segurança: Lei Geral de Proteção de Dados Pessoais

Você já conhece a Lei Geral de Proteção de Dados Pessoais?

Ela foi aprovada em 2018 e tem previsão de vigência para Agosto deste ano! O objetivo da lei consiste em proteger os direitos fundamentais de liberdade de privacidade e livre desenvolvimento da personalidade, inspirada na regulamentação europeia GDPR (General Data Protection Regulation).

A lei entende que o cidadão tem direito a proteção dos seus dados pessoais e controlar quais dados circulam e qual a finalidade, assim como defesa do consumidor e respeito à privacidade, liberdade de expressão, informação, comunicação e opinião.

Tendo em seus fundamentos o desenvolvimento tecnológico e invocação em defesa do consumidor.

A quem se aplica?

Pessoa natural e jurídica de direito público ou privado independentemente do meio, país, sede ou aonde estão localizados os dados em todo território nacional.

A LGPD irá provocar grandes mudanças nas empresas, que terão que rever seus processos, procedimentos e tudo que envolva dados pessoais. A lei é restritiva, porém ainda existe a previsão de MULTA no caso de descumprimento

Tratamento dos dados pessoais

Segundo o capítulo II Art. 7° os dados pessoais só poderão ser tratados nas seguintes hipóteses:

  • Fornecimento do titular;
  • Para cumprimento de obrigação legal;
  • Administração pública para tratamento de dados necessários para execução de políticas públicas previstas em leis;
  • Realização de estudos por órgão de pesquisa;
  • Quando necessário para contratos do titular ou parte do titular;
  • Para processos judiciais em termos da lei N° 9.307;
  • Para proteção da vida do titular ou terceiro;
  • Para saúde, serviços de saúde ou autoridade sanitária;
  • Quando necessário para atender os interesses do controlador ou terceiro;
  • Para proteção do crédito.

Quem pode ter acesso às informações

Segundo o Art. 17 toda pessoa natural tem a titularidade de seus dados pessoais.

Segundo o Art. 18 O titular tem direito a obter do CONTROLADOR os dados de sua titularidade a QUALQUER momento mediante requisição a várias requisições. Ex: Confirmação da existência de tratamento.

O que são agente de tratamento?

O controlador e operador de dados, onde ambos podem ser pessoa natural ou jurídica, de direito público ou privado.

  • Controlador: A quem competem as decisões referentes ao tratamento de dados pessoais.
  • Operador de dados: A que realiza o tratamento de dados pessoais em nome do controlador.

O que é DPO (Data Protection Officer)?

Toda empresa deverá ter um profissional ou a empresa fará figura do mesmo.

  • Será responsável por receber as notificações dos titulares dos dados e fazer intermediação entre a empresa e a ANPD (Autoridade Nacional de Proteção de Dados).
  • Seu nome será PUBLICO visando a comunicação direta e transparente.

O que é ANPD (Autoridade Nacional de Proteção de Dados)?

Entre as competências da ANPD estão zelar pela proteção dos dados pessoais, elaborar diretrizes para política nacional de proteção de dados pessoais e da privacidade e aplicar sanções em caso de tratamento de dados realizado de forma irregular.

Serão 23 representantes de órgãos públicos e da sociedade civil.

O que é PII (Personally Identifiable Information)?

Informações de identificação pessoal que podem ser utilizadas para identificar um indivíduo.

Essas informações podem ser: Nome completo, endereço IP, número de cartão de crédito e muitas outras.

Entre as principais mudanças:

- Cultura responsável de armazenamento de dados, tratamento de dados, data discovery (BI- relatórios interativos e dados exploráveis de várias fontes), acesso às informações, agentes de tratamento (controlador e operador de dados), profissional responsável pelo Data Protection e intermediação entre a empresa e a ANPD (Autoridade Nacional de Proteção de Dados) e identificação de informação pessoal.

*Para mais informações sobre tratamento de dados acesse o site do Planalto.

Qual ferramenta é indicada para proteção de dados?

A by Seven desenvolve e administra projetos com a ferramenta de proteção de dados da Veeam, possibilitando a identificação pessoal de todas as áreas de sua organização e de seus clientes e o gerenciamento de dados e regras para acesso e uso do PII (Personal Identifiable Information)

Essas informações podem ser: Nome completo, endereço IP, número de cartão de crédito e muitas outras.

Quais são os benefícios?

  • Proteger seus dados: garantia de controles de segurança.
  • Documentação e conformidade: Documente seus processos, relate problemas ou violações.
  • Melhora constante: Mantenha-se atualizado com o mundo digital.
  • Para auxílio do conhecimento em seu ambiente a Veeam oferece o VEEAM ONE que monitora e cria relatórios de capacidade.
  • HYPER-V, VMWARE, servidores físicos, estações, VMs na nuvem e muito mais.

Abaixo uma foto de painel baseado na identificação de departamentos:

Sistema PII

Geo Tagging

Mais um recurso avançado da Veeam é o GeoTaggin. Para controlar as migrações entre dados virtuais, a VEEAM introduz uma noção de locais.

O local define a região geográfica ou país e que o objeto da infraestrutura reside.

Você pode criar uma lista de locais e atribuir aos objetos da infra de backup.

Caso exista a tentativa de restore para outro local, ele irá alertar ao administrador de backup e solicitar uma confirmação.

Os objetos que podem ser atribuídos sobre aos locais da infra:

  • Objetos virtuais de infra: vCenter, datacenters, clusters e hosts;
  • Infra de backup: Repositórios, repositórios externos, scale out, libraries;
  • Grupos de proteção;
  • Repositórios na nuvem e planos de harware.

Log de Backup Veeam

Exclusões de PII confidenciais

Você talvez precise criar EXCLUSÕES em alguns dados do seu backup.

Dados de PII CONFIDENCIAIS podem não ser permitidos fazer cópias.

Com o Veeam ONE você consegue ter um relatório dessas exclusões:

Log de Backup Veeam

Atividade de restauração

Além de você precisar saber quem tem acesso às informações você precisa saber quem restaura ou restaurou essas informações. Abaixo um modelo de relatório gerado via Veeam ONE:

Log de Backup Veeam

Staged restore

Log de Backup Veeam

Essa função permite que o administrador possa executar scripts na VM antes que ela seja restaurada no ambiente de produção

Assim você pode garantir que na VM não haja dados pessoais ou confidenciais na máquina, ou seja, PIIs.

* Por exemplo, você pode executar um script de PowerShell para remover os usuários do AD.

Segue requisitos para essa função:

  • Necessário edição Enterprise ou Plus do Veeam;
  • Necessário laboratório virtual pré-configurado na sua infraestrutura de backup;
  • Os scripts que você deseja executar devem estar em uma pasta no BACKUP SERVER;
  • Caso você deseja executar o restore para varias VMs, as mesmas devem ter o mesmo SO.

Imagem do mascote da by Seven
Escrito por

Colaborador da by Seven

Jean Peres

Analista de Infraestrutura Pleno

Continue lendo em nosso blog