaganda e divulgação dos serviços de Correio. Após o início das investigações, as autoridades também encontraram outras violações às leis, onde os Correios estavam reunindo informações sobre a frequência de pacotes que eram enviados para determinados endereços e com que frequência as pessoas se mudam de residência. Tudo isso sem uma autorização legal ou qualquer conhecimento de autoridades e clientes.

• Projeto possui algum elemento tecnologicamente novo ou inovador?

Basicamente todo o projeto, visto que é algo obrigatório que busca mudar todo o tratamento de dados e a tecnologia para cumprir esses padrões é nova.

• Projeto possui barreira ou desafio tecnológico superável?

O tempo de implantação do projeto ser relativamente curto, a cultura de proteção de dados e a barreira tecnológica (comprar novas tecnologias e novos sistemas e aprender a melhor forma de manuseio desses sistemas e tecnologias)

• Projeto utiliza metodologia/método para superação da barreira ou desafio tecnológico?

Utiliza a metodologia Agile Scrum, com reuniões diárias entre o time e repasses semanais para os gerentes e outras partes envolvidas no negócio. Essas reuniões mantém o time ciente das barreiras e facilita a superação das mesmas.

• Projeto é desenvolvido em parceira com alguma instituição acadêmica, ICT ou startup?

Sim, as seguintes empresas participam do projeto:

• • IBM
  • MD2
  • McAfee
  • OneTrust
  • KPMG
  • PG
  • Oracle
  • Coruja
  • Palo Alto

O escopo deste projeto é a estruturação das atividades internas na Algar Telecom visando a proteção de dados. Para isso, as principais mudanças necessárias são:

• Alterações em minutas contratuais;
• Gestão de dados segura;
• Transparência sobre o uso de dados;
• Minimização da coleta de dados;
• Novas ferramentas de fiscalização de segurança, transporte, compartilhamento e encriptação;
• Novas políticas empresariais e código de conduta;
• Revisão de parcerias e terceirizações, visto que estes também devem estar de acordo com a lei para que possam ser mantidos.

Como dito anteriormente, a LGPD ainda não entrou em rigor, portanto, não conseguimos identificar todas suas falhas ainda. Será um processo de adaptação e adequação à realidade brasileira, visto que a lei é uma adaptação da GDPR, uma lei européia.

Da maneira em que a lei foi escrita, suas principais limitações e exceções são:

• Dados anonimizados: são estes os dados que foram tornados anônimos através de meios técnicos extremamente avançados que impossibilitam a identificação direta ou indireta do titular e não apresentam possibilidade de reversão. Entretanto, é muito difícil comprovar essa impossibilidade definitiva de identificação;

• Dados já protegidos: um exemplo desses são informações confidenciais e direitos autorais, que já possuem fiscalização.

Para que o projeto possa ser executado e concluído de maneira apropriada no prazo estipulado, a Algar Telecom investiu em máquinas e softwares virtualizados. Esses serviços e produtos serão entregues pelas seguintes empresas:

• IBM e MD2:

A MD2 irá fornecer o Quality Manager, um portal de processos necessário para atender a legislação, também chamado de Portal do Titular. Nesse portal o usuário final conseguirá consultar os protocolos, exercer o direito de esquecimento e consultar e questionar o uso de seus dados pessoais.Por outro lado, dentro desse portal grande parte das funcionalidades serão entregues pela IBM. Como a LGPD exige que a empresa tenha ciência de todas as localizações de dados pessoais, acessos, compartilhamentos e usuários que visualizam, as funcionalidades entregues pela IBM têm como principal objetivo fazer esse rastreamento e monitoramento. A solução entregue por eles irá encontrar cada dado, de cada cliente, em todos os locais que estão sob a gestão da Algar Telecom. Isso inclui máquinas, portais, drives, e-mails, arquivos e imagens.

• McAfee

Serão responsáveis pela entrega de um antivírus com funcionalidades DLP, EDR e CASB.

Funcionalidade DLP (Data Lost Prevention): Software que busca evitar o vazamento de informações. A ferramenta atingirá os resultados através do monitoramento de tudo que está sob a gestão da Algar Telecom, sendo e-mails, computadores, drives e etc. Ele compreende que pessoas específicas tem acessos a arquivos e dados "privados", e através disso consegue seguir um padrão de "regras" que serão inseridas anteriormente. Essas regras irão guiar as ações que o software irá realizar caso alguém com acesso a essas informações sensíveis tente divulgá-las ou compartilhá-las, seja excluindo, bloqueando o acesso ou qualquer outro tipo de restrição. A ferramenta detecta informações em textos, imagens, prints, dentre outros.

Funcionalidade EDR (Endpoint Detection and Response): A falta de capacidade dos antivírus convencionais em monitorar, identificar, priorizar e neutralizar todas e quaisquer ameaças ou comportamentos suspeitos em um ambiente de forma contínua foi o que impulsionou a criação do EDR, que exerce exatamente essas funções nos "endpoints", além de instantaneamente comunicar os usuários responsáveis pela segurança do ambiente sobre tal situação para que tomem as medidas necessárias e consigam evitar a disseminação dessas ameaças por toda a rede e outros usuários. Simultaneamente também busca compreender de que maneiras essa ameaça ou anomalia se comporta para que possa automaticamente iniciar um processo de "antecipação", tentando bloquear e impedir que essa ameaça volte a acontecer ou atinja outros usuários e máquinas evitando o comprometimento da operação em grande escala Todas essas funcionalidades auxiliam a manter a segurança da rede e o trabalho de analistas e responsáveis pela segurança.

Funcionalidade CASB (Cloud Access Security Broker): Devido a necessidade de transferir e manter os dados confidenciais nas nuvens, é importante que os mesmos estejam seguros e constantemente protegidos. Para isso surgiram as ferramentas CASB. Essas ferramentas atuam entre o provedor de serviços de nuvem e os consumidores desses serviços. Sua principal função é manter esses dados seguros e livres de ameaças. A Algar Telecom opta por usar os serviços de nuvem da AWS (Amazon Web Services) para sustentar seus dados, sistemas e todas suas informações, e para manter esses dados seguros irá contratar um CASB do tipo IAS oferecido pela McAfee que será encarregado por monitorar tudo que diz respeito à própria Algar Telecom dentro da AWS.

• Palo Alto

Assim como a McAfee a Palo Alto irá entregar um CASB, entretanto, este terá o foco para Shadow IT. O objetivo desse CASB é monitorar o uso de quaisquer ferramentas e softwares que não são homologados pela empresa, bloqueando, filtrando e evitando o vazamento de informações através desses canais.

• OneTrust

Irá entregar uma solução que tem como principal função gerir as informações nos sites da Algar Telecom de forma legal para o usuário final. Isso será feito através da análise dos cookies, identificando quais são realmente necessários e adaptando-os para que sejam realizadas perguntas ao usuário final, evitando que seus dados sejam utilizados sem sua autorização.

• Coruja

Foram contratados para elaborar peças de comunicação, criando e editando vídeos, imagens e quaisquer outros tipos de comunicação que auxiliem na divulgação da LGPD. O intuito é conscientizar todos os envolvidos, sendo eles tanto colaboradores quanto usuários finais. Também é responsabilidade da Coruja oferecer treinamentos para os colaboradores, facilitando a transição de cultura organizacional e adaptando os mesmo às novas regras impostas pela LGPD.

• KPMG (Dentre outros [que outros?])

Prestam uma consultoria geral a respeito do tema. É responsabilidade deles estudarem todo o tema para que possam auxiliar na escolha dos melhores processos a serem adotados, melhores tecnologias que podem ser utilizadas, melhores práticas organizacionais para a adaptação, dentre outros.

• PG (A PG fará a alteração nas minutas/políticas ou irá guiar alguém na Algar para realizar essas alterações e dará uma aprovação final?)

Como previsto pela Lei, todos os envolvidos devem se adaptar à segurança dos dados, portanto será necessário que todos os contratos tenham suas minutas alteradas e estabelecidas de maneira que respeite a segurança e privacidade dos dados. Além disso, as políticas de segurança e privacidade internas também serão alteradas para que seja de fato afirmado que os colaboradores irão respeitar as regras, caso contrário poderão sofrer consequências.

• Oracle - Software - XXXXX (O que estão entregando?)

Erro ao criar miniatura: Arquivo não encontrado Erro ao criar miniatura: Arquivo não encontrado Erro ao criar miniatura: Arquivo não encontrado

• 10/03/2020: Reunião de alinhamento com o especialista Elias Brandão agendada para discussão do tópico;
• 11/03/2020: Início da escrita do Conceito;características e listagem dos tópicos do estudo dirigido;
• 19/03/2020: Criação de apresentação da Fase 2;
• 02/04/2020: Coloquei o Cronograma;
• 08/04/2020: Atualizei o Cronograma ;
• 20/04 a 24/04/2020: Estudando o tema e participando das reuniões de equipe para compreensão do projeto;
• 27/04 a 01/05/2020: Estudando o tema;
• 04/05/2020 a 08/05/2020: Reuniões e estudos;
• 11/05/2020 a 15/05/2020: Elaboração da Fase 3;
• 18/05/2020 e 19/05/2020: Possíveis modelos de negócios e Alinhamento com a Lei do Bem;
• 22/05/2020: PoC - Fase 4;
• 29/05/2020: Leitura de livro sobre LGPD;
• 02/06/2020: Ajustes na PoC - Fase 4;
• 04/06/2020: Ajustes nos possíveis modelos de negócios - Fase 3;
• 05/06/2020: Parte do Business Case - Fase 3;
• 08/06/2020: Fase 3 finalizada;
• 12/06/2020: Ajustes Fase 1;

• Lucas de Moraes
• Wanessa De Moura Cota
• Elias Brandão