curso privacy and data protection practitioner...basic, cobol, c++, html. advogada mais admirada em...
TRANSCRIPT
1
CURSO PRIVACY AND DATA PROTECTION PRACTITIONER APOSTILA DE APOIO E CONTEÚDO
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
2
© Peck Sleiman EDU 2019
Todos os direitos protegidos e reservados pela Lei nº 9.610 de 9 de fevereiro de 1998. Não se autoriza a reprodução parcial ou integral desta obra para fins quaisquer, sem a autorização da empresa Peck Sleiman EDU.
Expediente desta edição
Coordenadoras do curso: Drª Patricia Peck e Drª Cristina Sleiman
Produção e editorial: Equipe de produção de conteúdo (Caroline Teófilo,
Daniela Cabella e Larissa Lotufo).
Acompanhe o Peck Sleiman EDU:
https://www.pecksleiman.com.br
https://www.facebook.com/pecksleimanEDU/
https://twitter.com/PeckSleimanEDU
https://www.linkedin.com/company/pecksleimanedu/
https://www.youtube.com/user/PPPTreinamentos
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
3
A PECK SLEIMAN EDU
A PECK SLEIMAN EDUCAÇÃO tem como missão CONECTAR pessoas através do CONHECIMENTO. Pensar,
Planejar e Promover INOVAÇÃO, CONSCIENTIZAÇÃO e CAPACITAÇÃO para o mercado, especialmente para atender
os novos desafios dos profissionais e gestores de empresas, nos mais diversos segmentos e áreas já inseridas no
contexto de Sociedade Digital, com oportunidades e riscos associados ao uso de tecnologia e seu impacto nos
negócios.
O nosso objetivo é ENSINAR através de um modelo diferenciado de Educação Continuada que abrange
desde treinamentos tradicionais a soluções que apliquem tecnologia e novos recursos, como EAD e games, para
garantir a atualização dos profissionais e o desenvolvimento de novas competências dentro do contexto atual e
futuro da Sociedade Digital.
O EXIN
O EXIN é o instituto global de certificação independente para profissionais. Com mais de 30 anos de
experiência na certificação das competências de mais de 2 milhões de profissionais de TI, o EXIN é a autoridade
líder e confiável no mercado de TI. Com mais de 1000 parceiros credenciados, o EXIN facilita exames e avaliações
de e-competência em mais de 165 países e 20 idiomas. O EXIN é co-iniciador do e-Competence Framework, que foi
criado para fornecer princípios de medição de certificação de TIC não ambíguos dentro e fora da Europa.
BENEFÍCIOS DO CURSO PRIVACY & DATA PROTECTION PRACTITIONER
O presente curso tem como objetivo demonstrar:
O propósito de políticas internas de proteção de dados e privacidade em uma organização;
Privacy by design e by default na prática;
Os papeis de Controlador e Processador/Operador;
O papel e as responsabilidades do DPO (Encarregado pelo Tratamento de Dados Pessoais).
Como atividades, têm-se a aplicação prática de:
Fases do Sistema de Gestão de Dados Pessoais (SGDP);
Embasamento para um Plano de Ação para conscientização em Proteção de Dados;
Critérios e passos para uma Avaliação de Impacto sobre a Proteção de Dados (AIPD);
Como tratar violações de dados e comunicar um data breach.
OBJETIVO DESTA APOSTILA
Este material de apoio tem por objetivo organizar os temas abordados pelo exame Privacy & Data
Protection Practitioner para facilitar o estudo e preparação para a prova.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
4
SOBRE AS COORDENADORAS:
Dra. Patricia Peck: Graduada em Direito pela Universidade de São Paulo, advogada especialista em Direito Digital,
doutora pela Universidade de São Paulo, PHD em Direito Internacional e Propriedade Intelectual, pesquisadora
convidada do Instituto Max Planck de Hamburgo e Munique, e da Universidade de Columbia nos EUA. Professora
convidada da Universidade de Coimbra em Portugal e da Universidade Central do Chile. Professora convidada de
Cyber Segurança da Escola de Inteligência do Exército Brasileiro. Programadora desde os 13 anos, autodidata em
Basic, Cobol, C++, Html. Advogada Mais Admirada em Propriedade Intelectual por 10 anos consecutivos de 2008 à
2017. Recebeu o prêmio Security Leaders em 2012 e 2015, a Nata dos Profissionais de Segurança da Informação
em 2006 e 2008, o prêmio Excelência Acadêmica – Melhor Docente da Faculdade FIT Impacta em 2009 e 2010.
Condecorada com 4 medalhas militares, sendo a Medalha da Ordem do Mérito da Justiça Militar em 2017, com a
Medalha do Pacificador pelo Exército em 2009, Medalha Tamandaré pela Marinha em 2011, Medalha Ordem do
Mérito Militar pelo Exército em 2012. Árbitra do Conselho Arbitral do Estado de São Paulo – CAESP, Vice-
Presidente Jurídica da Associação Brasileira dos Profissionais e Empresas de Segurança da Informação – ASEGI e
membro do Conselho de Ética da ABED. Professora e coordenadora da pós-graduação em Gestão da Inovação e
Direito Digital da FIA. Autora de 20 livros de Direito Digital. Sócia do escritório PG Advogados, da empresa de
educação Peck Sleiman Edu e Presidente do Instituto iStart de Ética Digital.
Dra. Cristina Sleiman: Advogada e pedagoga, mestre em Sistemas Eletrônicos pela Escola Politécnica da
Universidade de São Paulo, Extensão em Direito da Tecnologia pela FGV/RJ, Educadora Virtual pelo Senac SP com
Simon Fraser University (Canadá), Curso livre “Introduction to International Criminal Law”. Sócia da Peck Sleiman
EDU, sócia majoritária do escritório Cristina Sleiman Sociedade de Advogados, conselheira jurídica do Instituto
iStart. Presidente da Comissão Especial de Educação Digital da OAB/SP, 2ª vice-presidente da Comissão de Direito
Digital e Compliance da OAB/SP, membro da Comissão de Direito Antibyllying da OAB/SP (todos no mandato 2016-
2018) e do Grupo de estudos Temáticos de Direito Digital e Compliance da Federação das Indústrias do Estado de
São Paulo (FIESP), mediadora certificada pelo Conselho Nacional de Justiça (CNJ), professora da pós-graduação em
Direito Digital e Compliance da Faculdade Damásio, e da pós-graduação em Gestão de Segurança da Informação na
Faculdade Impacta de Tecnologia. Coautora do audiolivro e pocket book “Direito Digital no Dia a Dia”, coautora da
“Cartilha Boas Práticas de Direito Digital Dentro e Fora da Sala de Aula”, coordenadora e coautora do “Guia de
Segurança Corporativa da OAB/SP”, autora do “Guia do Professor – Programa de Prevenção ao Bullying e
Cyberbullying OAB/SP” e do “Guia de Educação Digital em Condomínios OAB/SP.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
5
SUMÁRIO
1. PROTEÇÃO DE DADOS PESSOAIS E PRIVACIDADE ............................................................................................... 6
1.1 BREVE HISTÓRICO ................................................................................................................................................ 6 1.2 PORQUE PRECISAMOS APLICAR POLÍTICAS DE PROTEÇÃO DE DADOS? ............................................................... 8 1.3 NO QUE CONSISTE A PROTEÇÃO DE DADOS E A GARANTIA DE PRIVACIDADE ................................................... 12 1.4 TERMOS BÁSICOS RELACIONADOS AO TRATAMENTO DE DADOS PESSOAIS ..................................................... 13 1.5 COMO A PROTEÇÃO DE DADOS É APLICADA? .................................................................................................... 15 1.6 QUAL É A IMPORTÂNCIA DE GARANTIR A PROTEÇÃO DE DADOS DENTRO DE MINHA EMPRESA? .................... 16
2. OS AGENTES DE TRATAMENTO ........................................................................................................................ 18
2.1 CONTROLADOR - ARTS. 24, 25 E 25 ...................................................................................................................... 18 2.2 PROCESSADOR – ARTS. 28 E 29 ............................................................................................................................ 19 2.3 DATA PROTECTION OFFICER (DPO) – ARTS. 37, 38 E 39........................................................................................ 21
3. VIOLAÇÃO DE DADOS, NOTIFICAÇÃO E RESPOSTA A INCIDENTES .................................................................... 23
3.1 REQUISITOS DO GDPR FRENTE ÀS VIOLAÇÕES DE DADOS PESSOAIS – ART. 33 ................................................... 23 3.2 RELATÓRIO DE IMPACTO À PRIVACIDADE (DATA PROTECTION IMPACT ASSESSMENTE – DPIA) ....................... 24 3.3 APLICAÇÃO DA POLÍTICA DE NOTIFICAÇÃO (REPORT)........................................................................................ 25
3.3.1 NOTICANDO A AUTORIDADE SUPERVISORA ............................................................................................... 25 3.3.2 NOTIFICANDO O TITULAR DE DADOS – art. 34 ........................................................................................... 26
4. POLÍTICAS DE PROTEÇÃO DE DADOS PESSOAIS ................................................................................................ 27
4.1 OBJETIVO DAS POLÍTICAS DE PROTEÇÃO DE DADOS PESSOAIS E GARANTIA DA PRIVACIDADE DENTRO DE UMA
ORGANIZAÇÃO ........................................................................................................................................................ 27 4.2 PRINCIPAIS POLÍTICAS E PROCEDIMENTOS NECESSÁRIOS DENTRO DE UMA ORGANIZAÇÃO ........................... 31 4. 3 PROTEÇÃO DE DADOS E PRIVAVIDADE DESDE A CONCECPÇÃO (BY DESIGN) E POR PADRÃO (BY DEFAULT) .... 33
4.3.1 SETE PRINCÍPIOS NORTEADORES ................................................................................................................ 33 4.3.2 IMPLEMENTANDO A PROTEÇÃO DE DADOS E PRIVACIDADE DESDE A CONCEPÇÃO E POR PADRÃO DENTRO DE UMA ORGANIZAÇÃO ........................................................................................................................ 35
5. SISTEMA DE GESTÃO DADOS PESSOAIS (DATA PROTECTION AND PRIVACY MANAGEMENT SYSTEM – DP&P SYSTEM)............................................................................................................................................................... 36
5.1 O FUNCIONAMENTO DO DP&P SYSTEM ............................................................................................................... 36 5.2 CRIANDO UM PLANO DE AÇÃO PARA IMPLEMENTAR O DP&P SYSTEM ............................................................. 38
5.2.1 FASE 1: PREPARAÇÃO DAS MEDIDAS DE PROTEÇÃO À PRIVACIDADE E AOS DADOS PESSOAIS ................. 38 5.2.2 FASE 2: ORGANIZAÇÃO DA PROTEÇÃO À PRIVACIDADE E AOS DADOS PESSOAIS ...................................... 41 5.2.3 FASE 3: DESENVOLVIMENTO E IMPLEMENTAÇÃO DA PROTEÇÃO À PRIVACIDADE E AOS DADOS PESSOAIS ............................................................................................................................................................................. 44 5.2.4 FASE 4: PROTEÇÃO DE DADOS E GOVERNANÇA DA PRIVACIDADE ............................................................ 47 5.2.5 FASE 5: AVALIAÇÃO E MELHORIA DAS MEDIDAS DE PROTEÇÃO À PRIVACIDADE E AOS DADOS PESSOAIS ............................................................................................................................................................................. 51
REFERÊNCIAS BIBLIOGRÁFICAS ............................................................................................................................ 54
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
6
1. PROTEÇÃO DE DADOS PESSOAIS E PRIVACIDADE
1.1 BREVE HISTÓRICO
A criação de leis de proteção de dados pessoais e garantia da privacidade é resultado
direto da evolução e expansão dos Direitos Humanos, surgindo como uma forma de adaptação
e atualização das organizações nacionais às regras internacionais e globalizadas de direitos
humanos do mundo atual.
Pode-se dizer que a necessidade de criação de leis/regras específicas para a proteção
desses dados sofreu amplo aumento em razão do rápido desenvolvimento e expansão da
tecnologia em todo o mundo. De maneira que também pode ser apontada como um dos
desdobramentos da globalização.
Tal afirmação é possível, já que a globalização trouxe como uma de suas principais
consequências o aumento da relevância da informação para a sociedade contemporânea: os
dados são o petróleo da Era da Informação1. Nessa realidade em que quem acesso aos dados,
tem acesso ao poder, a informações tornou-se um ativo de alta importância para governantes e
empresários.
Em razão disso, faz-se muito necessário que a garantia da proteção dos dados e da
privacidade seja possível, para que se possa evitar situações de desigualdade e exploração.
Sobretudo porque os dados são uma nova forma de riqueza, modificando a atuação e impacto
das ações das organizações – públicas e privadas – dentro do contexto digital.
Essas modificações passaram, cada vez mais, a exigir que o exercício das empresas fosse
regido por mecanismos de regulação e proteção de dados pessoais dos usuários no mundo
cibernético. Faz-se relevante pontuar que os usuários correspondem a qualquer pessoa que
navega pela internet, utiliza serviços, realiza compras ou qualquer outro tipo de transação
online em que há o fornecimento de informações pessoais2.
A difusão da regulamentação do tratamento de dados no ambiente virtual também
ganha a significância de garantir que qualquer e toda situação/ação que acontece dentro do
ciberespaço é parte integrante da realidade das pessoas. Em razão disso, que os direitos de
proteção aos dados e privacidade pertencentes ao “mundo offline” também são e devem ser
garantidos na esfera virtual.
Neste sentido, é importante apontar que o direito à privacidade faz parte do rol de
direitos fundamentais sociais, cujo desenvolvimento ocorreu junto à construção do Estado
Democrático de Direito por meio de três etapas principais: a positivação, a generalização e a
internacionalização.
A positivação consistiu na conversão do valor da pessoa humana em leis e normas
propriamente ditas, por conta disso que essa etapa é marcada pelo surgimento das
1 PINHEIRO, Patricia Peck Garrido. O Direito Internacional da Propriedade Intelectual Aplicado à Inteligência
Artificial. (Tese para doutoramento). São Paulo: USP - Faculdade de Direito, 2018. 316f. 2 PINHEIRO, Patricia Peck Garrido. Direito Digital. 6ª ed. São Paulo: Saraiva, 2016.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
7
“declarações de direitos”. Já a generalização consiste na aplicação do princípio da igualdade e a
sua lógica de não discriminação dentro das esferas internas dos Estados; alguns autores
apontam essa fase como a era da positivação dos direitos fundamentais dentro das
constituições nacionais. Por último tem-se a internacionalização dos direitos humanos, de
forma a reconhecer um simples fato: a efetividade dos direitos humanos e fundamentais
dependem amplamente do apoio da comunidade internacional3.
De maneira resumida e genérica, aponta-se o direito à privacidade como um direito que
protege o indivíduo frente a coletividade e o Estado, ou seja, é o “freio” que impõe limites à
atuação do ente coletivo e estatal frente ao indivíduo4. Esse direito desenvolveu-se de maneira
lenta e gradual ao longo de tempo, sendo modificado de geração para geração, conforme os
novos costumes e realidades vão sendo criados.
TABELA 1 – MARCOS INTERNACIONAIS PARA O DESENVOLVIMENTO DO DIREITO À
PRIVACIDADE
MARCOS INTERNACIONAIS PARA O DESENVOLVIMENTO DO DIREITO À PRIVACIDADE
ANO DOCUMENTO INTERNACIONAL OU ACONTECIMENTO REPRESENTATIVO
1789 Declaração de Direitos do Homem e do Cidadão
1948 Declaração Universal dos Direitos Humanos (art. 12)
9ª Conferência Internacional Europeia
1950 Convenção Europeia dos Direitos do Homem (art. 8)
1959 Convenção Pan-americana dos Direitos do Homem de 1959
1967 Conferência Nórdica sobre o Direito à Intimidade
Neste sentido, afirma-se que o General Data Protection Regulation (GDPR – Regulação
Geral de Proteção de Dados da Europa)5 é um resultado prático da somatória da evolução,
expansão, disseminação e internacionalização dos direitos humanos associada à atualização e
adaptação de documento internacionais diversos de proteção dos direitos fundamentais.
O próprio texto do GDPR aponta no art. (1) que toma por base o artigo 8º, n.º 1 da Carta
dos Direitos Fundamentais da União Europeia e o artigo 16º, n.º 1 do Tratado sobre o
funcionamento da União Europeia como fundamentos base para a criação do regulamento
europeu.
Ainda neste contexto, o GDPR assinala que o documento é pautado sob os direitos
fundamentais e visa proteger e garantir a privacidade, liberdade, segurança, justiça das
3 BOBBIO, Norberto. A era dos direitos. Tradução de Carlos Nelson Coutinho. Rio de Janeiro: Campus, 2010.
4 Idem.
5 O GPDR foi sancionado na União Europeia (UE) em 25 de maio de 2016 e após dois anos, em 25 de maio de 2018,
passou a vigorar em todos os países pertencentes à UE. Tal situações trouxe repercussões internacionais, tendo em vista que o regulamento prevê que o tratamento de dados pessoais de europeus realizados por empresas localizadas em outros países deve oferecer às mesmas garantias e proteções apontadas pelo documento.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
8
pessoas, assim como promover o progresso econômico e social, além de garantir a segurança
jurídica dos países, através do preâmbulo (1), (2), (13)6 e art. 1º (2)7.
Trazendo a discussão acerca da proteção específica dos dados no contexto global,
destaca-se a Diretiva da União Europeia nº 95/46/CE, documento que durante muito tempo foi
referência em relação ao tratamento de dados não somente dentro do território europeu, mas
entre países de todo o mundo, a exemplo do Brasil. Com a aprovação do GDPR a Diretiva nº
95/46/CE foi revogada e o GDPR passou a ser o novo documento a amplamente influenciar a
atuação dos demais países frente à proteção de dados pessoais.
1.2 POR QUE PRECISAMOS APLICAR POLÍTICAS DE PROTEÇÃO DE DADOS?
A troca de informações não é novidade nas interações humanas, todavia a evolução
tecnológica e disseminação do contexto digital para todas as nossas atividades cotidianas
potencializou a importância dessas trocas de maneira tão impactante que é difícil imaginar uma
pessoa inserida na Era Digital que consiga passar um só dia sem fornecer informações pessoais.
E muitas vezes nem é possível perceber que as mais diversas informações sobre você
estão sendo geradas ou coletadas por diferentes empresas ou agências governamentais –
algumas com as quais você nem ao menos interagiu de forma consciente – tendo em vista
situações com a coleta de cookies nos websites ou o simples fato de caminhar em uma via
pública em que dá monitoramento por meio de câmeras de vídeo.
Quando se leva em conta a realização de transações online a situação fica ainda mais
complexa, já que qualquer compra de produtos ou serviços, da abertura de uma conta de e-
mail ao contrato de qualquer serviço digital, são circunstâncias que exigem que informações
pessoais sejam fornecidas para a validação ou mesmo existência da relação.
E esse fato gera muito desconforto entre os usuários, visto que a maneira que seus
dados serão protegidos ou manuseados lhes é omitida. Esse desconforto é pautado em um
6 (1) A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental.
[...] (2) Os princípios e as regras em matéria de proteção das pessoas singulares relativamente ao tratamento dos seus dados pessoais deverão respeitar, independentemente da nacionalidade ou do local de residência dessas pessoas, os seus direitos e liberdades fundamentais, nomeadamente o direito à proteção dos dados pessoais. O presente regulamento tem como objetivo contribuir para a realização de um espaço de liberdade, segurança e justiça e de uma união económica, para o progresso económico e social, a consolidação e a convergência das economias a nível do mercado interno e para o bem-estar das pessoas singulares. (13) A fim de assegurar um nível coerente de proteção das pessoas singulares no conjunto da União e evitar que as divergências constituam um obstáculo à livre circulação de dados pessoais no mercado interno, é necessário um regulamento que garanta a segurança jurídica e a transparência aos operadores económicos, incluindo as micro, pequenas e médias empresas, que assegure às pessoas singulares de todos os Estados-Membros o mesmo nível de direitos suscetíveis de proteção judicial e imponha obrigações e responsabilidades iguais aos responsáveis pelo tratamento e aos seus subcontratantes, que assegure um controlo coerente do tratamento dos dados pessoais, sanções equivalentes em todos os Estados-Membros, bem como uma cooperação efetiva entre as autoridades de controlo dos diferentes Estados-Membros. [...] 7 Artigo 1.o Objeto e objetivos [...] 2. O presente regulamento defende os direitos e as liberdades fundamentais
das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
9
fato: a história da humanidade mostra que o “excesso de liberdade” leva a situações de
exploração e consequente desigualdade social e econômica.
E é aí que entra a importância da regulação e criação de políticas de proteção de dados
pessoais, já que somente através de regras/normas claras e transparentes é possível que os
cidadãos tenham acesso a forma de tratamento que é dada às suas – tão valiosas – informações
pessoais, podendo assim criar reais laços de confiança perante às empresas e agências
governamentais.
Neste ínterim, é relevante pontuar que não é de hoje que informações pessoais de
indivíduos vêm sendo coletadas e armazenadas em banco de dados computadorizados. Há
registros desde a década de 19608, porém, antes não havia a noção que temos atualmente
acerca da importância de compreendermos os impactos que tais informações “aglutinadas e
amontoadas” podem causar na sociedade e seu funcionamento, se essas informações forem
mal utilizadas ou protegidas.
Também é importante apontar que as bases de dados podem ser manuseadas de modo
muito fácil e rápido dentro do contexto tecnológico atual, criando a possibilidade de realização
de buscas, pesquisas comparadas, criação de perfis e sumarização de dados, além da prática de
troca de informações entre as empresas. E todas essas ações, se não forem reguladas de modo
a garantir a transparência e idoneidade das condutas, geram diversas dúvidas entra os usuários,
como: i) quem pode acessar as minhas informações pessoais? ii) Os dados fornecidos são
armazenados de forma segura e protegida de incidentes? iii) Como os dados foram coletados e
disseminados, nas situações em que o usuário não sabia ou não deu consentimento direto
acerca daquele tratamento? iv) Os dados pessoais coletados podem ser usados de forma
negativa, para promover a discriminação ou abuso/violação de outros direitos fundamentais?9
Na busca de evitar tais preocupações e ao mesmo tempo garantir que a boa-fé e a ética
vão prevalecer na realização de tratamento de informações pessoais por parte das
organizações – públicas e privadas – que a criação de regulamentos e normas de proteção aos
dados pessoais se faz necessária.
Como já pontuado, anteriormente já existia a previsão de tais proteções em diferentes
documentos e códigos, de maneira esparsa e bastante incerta. A principal razão de diversos
países em todo o mundo estarem promovendo a criação de um conjunto de regras
especializado na proteção dos dados pessoais consiste no fato de as relações envolvendo a
troca de informações pessoais alcançarem um novo patamar de significação da era do big data.
O aumento da importância dos dados na Era da Informação trouxe repercussões
inegáveis para o ordenamento jurídico, a ponto de exigir a criação de novas regras. Isso não
significa que outras áreas do conhecimento não sejam afetadas por essas modificações, pelo
contrário, porém, é função do Direito como campo científico e de transformação social adaptar
8 KYRIAZOGLOU, John. Data Protection and Privacy Management System: Data Protection and Privacy Guide – Vol.
I. Bookboon, 2016. (eBook). 9 KYRIAZOGLOU, John. Data Protection and Privacy Management System: Data Protection and Privacy Guide – Vol.
I. Bookboon, 2016. (eBook). p. 12.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
10
o seu escopo de atuação às novas necessidades que vão surgindo por meio da evolução do
comportamento e modo de se relacionar da sociedade.
A Comissão Europeia traz as seguintes justificavas em relação às mudanças de regras:
FIGURA 1 – O PORQUÊ DA MUDANÇA DE REGRAS EM PROTEÇÃO DE DADOS, SEGUNDO A
COMISSÃO EUROPEIA
Fonte: https://ec.europa.eu/justice/smedataprotect/index_pt.htm
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
11
De maneira mais ampla é possível apontar 7 principais impactos positivos trazidos com o
GDPR em relação à garantia da segurança dos usuários:
TABELA 2 – 7 IMPACTOS POSITIVOS DO GDPR EM RELAÇÃO AO USUÁRIO
7 IMPACTOS POSITIVOS DO GDPR EM RELAÇÃO AO USUÁRIO
INDICADOR COMO O INDICADOR AFETA O USUÁRIO DE FORMA POSITIVA
Ampla jurisdição
Como o GDPR é aplicado a toda e qualquer empresa que realize o
tratamento de dados pessoais de qualquer pessoa física que esteja em
território da União Europeia, a aplicação do regulamento é bastante
ampla, garantindo segurança ao titular de dados em todo o espaço
virtual.
Sanções pesadas
Para que a efetividade do regulamento seja garantida, a União Europeia
prevê a aplicação de penas que variam de acordo com a gravidade e
impacto do incidente ou infração, de modo que essas multas podem
chegar a até 20 milhões de euros ou 4% do faturamento global da
empresa (o que for maior). Com a aplicação de penalidades que podem
ser tão severas são poucas as empresas que vão fugir da adoção de
medidas de proteção e segurança dos dados pessoais, o que pode
melhorar a postura das empresas em sua atuação em demais países
como um padrão “pró segurança de dados pessoais”.
Consentimento
obrigatório e claro
Um dos principais requisitos de validade do tratamento de dados passa a
ser o consentimento do usuário, a partir do GDPR. Neste sentindo, o
relacionamento entre as empresas e os usuários vai se tornar menos
obscuro e mais pautado na transparência e acessibilidade das
informações sobre os tratamentos de dados realizados. Exige-se que o
consentimento seja explícito, sem erro, com a menção de uma finalidade
clara e direta, além de fácil e rápida possibilidade de revogação do
consentimento. Nenhuma dessas etapas, consentimento e revogação,
deve ser onerosa ao usurário.
Dever de notificação
O GDPR determina que as empresas devem reportar todos os incidentes
ao longo do tratamento de dados que possa resultar em ricos/prejuízos,
para os “direitos e liberdades” dos cidadãos. Além disso, o regulamento
indica que o relato à Autoridade Supervisora deve ser feito dentro de 72
horas após a ocorrência. A obrigação de reporte às pessoas físicas
(titulares) afetadas dependerá do impacto do incidente, conforme o
artigo 34 do GDPR.
Garantia de livre acesso
às informações
Além do direito de saber a finalidade do tratamento e possibilidade de
revogar o consentimento a qualquer momento, os usuários também têm
o direito de acessar as informações coletadas pela empresa, realizar
correções e ainda apagar os dados que considere necessários (aplicação
do direito ao esquecimento, por exemplo).
O GDPR exige que as empresas adotem técnicas e medidas que garantam
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
12
Privacidade e Segurança
desde a concepção
(Privacy and Security by
design)
a privacidade e segurança dos dados em tratamento desde a concepção
do projeto até a sua finalização. Isso significa que todas as etapas devem
se preocupar com a qualidade dos métodos e medidas de proteção de
dados, exigindo que as empresas adotem melhores sistemas e processos
na hora de oferecer um serviço ou produto.
Cuidados especiais com
dados de vulneráveis e
dados sensíveis
O GDPR prevê que o tratamento de dados de menores de idade deve
exigir cuidados especiais, como o consentimento dos pais/responsáveis.
Da mesma maneira, os dados sensíveis (aqueles em que as informações
são naturalmente mais frágeis, como orientação sexual, opinião política,
estado de saúde etc.) são tratados de forma a exigir cuidados extras com
o manuseio das informações.
1.3 NO QUE CONSISTE A PROTEÇÃO DE DADOS E A GARANTIA DE PRIVACIDADE
Proteção de dados consiste em uma ideia bastante genérica e ampla, mas que no
mundo contemporâneo é resumida basicamente na possibilidade de cada cidadão poder
determinar de maneira autônoma e livre sobre as formas de tratamento que seus dados
pessoais vão receber, assim como exigir que os dados em tratamento estejam protegidos de
ataques e vazamentos, de forma ainda que possam acessar as informações coletadas e
armazenadas, corrigi-las se acharem necessário e exigir a interrupção do tratamento e o
apagamento dos dados quando desejarem e sem ônus10.
Isso significa que a proteção de dados é um conjunto de garantias que busca evitar que
os dados pessoais dos cidadãos sejam armazenados de maneira irresponsável, ou sejam
utilizados de forma a promover a discriminação ou qualquer outro tipo de dano ao cidadão e à
sociedade, como ente coletivo. Isso inclui a garantia da privacidade desses cidadãos.
Em seu site a Comissão Europeia aponta como dados pessoais:
FIGURA 2 – O QUE SÃO OS DADOS PESSOAIS SEGUNDO A COMISSÃO EUROPEIA
10
Sobre a temática da proteção de dados e sua definição Kyriazoglou faz as seguintes ponderações: “A proteção de dados tem relação com a salvaguarda e proteção do seu direito fundamental à privacidade, um direito consagrado pelas leis internacionais e nacionais, códigos e convenções. Proteção de dados é comumente definida com a lei desenhada para proteger os seus dados pessoais que é coletado, gerido, processado e armazenado por meios computadorizados ou ‘automatizados’ ou que pretende ser parte de um sistema de arquivamento manual” (KYRIAZOGLOU, 2018 , p. 13).
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
13
Fonte: https://ec.europa.eu/justice/smedataprotect/index_pt.htm
1.4 TERMOS BÁSICOS RELACIONADOS AO TRATAMENTO DE DADOS PESSOAIS
Para compreender melhor o funcionamento e aplicação das regras de proteção de
dados segundo o apontado pela União Europeia com o lançamento do GDPR é necessário
conhecer alguns termos utilizados para a realização de tratamento de dados, assim como
agentes e funções envolvidas, conforme pontua a tabela:
TABELA 3 – PRINCIPAIS TERMOS UTILIZADOS PELO GDPR NA REGRAS DE PROTEÇÃO DE
DADOS11
PRINCIPAIS TERMOS UTILIZADOS PELO GDPR NA REGRAS DE PROTEÇÃO DE DADOS (art. 4º)
TERMO CONCEITO
Dados pessoais são informações relacionadas a uma pessoa natural
identificada ou identificável, que é o titular dos dados pessoais (data
11
Esta tabela não elenca todos os termos utilizados no GDPR e sim aqueles que são destaque na compreensão do regulamento. Para mais informações consulte o site da União Europeia.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
14
Dados Pessoais (Personal
Data)
subject). Em contrapartida, uma pessoa natural identificável é
alguém que pode ser identificado, de forma direta ou indireta,
através de dados identificadores como nome, documentos de
registro, endereço físico ou de conexão, além da possibilidade de
uso de um ou mais fatores de cunho psicológico, genético, mental,
econômico, social ou cultural capazes de tornar a identidade de tal
pessoa evidente.
Tratamento
(Processing)
Relaciona-se a qualquer operação ou conjunto operacional em que
os dados pessoais são de alguma forma utilizados ou envolvidos,
podendo ou não ser um processo que adota meios de
automatização. São exemplos de processamento: coleta, gravação,
organização, estruturação, armazenamento, adaptação ou
alteração, recuperação, uso, transmissão, consulta, disseminação ou
qualquer outra forma/meio de tornar disponível/acessível o dado,
assim como o alinhamento, combinação, restrição ou apagamento e
destruição das informações.
Pseudonimização
(Pseudonymisation)
O tratamento de dados pessoais de forma que deixem de poder ser
atribuídos a um Titular de dados específico sem recorrer a
informações suplementares, e desde que essas informações
suplementares sejam mantidas separadamente e sujeitas a medidas
técnicas e organizativas para assegurar que os dados pessoais não
possam ser atribuídos a uma pessoa física identificada ou
identificável.
Arquivo
(Filing system)
Qualquer conjunto estruturado de dados pessoais, acessível
segundo critérios específicos, quer seja centralizado,
descentralizado ou repartido de modo funcional ou geográfico.
Definição de perfis
(Profiling)
Qualquer forma de tratamento automatizado de dados pessoais que
consista em utilizar esses dados pessoais para avaliar certos aspetos
pessoais de uma pessoa física, especialmente para analisar ou
prever aspetos relacionados com o seu desempenho profissional, a
sua situação econômica, saúde, preferências pessoais, interesses,
confiabilidade, comportamento, localização ou deslocamentos.
Controlador
(Controller)
É a pessoa natural ou jurídica, autoridade pública, agência ou
qualquer instituição/organização que – em conjunto ou de forma
individual – determina a finalidade e meios do processamento de
dados pessoais. O GDPR ainda aponta que nas situações em que a
UE ou qualquer Estado-Membro determinar a finalidade e os meios
de processamento dos dados pessoais em questão, o Controlador ou
os critérios específicos da determinação deve ser providenciado pela
União ou pelo Estado-Membro.
Processador
(Processor)
É a pessoa natural ou jurídica, autoridade pública, agência ou
qualquer instituição/organização que processa os dados pessoais em
nome do Controlador.
Pessoa física ou jurídica, a autoridade pública, agência ou outro
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
15
Destinatário
(Recipient)
organismo que recebem comunicações de dados pessoais,
independentemente de se tratar ou não de um terceiro. Contudo, as
autoridades públicas que possam receber dados pessoais no âmbito
de suas obrigações jurídicas para exercício de sua função oficial,
como autoridades fiscais, aduaneiras, de investigação financeira, de
regulamentação e supervisão de mercado de valores mobiliários,
não são consideradas destinatários. O tratamento desses dados por
essas autoridades públicas deve cumprir as regras de proteção de
dados aplicáveis em função das finalidades do tratamento.
[preâmbulo 31]
Terceiro
(Third Party)
É a pessoa natural ou jurídica, autoridade pública, agência ou
qualquer instituição/organização que não seja o Titular dos Dados
(data subject), Controlador, Processador ou pessoa que, sob a
orientação direta da autoridade do Controlador ou Processador é
autorizada a processar os dados pessoais.
Consentimento
(Consent)
O consentimento refere-se ao livre aceite do titular de dados
realizado de forma específica, conhecida e indubitável; e em que
ele/ela autoriza através de uma declaração ou clara afirmação que o
tratamento de dados relativos a ele/ela seja realizado de acordo
com os termos acordados.
Violação de Dados Pessoais
(Personal Data Breach)
É a violação de segurança dos dados que leva a um acidental ou não
autorizado (ilegal) processamento das informações como a
destruição, alteração, perda, publicação não autorizada, acesso não
autorizado, transmissão, armazenamento ou qualquer outro tipo de
processamento.
Estabelecimento Principal
(Main Establishment)
O estabelecimento principal deve pressupor o exercício efetivo e
real das atividades de gestão, a) Controlador com estabelecimentos
em vários Estados-Membros, o local onde se encontra a sua
administração central na União, salvo se as decisões sobre as
finalidades e os meios de tratamento dos dados pessoais sejam
tomadas em outro estabelecimento do Controlador na União, este
será considerado estabelecimento principal; b) Processador com
estabelecimentos em vários Estados-Membros, o local onde se
encontra a sua administração central na União ou, caso o
Processador não tenha administração central na União, o seu
estabelecimento na União onde são exercidas as principais
atividades de tratamento de dados pessoais.
Autoridade Supervisora
(Supervisory Authority)
Uma autoridade pública independente criada por um Estado-
Membro nos termos do art. 51.
1.5 COMO A PROTEÇÃO DE DADOS É APLICADA?
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
16
A proteção de dados é aplicada através de regulamentos específicos criados pelos países
em todo o mundo. Já existe mais de 100 países que adotam regras voltadas para a proteção de
dados em sua legislação, entre eles o Brasil, que sancionou a Lei 13.970 em 14 de agosto de
201812.
No caso dos países que pertencem à União Europeia as normas aplicadas internamente
devem seguir os parâmetros estipulados pelo GDPR. De modo geral, essas normas seguem
alguns princípios gerais, dos quais:
A minimização das informações coletadas, ou seja, não se deve coletar
informações em exagero e toda informações deve ter uma
justificativa/finalidade certa e clara;
A obtenção de dados pessoais deve ocorrer através de meios legais, nos quais
deve prevalecer a boa-fé e devem ser adquiridos com o consentimento sem erro
dos titulares, ou seja, os titulares devem compreender com o que estão
concordando ao fornecer o consentimento para o tratamento de dados;
As informações devem ter uma finalidade (propósito) justificável, transparente e
claro fornecido pela organização;
O tratamento de dados deve garantir a confidencialidade, integridade e
disponibilidade das informações;
A informações devem ser corretas, atuais, completas e existir segundo o
propósito fornecido;
Todos os dados pessoais em tratamento devem ser armazenados de forma
segura e protegida.
1.6 QUAL É A IMPORTÂNCIA DE GARANTIR A PROTEÇÃO DE DADOS DENTRO DE MINHA EMPRESA?
Com as informações são um ativo de risco na Era Digital é muito importante estar
atento às novidades e exigências dos novos regulamentos, principalmente em razão da
globalização dos mercados com o advento da internet.
Tendo em vista que o mercado é global, a aplicação de regras de proteção dos dados
pessoais também recebe um tratamento internacionalizado, já que uma empresa brasileira
pode estar tratando dados de um cliente alocado em um país pertencente a União, por
exemplo.
Neste sentido em que o GDPR levantou tanta polêmica quando iniciou a sua vigência em
25 de maio de 2018, visto que grandes empresas com atuação mundial, mas que não
necessariamente são pertencentes à União – como Google, Facebook, Apple etc. – passaram a
automaticamente ter que respeitar as regras estipuladas pelo GDPR se pretendiam continuar a
12
Apesar de já existir um ordenamento interno no país, a aplicação da lei só se dará a partir de 14 de agosto de 2020, data em que inicia a sua vigência de acordo com a Medida Provisória 869 de 28 de dezembro de 2018.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
17
manter o negócios dentro da EU de maneira a evitar as pesadas multas e sanções propostas
pelo regulamento.
Por conta disso, é muito importante que as organizações estejam atentas à aplicação
das regras do GDPR para preparar as suas empresas de modo a:
Criar rotinas de prevenção e solução de problemas envolvendo privacidade e
proteção de dados;
Atualizar os documentos, como propostas, contratos, termos, acordos, políticas,
normas e procedimentos internos, formulários, políticas de privacidade de sites
e aplicativos;
Adaptar as estratégias de marketing na captação e manuseio de leads e
informações dos clientes (e possíveis clientes) no tratamento de dados;
Garantir uma vantagem competitiva perante o mercado ao manter sua postura
organizacional alinhada com as medidas de governança e compliance da
proteção de dados pessoais.
No caso particular das empresas, é uma postura muito relevante e estratégica a garantia
da aplicação da proteção de dados para que a empresa possa estar em dia com as suas
necessidades. São algumas vantagens e frentes de atuação:
1. Compliance Regulatório: como apontado, mais de 100 países já possuem
legislações internas voltadas para a proteção de dados, sendo que o GDPR é o
instrumento regulatório mais influente e abrangente até o momento. Neste
sentido, se a sua empresa adota medidas de compliance para garantir a
proteção dos dados estará muito menos sujeita a lidar com dores de cabeça de
cunho legal no que diz respeito ao tratamento de dados pessoais, independente
da atuação do negócio – âmbito global ou regional.
2. Evitar perdas: o descumprimento das normas relativas à proteção de dados
pode gerar diversas consequências custosas para a sua empresa, como perda de
recurso financeiros no caso de aplicação de sanções como multas ou mesmo no
caso de perda de informações valiosas para a empresa13. Ao mesmo tempo, ao
lidar com um escândalo envolvendo vazamento de informações ou incidentes
quaisquer relacionados a falhas na proteção de dados a imagem e a marca de
sua empresa são afetadas de maneira que em alguns casos pode ser irreversível.
3. Manutenção da Produtividade das Equipes e Colaboradores: ao promover o
treinamento e conscientização dos funcionários e equipes acerca da importância
da adoção de medidas de proteção à privacidade e aos dados pode evitar erros
e perdas ao longo da cadeia processual. Da mesma forma, se a empresa adota
13
De acordo com uma pesquisa realizada em 2014 pelo Instituto Ponemom juntamente com a IBM, o custo total gasto pelas empresas com incidentes envolvendo perda ou roubo de informações sensíveis e confidenciais chegou a 5.9 milhões de dólares em 2014.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
18
uma postura estratégia e práticas de política de proteção e privacidade dados
previne falhas sistemáticas que podem prejudicar toda a cadeia de
funcionamento da empresa.
4. Otimização das Tomadas de Decisão: a adoção de um sistema de gestão de
dados bem sólida e coesa torna possível que os erros envolvendo as tomadas de
decisão possam ser evitados, já que se o/a gestor/a entra em contato com
informações erradas, dados de má qualidade ou com erros de processamento a
probabilidade deste colaborador realizar uma decisão incorreta é alta14.
2. OS AGENTES DE TRATAMENTO
2.1 CONTROLADOR - arts. 24 e 25
O Controlador deve aplicar as medidas técnicas e organizacionais adequadas para
assegurar e comprovar que o tratamento é realizado em conformidade com o GDPR. Para
definição das medidas técnicas e organizacionais, o Controlador deve considerar:
A natureza;
O âmbito;
O contexto;
A finalidade do tratamento dos dados;
As técnicas mais avançadas e os custos de sua aplicação;
Os riscos para os direitos e liberdades das pessoas físicas.
A definição das técnicas que serão utilizadas para salvaguardar os dados pessoais pode
ocorrer tanto no momento de definição dos meios de tratamento (proteção de dados by
design), como no momento do próprio tratamento (proteção de dados por padrão), como por
exemplo a pseudonimização e minimização de dados. (Proteção de dados desde a concepção –
by design – e por padrão Artigo 25).
O Controlador deve aplicar medidas técnicas e organizativas para assegurar que, por
padrão, só sejam tratados os dados pessoais que forem necessários para cada finalidade
específica do tratamento.
Essa obrigação aplica-se à quantidade de dados pessoais coletados, à extensão do seu
tratamento, ao seu prazo de conservação e à sua acessibilidade. Em especial, essas medidas
asseguram que, por padrão, os dados pessoais não sejam disponibilizados sem intervenção
humana a um número indeterminado de pessoas físicas.
Tais medidas devem ser revistas e atualizadas pelo Controlador de acordo com a
necessidade, e podem incluir a aplicação de políticas relacionadas à proteção de dados.
14
O Instituto Data Warehouse estima que mais de 600 bilhões de dólares são perdidos ao ano nos Estados Unidos em razão de problemas com a qualidade dos dados sendo utilizados pelas empresas.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
19
A adesão e cumprimento de códigos de conduta ou de procedimentos de certificação
pode ser utilizado como elemento para demonstrar o cumprimento das obrigações do
Controlador.
Quando dois ou mais Controladores determinarem conjuntamente as finalidades e os
meios de tratamento dos dados pessoais, ambos são responsáveis conjuntos pelo
tratamento.
Isso significa que esses agentes determinam, por acordo/contrato entre si, as
responsabilidades pelo cumprimento do presente regulamento, inclusive no que diz respeito ao
exercício dos direitos do Titular dos dados e aos deveres de fornecer as informações aos
Titulares de dados, a menos que as suas responsabilidades sejam determinadas pelo direito da
União ou do Estado-Membro a que estejam sujeitos.
O acordo/contrato pode designar um ponto de contato para os Titulares dos dados e
deve refletir as funções dos Controladores em relação aos Titulares dos dados. A essência do
acordo/contrato deve ser disponibilizada ao Titular dos dados. No entanto,
independentemente dos termos do acordo/contrato, o Titular dos dados pode exercer os
direitos que lhe confere o presente regulamento em relação e cada um dos Controladores.
2.2 PROCESSADOR – arts. 28 e 29
O Controlador pode recorrer apenas a Processadores que apresentem garantias
suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o
tratamento satisfaça os requisitos do presente regulamento e assegure a defesa dos direitos do
Titular dos dados.
Não é permitido ao Processador contratar outro Processador, sem que o Controlador
tenha dado, previamente e por escrito, autorização específica ou geral. Em caso de autorização
geral por escrito, o Processador informa o Controlador de quaisquer alterações pretendidas
quanto ao aumento do número ou substituição de outros Processadores, dando assim ao
Controlador a oportunidade de se opor a tais alterações.
A subcontratação é regulada por contrato ou outro ato normativo ao abrigo do direito
da União ou dos Estados-Membros, que vincule o Processador ao Controlador e estabeleça:
O objeto e a duração do tratamento;
A natureza e finalidade do tratamento;
O tipo de dados pessoais e as categorias dos Titulares dos dados;
As obrigações e direitos do Controlador.
O contrato deve também prever que o Processador:
Trate os dados pessoais apenas mediante instruções documentadas do
Controlador, incluindo, se houver, as transferências de dados para países
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
20
terceiros ou organizações internacionais, a menos que seja obrigado a fazê-lo
pelo direito da União ou do Estado-Membro a que está sujeito, informando
nesse caso o Controlador desse requisito jurídico antes do tratamento, salvo se a
lei proibir tal informação por motivos importantes de interesse público;
Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um
compromisso de confidencialidade ou estão sujeitas a adequadas obrigações
legais de confidencialidade;
Adota todas as medidas exigidas nos termos do Artigo 32 – Segurança dos Dados
Pessoais;
Respeita as condições relativas a subcontratação para contratar outro
Processador;
Toma em conta a natureza do tratamento, e na medida do possível, presta
assistência ao Controlador por meio de medidas técnicas e organizacionais
adequadas, para permitir que este cumpra a sua obrigação de dar resposta aos
pedidos dos Titulares dos dados tendo em vista o exercício dos seus direitos;
Presta assistência ao Controlador no sentido de assegurar o cumprimento das
obrigações previstas nos Artigos 32 a 36 – Segurança dos Dados, Violação de
Dados, Avaliação de Impacto e outros, tendo em conta a natureza do tratamento
e a informação ao dispor do Processador;
Consoante a escolha do Controlador, apaga ou devolve-lhe todos os dados
pessoais depois de concluída a prestação de serviços relacionados com o
tratamento, apagando as cópias existentes, a menos que a conservação dos
dados seja exigida ao abrigo do direito da União ou dos Estados-Membros; e,
Disponibiliza ao Controlador todas as informações necessárias para demonstrar
o cumprimento das obrigações previstas no presente artigo e facilita e contribui
para as auditorias, inclusive as inspeções, conduzidas pelo Controlador ou por
outro auditor por este mandatado;
Informa imediatamente o Controlador se, no seu entender, alguma instrução
violar o presente regulamento ou outras disposições do direito da União ou dos
Estados-Membros em matéria de proteção de dados.
Se o Processador contratar outro Processador para a realização de operações específicas
de tratamento de dados por conta do Controlador, são impostas a esse outro Processador, por
contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, as
mesmas obrigações em matéria de proteção de dados que as estabelecidas no contrato ou
outro ato normativo entre o Controlador e o Processador, em particular a obrigação de
apresentar garantias suficientes de execução de medidas técnicas e organizacionais adequadas
de uma forma que o tratamento seja conforme o presente regulamento.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
21
Se esse outro Processador não cumprir as suas obrigações em matéria de proteção de
dados, o Processador inicial continua a ser plenamente responsável, perante o Controlador,
pelo cumprimento das obrigações desse outro Processador.
O fato de o Processador cumprir um código de conduta aprovado ou um procedimento
de certificação pode ser utilizado como elemento para demonstrar as garantias suficientes.
Sem prejuízo de um eventual contrato individual entre o Controlador e o Processador, o
contrato ou outro ato normativo podem ser baseados, totalmente ou em parte, nas cláusulas
contratuais padrão, inclusivamente quando fazem parte de uma certificação concedida ao
Controlador ou ao Processador.
A Comissão pode estabelecer cláusulas contratuais padrão para a subcontratação pelo
procedimento de exame, enquanto a Autoridade Supervisora o faz por meio de procedimento
de controle da coerência.
O contrato ou outro ato normativo deve ser feito por escrito, incluindo em formato
eletrônico.
O Processador que, em violação do presente regulamento, determinar as finalidades e
os meios de tratamento, é considerado o Controlador para o tratamento em questão.
O Processador, sub-Processador ou qualquer pessoa que, agindo sob a autoridade do
Controlador ou do Processador, tenha acesso a dados pessoais, somente pode proceder ao
tratamento desses dados por instrução do Controlador, salvo se for obrigado por força do
direito da União ou dos Estados-Membros.
2.3 DATA PROTECTION OFFICER (DPO) – arts. 37 a 39
O DPO é a pessoa natural indicada pelo Controlador que atua como canal de
comunicação entre o Controlador x Titulares e Autoridade Supervisora. É esta figura a
responsável pela supervisão da aplicação/cumprimento das regras relativas a proteção de
dados pessoais e pela orientação dos colaboradores.
O Controlador e o Processador devem designar um DPO sempre que:
O tratamento for efetuado por uma autoridade ou um organismo público, exceto
os tribunais no exercício da sua função jurisdicional;
As atividades principais do Controlador ou do Processador consistam em
operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade,
exijam um controle regular e sistemático dos Titulares dos dados em grande
escala; ou,
As atividades principais do Controlador ou do Processador consistam em
operações de tratamento em grande escala de dados sensíveis (Artigo 9º) ou de
dados pessoais relacionados com condenações penais e infrações (Artigo 10º).
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
22
O direito da União ou dos Estados-Membros pode exigir a designação de um DPO, além
dos casos previstos acima.
Um grupo empresarial pode designar um único DPO desde que seja facilmente acessível
a partir de cada estabelecimento.
Quando o Controlador ou o Processador for uma autoridade ou um organismo público,
pode ser designado um único DPO para várias dessas autoridades ou organismos,
considerando-se a respetiva estrutura organizacional e dimensão.
O DPO pode agir em nome das associações e de outros organismos que representem os
Controladores ou os Processadores.
O DPO:
Deve ser designado com base nas suas qualidades profissionais e em seus
conhecimentos especializados no domínio do direito e das práticas de proteção
de dados;
Pode ser um elemento do pessoal do Controlador ou do Processador, ou exercer
as suas funções com base num contrato de prestação de serviços;
Deve reportar diretamente a direção ou o mais alto nível do Controlador ou do
Processador;
Está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas
funções, em conformidade com o direito da União ou dos Estados-Membros.
O Controlador ou o Processador devem:
Assegurar que o DPO seja envolvido, de forma adequada e em tempo hábil, a
todas as questões relacionadas com a proteção de dados pessoais;
Apoiar o DPO no exercício das funções, fornecendo-lhe os recursos necessários
ao seu desempenho e à manutenção dos seus conhecimentos, bem como dando-
lhe acesso aos dados pessoais e às operações de tratamento;
Publicar os contatos do DPO e comunica-los à autoridade supervisora.
O DPO não pode ser destituído nem penalizado pelo Controlador ou pelo Processador
no exercício das suas funções.
Os Titulares dos dados podem contatar o DPO sobre todas questões relacionadas com o
tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos pelo
presente regulamento.
O DPO pode exercer outras funções e atribuições, no entanto, o Controlador ou o
Processador assegura que essas funções e atribuições não resultam num conflito de interesses.
O DPO tem, pelo menos, as seguintes funções:
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
23
Informar e aconselhar o Controlador e o Processador, bem como os
colaboradores que tratem os dados, a respeito das suas obrigações nos termos
do presente regulamento e de outras disposições de proteção de dados da União
ou dos Estados-Membros;
Controlar a conformidade com o presente regulamento, com outras disposições
de proteção de dados da União ou dos Estados-Membros e com as políticas do
Controlador ou do Processador relativas à proteção de dados pessoais, incluindo
a divisão de responsabilidades, a sensibilização e formação do pessoal implicado
nas operações de tratamento de dados, e as auditorias correspondentes;
Prestar aconselhamento, quando solicitado, no que respeita à avaliação de
impacto sobre a proteção de dados e controlar a sua realização;
Cooperar com a Autoridade Supervisora;
Ser o ponto de contato para a Autoridade Supervisora sobre questões
relacionadas com o tratamento, incluindo a consulta prévia, além de consultar,
sendo caso disso, esta Autoridade sobre qualquer outro assunto.
No desempenho das suas funções, o DPO deve considerar os riscos associados às
operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do
tratamento.
3. VIOLAÇÃO DE DADOS, NOTIFICAÇÃO E RESPOSTA A INCIDENTES
3.1 REQUISITOS DO GDPR FRENTE ÀS VIOLAÇÕES DE DADOS PESSOAIS – art. 33
Em caso de violação de dados pessoais15, o Controlador deve notificar Autoridade
Supervisora competente nos termos do Artigo 55, sem demora injustificada e, sempre que
possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados
pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas
físicas.
Se a notificação não for enviada à Autoridade Supervisora no prazo de 72 horas, o
Controlador deve remeter conjuntamente os motivos do atraso.
Quando a violação de dados pessoais poder resultar em um alto risco aos direitos e
liberdades das pessoas físicas, o Controlador deverá comunicar a violação de dados pessoais
aos Titulares de Dados afetados, sem demora indevida. O Controlador documentará toda e
15
Violação de dados pessoais: uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, armazenados ou sujeitos a qualquer outro tipo de tratamento.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
24
qualquer violação de dados pessoais e disponibilizará essa informação à autoridade
supervisora16.
3.2 RELATÓRIO DE IMPACTO À PRIVACIDADE (DATA PROTECTION IMPACT ASSESSMENTE – DPIA)
O Relatório de Impacto à Proteção de Dados Pessoais (DPIA) é a documentação
referente ao Controlador que contém toda a descrição dos processos de tratamento de dados
pessoais que podem gerar riscos aos direitos dos titulares, assim como as medidas,
salvaguardas e mecanismos de mitigação desses riscos adotados ao longo do tratamento.
O DPIA pode ser obrigatório em algumas situações caracterizadas como “situações de
risco” ou a pedido da Autoridade Supervisora. O interessante deste documento é que ele
permite o mapeamento dos riscos e visão geral do tratamento, permitindo a observação do
status de conformidade da organização frente às políticas de regulação em prol da proteção de
dados.
Para que seja possível a geração deste relatório se faz necessário manter o registro de
todas as operações.
Cada Controlador e, sendo caso disso, o seu representante deve manter o registro de
todas as atividades de tratamento sob a sua responsabilidade. Esses registros devem conter as
seguintes informações:
O nome e os contatos do Controlador e, sendo caso disso, de qualquer
Controlador conjunto pelo tratamento, do representante do Controlador e do
DPO;
As finalidades do tratamento dos dados;
A descrição das categorias de Titulares de dados e das categorias de dados
pessoais;
As categorias de destinatários a quem os dados pessoais foram ou serão
divulgados, incluindo os destinatários estabelecidos em países terceiros ou
organizações internacionais;
Se for aplicável, as transferências de dados pessoais para países terceiros ou
organizações internacionais, incluindo a identificação desses países terceiros ou
organizações internacionais e, se for o caso, a documentação que comprove a
existência das garantias adequadas;
Se possível, os prazos previstos para o apagamento das diferentes categorias de
dados;
Se possível, uma descrição geral das medidas técnicas e organizacionais no
domínio da segurança dos dados.
16
PINHEIRO, Patricia Peck. Privacidade e cibersegurança. 2018. p. 31
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
25
Cada Processador e, sendo caso disso, o representante deste, conserva um registro de
todas as categorias de atividades de tratamento realizadas em nome de um Controlador, do
qual constará:
O nome e contatos do Processador ou Processadores e de cada Controlador em
nome do qual o Processador atua, bem como, sendo caso disso do representante
do Controlador ou do Processador e do DPO;
As categorias de tratamentos de dados pessoais efetuados em nome de cada
Controlador;
Se for aplicável, as transferências de dados pessoais para países terceiros ou
organizações internacionais, incluindo a identificação desses países terceiros ou
organizações internacionais e, se for o caso, a documentação que comprove a
existência das garantias adequadas;
Se possível, uma descrição geral das medidas técnicas e organizacionais no
domínio da segurança dos dados.
Os registros devem ser efetuados por escrito, incluindo em formato eletrônico.
O Controlador ou o Processador, ou o representante do Controlador ou o Processador,
devem disponibilizar à Autoridade Supervisora os registros, sempre que solicitado. O
Controlador e o Processador e os seus representantes cooperam com a Autoridade
Supervisora, a pedido desta, na prossecução das suas atribuições (art. 31).
As obrigações de manutenção de registros não se aplicam às empresas ou organizações
com menos de 250 trabalhadores, a menos que o tratamento efetuado seja suscetível de
implicar um risco para os direitos e liberdades do Titular dos dados, não seja ocasional ou
abranja as categorias especiais de dados, ou dados pessoais relativos a condenações penais e
infrações.
3.3 APLICAÇÃO DA POLÍTICA DE NOTIFICAÇÃO (REPORT)
3.3.1 NOTICANDO A AUTORIDADE SUPERVISORA
A notificação deve ocorrer sem demora injustificada e apresentar, pelo menos, os
seguintes dados:
Descrever a natureza da violação dos dados pessoais incluindo, se possível, as
categorias e o número aproximado de Titulares de dados afetados, bem como as
categorias e o número aproximado de registros de dados pessoais em causa;
Comunicar o nome e os contatos do DPO ou de outro ponto de contato onde
possam ser obtidas mais informações;
Descrever as consequências prováveis da violação de dados pessoais;
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
26
Descrever as medidas adotadas ou propostas pelo Controlador para reparar a
violação de dados pessoais, inclusive, as medidas para atenuar os seus eventuais
efeitos negativos.
Caso não seja possível fornecer todas as informações ao mesmo tempo, estas podem
ser fornecidas por fases, sem demora injustificada.
O Controlador deve documentar quaisquer violações de dados pessoais, incluindo os
fatos relacionados com eles, os efeitos e a medida de reparação adotada. Essa documentação
deve permitir à Autoridade Supervisora verificar o cumprimento destas obrigações.
3.3.2 NOTIFICANDO O TITULAR DE DADOS – art. 34
Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para
os direitos e liberdades das pessoas físicas, o Controlador deve comunicar a violação de dados
pessoais ao Titular dos dados sem demora injustificada.
A comunicação deve descrever em linguagem clara e simples a natureza da violação dos
dados pessoais e fornecer, pelo menos, as informações e as seguintes medidas:
O nome e os contatos do DPO ou de outro ponto de contato onde possam ser
obtidas mais informações;
As consequências prováveis da violação de dados pessoais;
As medidas adotadas ou propostas pelo Controlador para reparar a violação de
dados pessoais, inclusive, as medidas para atenuar os seus eventuais efeitos
negativos.
A comunicação ao Titular dos dados não é obrigatória se for preenchida uma das
seguintes condições:
O Controlador tiver aplicado medidas de proteção adequadas aos dados pessoais
afetados pela violação, tanto técnicas como organizacionais, especialmente
medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa
não autorizada a acessar esses dados, tais como a criptografia;
O Controlador tiver tomado medidas subsequentes que assegurem que o
elevado risco para os direitos e liberdades dos Titulares dos dados não é
suscetível de se concretizar; ou,
Implicar um esforço desproporcionado. Nesse caso, é feita uma comunicação
pública ou semelhante por meio da qual os Titulares dos dados são informados
de forma igualmente eficaz.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
27
Se o Controlador não tiver comunicado a violação de dados pessoais ao Titular dos
dados, a Autoridade Supervisora, considerando a probabilidade de a violação de dados pessoais
resultar num elevado risco, pode exigir-lhe que proceda a essa notificação ou pode constatar
que se encontram preenchidas as condições referidas acima.
4. POLÍTICAS DE PROTEÇÃO DE DADOS PESSOAIS
4.1 OBJETIVO DAS POLÍTICAS DE PROTEÇÃO DE DADOS PESSOAIS E GARANTIA DA PRIVACIDADE
DENTRO DE UMA ORGANIZAÇÃO
Toda organização de sucesso adota processos de gestão de ativos alinhados com a
estratégia e metas da empresa. E como os dados são um ativo de risco de grande relevância
dentro da Era da Informação é interessante quais os pilares de uma boa gestão de dados dentro
de uma organização.
De acordo com a Associação Internacional de Gestão de Dados (Data Management
Association International – DAMA), os dados e as informações podem auxiliar as organizações a
inovar no mercado e alcançar seus objetivos de maneira estratégica, sendo que a Gestão de
Dados (Data Management) é o “desenvolvimento, execução, e supervisão dos planos, políticas,
programas, e práticas que entregam, controlam, protegem e melhoram o valor dos dados e das
informações como ativos ao longo de seus ciclos de vida”17.
A Associação também define o conceito de “dados” (data) do ponto de vista da
Tecnologia da Informação (TI), como a informação que foi armazenada de forma digital,
embora tal conceituação não se limite aos dados armazenados eletronicamente, haja visto que
os princípios adotados para os “dados digitais” também são aplicados aos dados capturados no
papel sob o formato de base de dados18.
Tais informações quando armazenadas são absorvidas, analisadas de forma crítica e
ressignificadas pelas organizações criando vantagens competitivas e valor de mercado a partir
do conhecimento adquiridos. De acordo com Bergson Lopes Rêgo, é possível compreender a
transformação estratégica dos dados a partir da Figura 3:
FIGURA 3 – CADEIA EVOLUTIVA DOS DADOS COMO UM ATIVO ESTRATÉGICO
17
DAMA. DAMA – DMBOK: Data Management Body of Knowledge, second edition. Nova Jersey, Estados Unidos da América: Techinics Publications, 2017. p. 17. 18
A conceituação voltada para as bases de dados digitais é utilizada em razão do grande acúmulo de informações realizadas contemporaneamente de forma eletrônica, mas as técnicas e princípios de gestão de dados são validas para todos os tipos de ativos acumulados em base de dados.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
28
Fonte: RÊGO, 2014.
E para que tal evolução seja alcançada, é muito importante que as organizações
realizem uma gestão inteligente dos dados como um ativo de negócio. Tal gestão torna possível
que os dados sejam transformados em informação e ganhem significado.
De maneira geral, compreende-se que o dado é a matéria-prima da informação, sendo a
informação a aplicação do dado de forma contextualizada19. Todavia, com a ampla utilização
dos dados como um ativo empresarial, mais pontualmente a partir da década de 90, é possível
afirmar que os dados ganham um papel de centralidade, já que se os dados colhidos não forem
de qualidade ou estratégicos, os mesmos nunca se transformarão em informações relevantes e
estratégicas.
Atualmente, muitas organizações desenvolvem sua matriz gerencial “orientadas por
dados” (data-driven) na busca de manter as suas operações sempre atualizadas e seu processo
de tomada de decisão mais racional e analítico. No contexto da aplicação de políticas de
proteção de dados e garantia da privacidade, essa realidade não é diferente.
E a efetividade de tais medidas de proteção seguem alguns princípios norteadores
dentro das organizações, da mesma forma que a gestão de dados:
TABELA 4 – PRINCÍPIOS DA GESTÃO DE DADOS20
19
DAMA. DAMA – DMBOK: Data Management Body of Knowledge, second edition. Nova Jersey, Estados Unidos da América: Techinics Publications, 2017. p. 20. 20
Idem, p. 21-23.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
29
PRINCÍPIOS DA GESTÃO DE DADOS
PRINCÍPIOS CENTRAIS DA GESTÃO DE
DADOS (MAIN PRINCIPLES OF DATA
MANAGEMENT)
GUIA PRÁTICO DOS PRINCÍPIOS DA GESTÃO DE
DADOS (PRATICAL GUIDE OF DATA MANAGEMENT)
Os dados são um ativo com propriedades
únicas
Embora os dados sejam mais um ativo empresarial,
ele se diferencia dos demais de acordo com a forma
que é utilizado, podendo impactar a organização de
diferentes formas. Ao mesmo tempo, os dados são
um ativo não-esgotável, já que não é consumido ao
ser utilizado, podendo ainda ser ressignificado e
reutilizado de infinitas formas ao longo dos processos
de uma organização.
O valor dos dados pode e deve ser
expressado em termos econômicos
Todo ativo tem o seu valor e não poderia ser diferente
com os dados, porém esse valor é determinado a
partir de técnicas de mensuração de qualidade e
quantidade dos dados que devem levar em
consideração os custos envolvidos com o uso de
dados de baixa qualidade e os benefícios alcançados
através dos dados de alta qualidade. Assim como
qualquer indicador, é possível adotar métricas de
mensuração do valor dos dados e isso deve ser
realizado para analisar o desempenho do ativo no
quadro geral da empresa.
Gerir dados significa gerir a qualidade dos
dados
Uma gestão de dados eficiente envolve a
compreensão dos requisitos adotados pelos
stakeholders da organização e a comparação e
mensuração desses requisitos para analisar a
qualidade dos dados.
São necessários metadados para realizar a
gestão de dados
Os dados qualificados e significados, prontos para o
uso são chamados de metadados. É importante
pontuar esse fato, porque os dados em si são
impalpáveis e não tem aplicação tão prática. Por isso
que, a partir do processamento dos dados e de
técnicas de gestão, governança, inteligência de
negócios entre outros é que são gerados os
metadados: os ativos prontos para serem
manuseados ao longo da gestão.
A gestão de dados envolve planejamento
Assim como qualquer outro processo empresarial é
preciso adotar técnicas, planos de ação e criação de
processos para realizar a gestão desses ativos.
A gestão de dados é multifuncional,
exigindo diversas habilidades e áreas de
Para que a gestão de dados seja eficaz é necessário
alinhar conhecimentos técnicos e habilidades de
diversas áreas do saber devido a complexidade e
amplitude de aplicação de tais ativos. Por isso, é
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
30
conhecimento preciso criar equipes multitarefas e multifuncionais
para gerir os dados de forma eficiente.
A gestão de dados exige uma perspectiva
empresarial
Para que a gestão de dados seja aplicada da forma
mais efetiva possível, é preciso aplicar uma
perspectiva empresarial em seus planos de ações a
políticas de aplicação. Por isso mesmo que a gestão e
governança dos dados andam de mãos dadas: a
aplicação de políticas deve ser estratégica e movida
por propósitos alinhados com a perspectiva
empresarial.
A gestão de dados deve ser realizada por
diversas perspectivas
Com os dados são flexíveis, adaptáveis e fluidos, é
preciso estar sempre atualizando as perspectivas e
maneiras que os dados estão sendo criados, para que
a análise de suas informações seja mais fidedigna e
mantenha-se sempre atualizada.
A gestão de dados envolve a gestão do ciclo
de vida dos dados
Como os dados são utilizados segundo um
propósito/finalidade, possuem um ciclo de vida que
pode ser pré-determinado em muitas situações. No
caso da proteção de dados pessoais, o GDPR indica
que as organizações estejam preparadas para lidar
com o ciclo de vida dos dados, de maneira que
desenvolvam seu processo levando em consideração
todas as etapas, da coleta à destruição – ou
compartilhamento – das informações.
Diferentes dados possuem diferente ciclos
de vida com características diversas
Como a aplicação e uso dos dados se dá de maneira
diferente a cada finalidade a que se propõe, o seu
ciclo de vida é dotado de necessidades e
características únicas e que devem ser levadas em
consideração durante todo o processo de gestão de
dados.
A gestão de dado inclui a gestão dos riscos
associados
Faz parte das atribuições da gestão dos dados lidar
com os seus riscos intrínsecos ao longo de todo o seu
ciclo de vida. Por conta disso, a aplicação de medidas
e políticas de proteção de dados e garantia da
privacidade deve ser sempre levada em consideração.
A gestão de dados deve levar a decisões
relacionadas à tecnologia da informação
Faz parte do processo de gestão dos dados certificar-
se que esse ativo está servindo os propósitos da
organização de forma estratégica, dotada de
propósito e efetiva.
Uma gestão eficiente de dados envolve o
comprometimento dos líderes
Devido a grande complexidade dos processos que
envolvem a gestão de dados, é necessário que haja
um forte compromisso do corpo de gestão desses
ativos na busca de uma aplicação multifuncional e
multidisciplinar dos dados.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
31
4.2 PRINCIPAIS POLÍTICAS E PROCEDIMENTOS NECESSÁRIOS DENTRO DE UMA ORGANIZAÇÃO
Toda a gestão de dados é realizada de forma integrada e completa a partir da adoção de
políticas de governança de dados dentro das organizações. Pode-se compreender, que a
governança de dados é a integração de todas as funções da gestão de dados em uma só matriz.
FIGURA 4 – FRAMEWORK COMPLETO DA GESTÃO DE DADOS, SEGUNDO O DAMA-DMBOK®
Fonte: RÊGO, 2014.
Tais princípios são significados em diferentes aplicações e funções, como pontua
Bergson Lopes Rêgo21:
Governança de Dados – função responsável por representar o exercício de
autoridade e controle das estratégias, políticas, papéis e atividades envolvidos
com os ativos de dados das empresas.
Gestão da Arquitetura de Dados – função responsável por definir as
necessidades de dados e alinhar os mesmos com a estratégia de negócio da
empresa.
Gestão do Desenvolvimento dos Dados – função responsável pelas atividades
de modelagem e implementação das estruturas dos dados dentro do ciclo de
vida do desenvolvimento dos sistemas de informação.
21
RÊGO, Bergson Lopes. Gestão de Dados: 10 questões básicas sobre o seu uso. DevMedia, 2014. Disponível em: https://www.devmedia.com.br/gestao-de-dados-10-questoes-basicas-sobre-seu-uso/30076.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
32
Gestão de Operações de Dados – função responsável por manter armazenados
os dados ao longo do seu ciclo de vida.
Gestão da Segurança dos Dados – função responsável por definir e manter as
políticas de segurança da informação da empresa.
Gestão de Dados Mestres e Dados de Referência – função responsável por
definir e controlar atividades para garantir a consistência e disponibilização de
visões únicas dos principais dados reutilizados na empresa.
Gestão de Data Warehousing e Business Intelligence: função responsável por
definir e controlar processos para prover dados de suporte à decisão,
geralmente disponibilizados em aplicações analíticas.
Gestão da Documentação e Conteúdo: função dedicada a planejar, implementar
e controlar atividades para armazenar, proteger e acessar os dados não
estruturados das empresas.
Gestão de Metadados: Os metadados representam o significado dos dados.
Estes significados correspondem tanto ao conteúdo técnico do dado, obtido
através das informações sobre estrutura, formato, tamanho e restrições como a
informações sobre definições e conceitos.
Gestão da Qualidade dos Dados: função responsável por promover, medir,
avaliar, melhorar e garantir a qualidade dos dados da empresa.
A partir de tais funções é possível elencar as principais vantagens trazidas às
organizações com a gestão eficiente dos dados:
a) fluidez no trabalho multidisciplinar das diversas áreas impactadas pela
tecnologia;
b) compreensão assertiva das necessidades de dados e informações da empresa;
c) maior confiabilidade e qualidade dos dados e informações utilizados na aplicação
de processos, estratégicas e tomadas de decisão;
d) aplicação da cultura de uso de indicadores de processos movidos pela qualidade
dos dados;
e) redução de riscos e falhas processuais diversas;
f) redução de esforços, custos e tempo na reutilização dos dados corporativos
quando se cria uma matriz de dados de qualidade;
g) aumento na produtividade e eficácia do trabalho das equipes em contato com os
dados;
h) estabelecimento de uma matriz de segurança sólida, com garantia de acesso e
disponibilidade dos dados e informações de acordo com a criação de diferentes
perfis de usuários que podem acessar à base de dados, desse modo, a
informação chega somente a quem realmente interessa e faz sentido.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
33
4. 3 PROTEÇÃO DE DADOS E PRIVAVIDADE DESDE A CONCECPÇÃO (BY DESIGN) E POR PADRÃO (BY
DEFAULT)
O termo privacy by design tem ganhado cada vez mais popularidade entre as legislações
de todo o mundo desde a disseminação dos regulamentos de proteção de dados e privacidade
na Era da Informação. Tal expressão foi criada por Ann Cavoukian, ex-Comissária de Informação
e Privacidade da Província de Ontário – Canadá, na década de 1990.
Cavoukian utilizou a expressão para se referir a uma estratégia metodológica de
proteção à privacidade na qual essa proteção está incorporada desde às estruturas das
tecnologias desenvolvidas até os modelos de negócios e suas respectivas infraestruturas, de
maneira que a privacidade está presente na própria arquitetura dos
sistemas/processos/serviços a serem desenvolvidos com o envolvimento de tratamento de
dados22,23.
4.3.1 SETE PRINCÍPIOS NORTEADORES
TABELA 5 – OS 7 PRINCÍPIOS NORTEADORES DO PRIVACY BY DESIGN
OS 7 PRINCÍPIOS NORTEADORES DO PRIVACY BY DESIGN
O PRINCÍPIO O PRINCÍPIO APLICADO
Seja proativo, não reativo:
É melhor prevenir do que remediar
Estimula a adoção de uma postura de prevenção aos
erros e não contenção de danos. Ao adotar um
modelo de desenvolvimento de projetos e de negócio
em que um dos pilares é o foco em proteção de dados
é possível prever e antecipar os cenários em que
possa haver incidentes que afetem a privacidade. Essa
postura é muito positiva e efetiva em questão de
economia gerencial, tendo em vista que na ocorrência
de algum vazamento ou fala de segurança das
informações, os dados envolvidos nos incidentes são
comprometidos e a privacidade é quebrada.
Ao adotar políticas e medidas de privacidade como
padrão das configurações da empresa, é garantida a
máxima proteção da privacidade ao usuário. Isso
torna o acesso do usuário à sua marca carregado de
uma experiência otimizada, tendo em vista que ele/a
não precisará se preocupar em alterar configurações
22
ALVES, Carla Segala; VAINZOF, Rony. Privacy by design e proteção de dados pessoais. Jota, 2016. 23
De acordo com Henrique Fabretti Moraes (2018): “O conceito [privacy by design] começou a ganhar corpo e projeção internacional por volta de 2010, com a chancela de diversas entidades de grande relevância na proteção de dados ao redor do mundo, como a Autoridade Europeia de Proteção de Dados e a Federal Trade Comission nos Estados Unidos e atualmente está incorporada na própria GDPR[...]”.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
34
Privacidade como configuração padrão
(Privacy by default)
diversas para ter acesso à melhor proteção de seus
dados. Ao mesmo tempo, o usuário acaba se
conscientizando de forma indireta acerca das trocas
de informações a que está sujeito, por exemplo,
imagine um smartphone em que a configuração
padrão não permite o compartilhando de
geolocalização e obriga todos os apps/sites que
pedem esse dada a pedir a permissão ativa do titular,
nesta situação o consumidor vai ficar muito mais
informado acerca dos serviços/produtos que exigem
esse tipo de compartilhamento e mensurar melhor
que realmente quer fornecer o conhecimento.
A privacidade incorporada ao projeto
Toda a arquitetura do projeto deve ser pensada com a
incorporação das regras de privacidade e proteção aos
dados, desde a sua concepção até o término da
relação com o usuário – que envolve o apagamento
dos dados e finalização do tratamento.
Funcionalidade total:
Soma-positiva, não Soma-zero
Na aplicação da teoria dos jogos no desenvolvimento
dos projetos observa-se a possibilidade de soma-zero,
em que somente um “jogador” ganha, em prejuízo do
outro; e a possibilidade da soma positiva, em que
todos os jogadores tem a possibilidade de ganha de
alguma forma. Transportando essa lógica para o
mundo da gestão, a adoção da soma-positiva em um
projeto significa que a garantia de um indicador não
deve se fazer em função do outro: todos devem
conviver em equilíbrio. Por exemplo, não se deve abrir
mão da adoção de medidas de segurança nos
processos, em troca da obtenção de mais dados ou
captação de mais leads; ou desrespeitar a política de
minimização dos dados, na busca da maximização dos
lucros. Cabe às equipes, através da adoção de um
trabalho em conjunto, encontrar a harmonia entre os
requisitos, para que todos possam conviver de forma
rentável.
Segurança de ponta-a-ponta
(peer-to-peer):
proteção durante todo o
ciclo de vida dos dados
Como a privacidade deve ser garantida em todas as
etapas do tratamento, através do uso de criptografia
dos dados encadeados de ponta-a-ponta (peer-to-
peer) é possível garantir que a informação seja
protegida em todo o seu ciclo de vida: desde a coleta
até a sua destruição ou compartilhamento ao término
do tratamento.
Além de se preocupar com a aplicação da privacidade
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
35
Visibilidade e transparência
e proteção de dados em todas as etapas, é necessário
garantir que as informações são acessíveis e
transparentes. Desse modo, o usuário tem acesso às
informações importantes como a finalidade da coleta
dos dados e as entidades têm a possibilidade de
realizar auditorias para verificação da efetividade das
medidas de proteção dos dados.
Respeito pela privacidade do usuário –
solução centrada no usuário
A privacidade dos usuários devem ser o ponto central
das operações de qualquer negócio, de maneira que a
proteção dos dados deve ser mantida, a comunicação
deve ser clara e as informações acessíveis e
transparentes, sem que a proteção das informações
seja afetada.
4.3.2 IMPLEMENTANDO A PROTEÇÃO DE DADOS E PRIVACIDADE DESDE A CONCEPÇÃO E POR
PADRÃO DENTRO DE UMA ORGANIZAÇÃO
De acordo com a certificadora EXIN24, a aplicação da proteção de dados e privacidade by
design e by default dentro de uma organização deve seguir a seguinte matriz:
FIGURA 5 – MATRIZ DA APLICAÇÃO DA PROTEÇÃO DE DADOS E PRIVACIDADE DESDE A
CONCEPÇÃO E POR PADRÃO, SEGUNDO A EXIN
24
Ver: https://www.exin.com
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
36
Fonte: Autoria própria com base nas informações da EXIN (2017).
5. SISTEMA DE GESTÃO DADOS PESSOAIS (DATA PROTECTION AND PRIVACY
MANAGEMENT SYSTEM – DP&P System)
5.1 O FUNCIONAMENTO DO DP&P System
A aplicação de um Sistema de Gestão de Segurança da Informação passou a ser uma
obrigação dentro da realidade de novas regulações sobre proteção de dados ao longo do
mundo para que todos os processos internos empresariais se mantenham seguros.
VISÃO E MISSÃO
DESENVOLVIMENTO DE PRODUTOS E
SERVIÇOS
APLICAÇÃO DOS 7 PRINCÍPIOS
GESTÃO DA PRIVACIDADE E PROTEÇÃO DE
DADOS PESSOAIS
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
37
Isso porque as ameaças cibernéticas têm crescido exponencialmente nos últimos anos,
seja no volume dos ataques ou na sofisticação dos mecanismos invasores, de modo que esta
situação tende a tornar-se ainda mais grave com a expansão da Internet das Coisas25.
Os Sistemas de Gestão de Segurança da Informação (SGSI) são sistemas corporativos
que abrangem todos os processos organizacionais ou parte deles e buscam proteger as
informações da empresa dentro dos critérios de confidencialidade, integridade e
disponibilidade (CID) da organização26. Neste sentido, os SGSI traduzem-se em planos,
estratégias, políticas, medidas e controles voltados para a segurança da informação que têm o
intuito de implementar, monitorar, analisar, manter e melhorar a segurança da informação
corporativa27.
Todas essas práticas são realizadas para que o risco da empresa seja o mínimo possível.
Todavia, esse risco nunca será igual a zero já que, como aponta Tácito Leite, “não existe sistema
ou software, por mais avançado que seja, que resolva por si questões relacionadas a riscos e
defina sozinho qual a melhor decisão a ser tomada”28.
Isso significa que existem algumas partes do processo de segurança que – ao menos
ainda – devem ser avaliadas através da subjetividade humana, por conta disso que além de um
aparato de segurança eficaz é preciso ter uma equipe de gestão de segurança muito bem
preparada e pronta para lidar com as reais necessidades da empresa.
Por isso, também é importante apontar que antes de contratar uma equipe para
implementar um sistema de segurança é preciso avaliar o trabalho dessa equipe, procurar
informações sobre a sua atuação no mercado e buscar sempre profissionais sérios, éticos e com
impacto positivo no mercado.
As vezes os/as empresários/as analisam só o valor do investimento e não os retornos
que tais investimentos vão trazer para empresa, isso pode levar a erros e trazer prejuízos
desnecessários à empresa.
No caso particular dos investimentos em segurança da informação, uma contratação
mal realizada pode expor a empresa e destruir a sua imagem perante os clientes e investidores,
25
A Pesquisa Global de Segurança da Informação de 2017 realizada pela PwC ressalta que a expansão da Internet das Coisas introduz “novos riscos que ainda não são bem compreendidos e podem ter implicações abrangentes”. Neste contexto, a pesquisa aponta que 46% das organizações planejam investir novos modelos de segurança baseados nas necessidades mais recentes do mercado. 26
FONTES, Edison. Políticas e normas para segurança da informação. Rio de Janeiro: Brasport, 2012. p.17-22. 27
Antônio Leocádio relaciona à segurança cibernética com a gestão de segurança da informação: “A segurança cibernética pode ser definida de forma primária, como: segurança da tecnologia da informação contra acesso não intencional ou não autorizado ou alteração ou destruição dos mesmos. O assunto é sério, especialmente se tivermos um viés no setor de serviços, em que as demandas por novos negócios propiciam a comodidade ao invés de segurança. Essas ações ou pensamento corporativo têm evidenciado o gestor de segurança da informação como um aliado, em face das ameaças digitais. Em um mundo cada vez mais conectado, a segurança cibernética se tornou um pilar estratégico. As estratégias, nos tempos de crise, alavancaram as preocupações corporativas, chegando a ser discutidas, muitas vezes, no “board” ou conselhos de administração. Todos entendem que qualquer interrupção na sua capacidade de produção, seja física, seja tecnológica, pode ser fatal no atingimento das metas. Portanto, as ameaças digitais acabam sendo vistas com o mesmo viés de riscos das dimensões econômicas, de imagem ou de reputação”. LEOCÁDIO, Antônio Ricardo Gomes. Segurança cibernética, pessoas, empresas e governos. Precisamos muito falar sobre isso. Revista Fonte, a. 14, n. 18, dez, 2017. p. 65-66. 28
LEITE, Tácito Augusto Silva. Gestão de Riscos na Segurança Patrimonial. Rio de Janeiro: Qualitymark, 2016. p. 52
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
38
causando danos irreversíveis29, por isso, fique atento na hora de contratar uma equipe para
cuidar da segurança da informação de sua empresa30.
Para lidar com os riscos envolvidos na gestão de dados especificamente, é necessário
adotar um Sistema de Gestão de Proteção de Dados e Privacidade (Data Protection And Privacy
Management System – DP&P System) para diminuir os riscos e melhorar a gestão dos dados.
O Sistema DP&P é compreendido a partir dos seguintes aspectos:
Metodologia;
Estratégia;
Conjunto de políticas, procedimentos e ferramentas técnicas.
O ideal é que cada organização desenvolva o próprio Sistema DP&P, já que cada uma
possui particularidade únicas, porém, é importante seguir um framework desenvolvido com
base em 5 fases principais:
TABELA 6 – FASES DO DESENVOLVIMENTO DO DP&P SYSTEM
FASES DO DESENVOLVIMENTO DO DP&P SYSTEM
FASE 1 Preparação das medidas de Proteção à Privacidade e aos Dados Pessoais
FASE 2 Organização da Proteção à Privacidade e aos Dados Pessoais
FASE 3 Desenvolvimento e implementação da Proteção à Privacidade e aos Dados Pessoais
FASE 4 Proteção de Dados e Governança da Privacidade
FASE 5 Avaliação e melhoria das medidas de Proteção de Dados
5.2 CRIANDO UM PLANO DE AÇÃO PARA IMPLEMENTAR O DP&P SYSTEM
A criação de um plano de ação e implementação do DP&P SYSTEM deve ser
desenvolvido de acordo com as 5 fases elencadas no framework.
5.2.1 FASE 1: PREPARAÇÃO DAS MEDIDAS DE PROTEÇÃO À PRIVACIDADE E AOS DADOS PESSOAIS
29
Edison Fontes cita uma pesquisa realizada por Brotby para exemplificar a importância da gestão da segurança da informação: “Uma pesquisa realizada pela Universidade do Texas indicou que 93% das organizações que tiveram indisponibilidade de informação por mais de 10 dias seguidos em função de desastres nos recursos de TI, chegaram à falência um ano depois. Em termos de impactos financeiros e perda de clientes, Brotby complementa: ‘Uma análise detalhada realizada pela PGP Corporation em conjunto com a Vontu Company, identificou que 31 companhias que sofreram violações de informação em um período de doze meses tiveram uma perda média de US$ 4,8 milhões, além do que 19% dos clientes deixaram de se relacionar com a companhia e outros 40% dos clientes consideravam a possibilidade de deixar de serem clientes.” FONTES, op cit, 2012, p. 4. 30
De acordo com a Pesquisa Internacional da Grant Thornton, os prejuízos por ataques cibernéticos giraram em torno de US$ 280 bilhões de janeiro de 2016 a janeiro de 2017 em todo o mundo; a pesquisa foi realizada com mais de 2500 líderes de empresas e baseada em 36 economias. GRANT THORNTON. Ataques cibernéticos causaram prejuízo de US$ 280 bilhões. 2017.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
39
Os objetivos específicos dessa fase são: i) a análise da proteção de dados e privacidade,
de acordo com os requisitos e necessidades que afetam a empresa; ii) o recolhimento das leis,
normas e regulamentos envolvendo a proteção de dados e privacidade; iii) a criação de um
plano de ação levando em consideração os recursos necessários para que a empresa possa
gerenciar os dados pessoais, atividades, transações e operações, dentro de um cenário ótimo
de proteção de dados e regras de privacidade e regulamentos existentes.
A Fase 1 é organizada de acordo com as seguintes etapas e ações:
TABELA 7 – ETAPAS DA FASE 1: PREPARAÇÃO DAS MEDIDAS DE PROTEÇÃO À PRIVACIDADE E
AOS DADOS PESSOAIS31
ETAPAS DA FASE 1: PREPARAÇÃO DAS MEDIDAS DE PROTEÇÃO À PRIVACIDADE E AOS DADOS
PESSOAIS
ETAPAS AÇÕES COMO APLICAR?
ETAPA 1 Conduzir a análise de
privacidade
Realize a análise sobre as medidas de proteção de dados e
determine o panorama atual das medidas de privacidade
adotadas em sua empresa. Esta analise deve incluir os
processos e os regulamentos internos, assim como a
atuação da empresa (países em que a empresa atua ou tem
perspectivas de atuar).
Feita a análise é preciso notificar e conscientizar os
colaboradores acerca do cenário e registrar os resultados
em um relatório próprio.
ETAPA 2 Coletar Leis de
Privacidade
Realize um levantamento e coleta de informações acerca de
todas as leis e regulamentos – nacionais e internacionais –
que afetam ou podem afetar a sua empresa.
No caso das empresas afetadas pela GDPR é preciso ter em
mente os 8 princípios centrais que podem afetar as suas
operações: 1) processamento legal, já que o tratamento de
dados deve ser realizado de forma justa e legal; 2)
especificação da finalidade; 3) relevância (minimização) dos
dados; 4) precisão dos dados, já que os dados devem ser
corretos e atuais; 5) retenção limitada dos dados, pois os
dados devem ser tratados de acordo com cerca finalidade, a
sua retenção não deve ultrapassar o cumprimento deste
propósito final; 6) tratamento justo e pautado na boa-fé,
levando em consideração os direitos dos titulares; 7)
reponsabilidade na execução do tratamento em todas as
etapas; e 8) transferência de dados para o exterior só será
permitida nos países que garantam o mesmo nível de
proteção que a UE.
31
Desenvolvida com apoio da seguinte fonte de referência: KYRIAZOGLOU, John. Data Protection and Privacy Management System: Data Protection and Privacy Guide – Vol. I. Bookboon, 2016. (eBook).
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
40
ETAPA 3 Realizar a análise de
Impacto de Privacidade
Estude e entenda os impactos das regras de privacidade e
proteção de dados determinadas pelas leis podem ter sob a
sua empresa. O ideal é criar um guia ou coletânea interno
para que tais informações não se percam e estejam
disponíveis de forma organizada.
ETAPA 4 Realizar auditorias e
avaliações de dados
iniciais
Indica-se a realização de uma auditoria inicial de dados
pessoais que envolva a emissão de um relatório dotado de
comentários e avaliações completas e claras.
ETAPA 5 Estabelecer a organização
de controle de dados
Crie um comitê interno de governança de dados em que
haja a distribuição de papeis e funções entre os membros.
Como principais funções importantes indica-se entre os
indivíduos: um responsável pela proteção de dados; um
gerente de segurança da informação; e demais papeis
responsáveis pela qualidade dos dados.
ETAPA 6 Estabelecer Fluxos de
Dados e Inventário de
Dados Pessoais
Crie um sistema de fluxo de dados que documente todos os
fluxos de dados realizados dentro e fora da empresa e que
de alguma forma lhe dizem respeito. O DPO tem um papel
importante nesta fase, já que é quem monitora este sistema.
O DPO deve criar e manter um inventário de dados pessoais
para cada departamento e sistemas de TI da empresa,
através: i) localização dos dados e ii) identificação dos
funcionários que possuem cada dado.
Cabe a empresa garantir o estabelecimento de um processo
que mantenha a atualização das informações de forma
regular e contínua.
Cabe ao DPO criar uma política de proteção de dados
explicando como deve ser realizado o tratamento em todas
as duas etapas.
ETAPA 7 Estabelecer o programa
de proteção de dados
A implementação de um plano de proteção de dados deve
incluir o treinamento de equipes, a aplicação de um
programa de conscientização interna e adoção de ações
estratégicas para que seja alcançada a proteção e
privacidade dentro da corporação.
ETAPA 8 Elaborar planos de ação
de implementação de DP
& P
Após a realização as etapas de 1 a 6 é interessante emitir um
relatório à cúpula de gestores. Neste relatório deve haver o
resumo da análise e resultados alcançados na etapa inicial,
uma estimativa de qual orçamento será necessário para
implementar o sistema, juntamente com um conjunto de
planos de ações específicos.
Os principais produtos resultantes da FASE 1 são:
Produto 1: Relatório de proteção de dados e análise de privacidade (etapa 1);
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
41
Produto 2: Manual de Leis de Privacidade (etapas 2 e 3);
Produto 3: Relatório de Auditoria de Dados Pessoais (etapa 4);
Produto 4: Sistema de Fluxos de Dados (etapa 6);
Produto 5: Inventário de Dados Pessoais (passo 6);
Produto 6: Política de Proteção de Dados (etapa 6);
Produto 7: Plano de Treinamento de Privacidade (etapa 7);
Produto 8: Programa de Proteção de Dados (etapa 7);
Produto 9: Relatório e Orçamento da Organização de Proteção de Dados e Privacidade (etapas
de 1 a 8);
Produto 10: Planos de ação para implementação de DP & P (etapas de 1 a 8).
A principal meta desta fase é a preparação da empresa para receber o DP&P System e já
poder ser mais eficaz ao lidar com a proteção de dados e os riscos de privacidade mitigando os
impactos nas operações da empresa.
5.2.2 FASE 2: ORGANIZAÇÃO DA PROTEÇÃO À PRIVACIDADE E AOS DADOS PESSOAIS
Os objetivos específicos dessa fase são: i) conceber e configurar a proteção de dados e
programa de privacidade; ii) indicar um DPO; iii) criar um programa de privacidade e proteção
de dados; iv) envolver e comprometer todos partes interessadas na proteção de dados e
privacidade.
A Fase 2 é organizada de acordo com as seguintes etapas e ações:
TABELA 8 – ETAPAS DA FASE 2: ORGANIZAÇÃO DA PROTEÇÃO À PRIVACIDADE E AOS DADOS
PESSOAIS32
ETAPAS DA FASE 2: ORGANIZAÇÃO DA PROTEÇÃO À PRIVACIDADE E AOS DADOS PESSOAIS
ETAPAS AÇÕES COMO APLICAR?
ETAPA 1 Manter o Programa de
Proteção de Dados,
Políticas e Controles de
Governança
Os programas de proteção de dados e controle da
privacidade são amplamente disseminados entre as
empresas atualmente. Esses programas levam em
considerações os requisitos legais e buscam reduzir o risco
de uma violação de dados. É sempre importante atualizar
tais programas de acordo com as regras novas que vão
surgindo, mas é necessário manter a aplicação desta
ferramenta para que o valor da empresa continue a ser
pautado sobre os pilares da privacidade e segurança dos
dados.
32
Desenvolvida com apoio da seguinte fonte de referência: KYRIAZOGLOU, John. Data Protection and Privacy Management System: Data Protection and Privacy Guide – Vol. I. Bookboon, 2016. (eBook).
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
42
ETAPA 2 Atribuir e manter a
responsabilidade de
proteção de dados
É importante designar de forma clara e objetiva as funções e
reponsabilidade de cada pessoa na equipe em relação ao
cuidado e proteção de dados pessoais. Com destaque para a
indicação do DPO, tendo em vista que tal ator é responsável
pela execução de funções muito importantes e deve ser
escolhido com seriedade e ética.
ETAPA 3 Manter o envolvimento
da Gerência Sênior na
Proteção de Dados
É importante que adoção de medidas e políticas de
privacidade seja apoiada e estimulada por todos os gestores,
inclusive os pertencentes à gerências sênior que podem
patrocinar eventos envolvendo a temática, comunicar o
quão importante é se preocupar com a questão aos demais
gerente subordinados na cadeia, participar em iniciativas de
promoção e conscientização, além de garantir os
investimentos adequados para o setor.
ETAPA 4 Manter a proteção de
dados e o compromisso
de privacidade
O gerenciamento de proteção de dados e privacidade dentro
de uma empresa requer a contribuição e participação de
muitos membros dessa organização. Os membros da rede de
proteção de dados e privacidade podem trabalhar em
diferentes negócios grupos funcionais ou departamentos
nos quais a empresa opera para facilitar a compreensão dos
riscos de proteção de dados aplicáveis a esse grupo
funcional de negócios ou departamento.
Os papéis que podem ser definidos incluem: O Diretor de
Privacidade; Gestores de Privacidade; Dados Agentes de
proteção (DPO); Analistas de privacidade; Proteção de
Dados e Rede de Privacidade membros; e membros da
equipe de resposta a incidentes de violação de dados, etc.
ETAPA 5 Manter comunicação
regular para questões de
proteção de dados e
privacidade
Aqueles que forem nomeados e responsáveis pela proteção
de dados e privacidade devem se comunicar entre si para
que garantam:
i) Aprender sobre o uso de dados pessoais no contexto da
organização;
ii) Ajudar proativamente na construção de proteção de
dados e privacidade em todos os sistemas, serviços,
produtos e projetos em andamento;
iii) Entender as diferentes perspectivas sobre proteção de
dados e privacidade a corporação;
iv) Capacitar, facilitar e apoiar as pessoas para que atinjam
seus objetivos e metas de implementação de proteção de
dados e privacidade;
v) Integre a proteção de dados e o pensamento de
privacidade em toda a empresa e entre todas as suas
funções.
ETAPA 6 Manter o envolvimento É necessário que a empresa adote algumas posturas e
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
43
das partes interessadas
nos assuntos de proteção
de dados e privacidade
estimule comportamento na aplicação contínua da Proteção
de Dados, das quais:
a) Realizar comunicações informais ou ad hoc com
indivíduos cujas responsabilidades pode não incluir proteção
de dados e privacidade;
b) Participar em vários comitês corporativos para funções de
negócios ou unidades cujas atividades podem ter impactos
na proteção de dados e privacidade (por exemplo, segurança
da informação, marketing, etc.); e
c) Realizar discussões sobre proteção de dados e problemas
de privacidade entre parceiros fora da organização (por
exemplo, provedores de nuvem, provedores de serviços de
informação, fornecedores de manutenção de aplicativos,
etc.) propriedade (responsabilidade ou responsabilidade)
por questões de proteção de dados e privacidade.
ETAPA 7 Implementar e Operar
um Sistema
Informatizado da
Proteção de Dados e
Privacidade
Há um grande número de ameaças potenciais e pontos de
entrada de risco no ambiente virtual, por isso é necessário
elaborar uma estratégia contínua de proteção de dados que
responda a todas as ameaças em potencial - antes que as
ameaças sejam identificadas.
Tal situação pode ser resolvida projetando as especificações
de um sistema computadorizado e ferramentas de software
para dar suporte ao processo de proteção de dados da
organização e operar, por conta disso se faz relevante
investir em tecnologia.
Os principais produtos resultantes da FASE 2 são:
Produto 1: Proteção de dados atualizada e estratégia de privacidade (etapa 1);
Produto 2: Programa de privacidade e proteção de dados atualizado (etapa 1);
Produto 3: Controles de Controle de Dados (etapa 1);
Produto 4: Anúncio da nomeação do Diretor de Proteção de Dados ou Privacidade (etapa 4);
Produto 5: Comunicações relacionadas à proteção de dados e privacidade (etapas 3, 4, 5 e 6);
Produto 6: Proteção de dados e rede de privacidade (etapa 4);
Produto 7: Proteção de dados e função de privacidade nas descrições de trabalho (etapa 4);
Produto 8: Plano atualizado de conscientização, comunicação e treinamento em privacidade
(etapa 5);
Produto 9: Sistema informatizado de proteção de dados e privacidade (etapa 7);
A principal meta desta fase é o estabelecimento de uma estrutura organizacional e
mecanismos necessários para proteção de dados e garantia da privacidade em sua empresa.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
44
5.2.3 FASE 3: DESENVOLVIMENTO E IMPLEMENTAÇÃO DA PROTEÇÃO À PRIVACIDADE E AOS
DADOS PESSOAIS
Os objetivos específicos dessa fase são: i) projeção um sistema de classificação de
dados; ii) desenvolvimento e implementação de todas as políticas, procedimentos e controles
necessários (por exemplo, dados confidenciais, executando um plano de treinamento,
integrando a privacidade em suas operações, etc.) para implementar as leis e os requisitos de
privacidade e proteção de dados para organização.
A Fase 3 é organizada de acordo com as seguintes etapas e ações:
TABELA 11 – ETAPAS DA FASE 1: DESENVOLVIMENTO E IMPLEMENTAÇÃO DA PROTEÇÃO À
PRIVACIDADE E AOS DADOS PESSOAIS33
ETAPAS DA FASE 3: DESENVOLVIMENTO E IMPLEMENTAÇÃO DA PROTEÇÃO À PRIVACIDADE E AOS
DADOS PESSOAIS
ETAPAS AÇÕES COMO APLICAR?
ETAPA 1 Desenvolver e
implementar estratégias
e planos de proteção de
dados
Nesta fase é preciso: i) analisar e definir as necessidades e os
requisitos da sua empresa; ii) selecionar quais estratégias,
planos, políticas e controles mais adequados para a
organização; iii) atribuir responsabilidades para implementá-
las.
Feito isso é preciso: i’) desenvolver um sistema de
classificação de dados e usá-lo para classificar dados
(exemplos: “publicamente disponível ”,“ confidencial ”,“
sensível ”, etc.); ii’) criar procedimentos para implementar o
esquema de classificação de dados da empresa, junto com
detalhes sobre a propriedade de dados, uma descrição dos
requisitos de retenção e requisitos de uso e proteção com
base no nível de classificação e requisitos legais.
ETAPA 2 Implementar
Procedimento de
Aprovação para Processar
Dados Pessoais
Há casos em que as organizações devem obter a aprovação
dos reguladores de privacidade e proteção de dados do país
antes de coletar e processar dados pessoais. Tal situação
poderá surgir quando as operações de processamento da
empresa específica apresentam riscos específicos aos
titulares de dados, tais como: processamento de dados;
processamento de dados pessoais para fins de avaliação de
aspectos pessoais do individual ou determinar a
elegibilidade do indivíduo para um direito, benefício ou
contrato; e coleta e processamento em grande escala (por
exemplo, Big Data) etc.
Cabe a empresa em questão determinar instâncias onde a
33
Desenvolvida com apoio da seguinte fonte de referência: KYRIAZOGLOU, John. Data Protection and Privacy Management System: Data Protection and Privacy Guide – Vol. I. Bookboon, 2016. (eBook).
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
45
aprovação é necessária, consultar o regulador nacional ou
europeu se não estiver claro se a aprovação é necessária e
documentar todo o processo de aprovação.
ETAPA 3 Registrar bancos de
dados de dados pessoais
Em determinados casos/jurisdições, é necessário que as
empresas notifiquem os órgãos reguladores de proteção de
dados e privacidade (nacionais, europeus) de seus bancos de
dados que contêm dados pessoais e o processamento
pretendido e registrá-los de acordo com as autoridades.
É a própria empresa que desenvolve procedimentos para
determinar quando a empresa deve registrar seus bancos de
dados, que informações incluir nos registros, como proceder
para registrar e documentar todo o processo de aprovação.
ETAPA 4 Desenvolver e
Implementar um Sistema
de Transferência de
Dados Transfronteiriço
O envio de dados para outro país, ainda que seja dentro da
própria corporação, aumenta consideravelmente os riscos e
a complexidade da gestão de dados. Por isso é preciso
desenvolver um fluxo específico para manter os registros do
mecanismo de transferência usado para fluxos de dados
internacionais (por exemplo, cláusulas contratuais padrão,
regras corporativas obrigatórias, aprovações de reguladores,
etc.).
Ainda neste sentido, é preciso manter a documentação
referente a todos os fluxos transfronteiriços, rastrear seu
uso e garantir a conformidade com mecanismos de
transferência internacional, tais como: Códigos corporativos
de conduta, tais como Regras corporativas vinculativas (BCR)
para cumprir as regras de transferência de dados; cláusulas
de modelo nos contratos; Aprovação de autoridade de
proteção de dados; e Confiança em qualquer isenção dos
requisitos de transferência estabelecidos em lei.
Importante pontuar que há cláusulas modelo para facilitar a
transferência de dados de um regime de proteção da
privacidade a um destinatário em um país que não fornece
proteções adequadas para dados pessoais criadas pelos
próprios governos que as exigem; cabe à empresa conferir o
padrão e adotá-lo ao processo. A aplicação de tais medidas é
obrigatória nesses casos.
Nas situações em que os mecanismos de transferência,
como Binding Corporate Rules (BCRs) ou modelos de
contratos não estão disponíveis, a empresa pode buscar a
aprovação da proteção de dados / privacidade regulador
para legitimar a transferência de dados. Ao transferir dados
confidenciais, como dados biométricos, a autorização do
regulador é sempre necessária.
ETAPA 5 Executar atividades de Cabe às organizações incluir a proteção de dados e
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
46
integração DP & P privacidade em todas as suas operações, executando as
tarefas em um conjunto específico de atividades de
integração que incorporam a proteção de dados e
privacidade em todos os seus aspectos.
São alguns exemplos: a retenção de registros corporativos;
contratação de pessoal corporativo; acesso ao site;
marketing digital; mídia social; dispositivos portáteis e
inteligentes; saúde e segurança; desenvolvimento de
sistemas e produtos, etc.
ETAPA 6 Executar o plano de
treinamento DP&P
A execução do plano de treinamento DP&P inclui: i) realizar
treinamento contínuo em privacidade e proteção de dados
para o DPO; ii) executar treinamento básico de privacidade
para a equipe; iii) Executar treinamento adicional em
privacidade para novas necessidades; iv) incluir treinamento
em privacidade e proteção de dados em outros
treinamentos corporativos; v) manter a conscientização da
proteção de dados; vi) manter a certificação profissional de
proteção de dados para o pessoal de privacidade; vii) medir
atividades de conscientização e treinamento sobre proteção
de dados.
ETAPA 7 Implementar controles de
segurança de dados
A implementação dos controles de segurança de dados
resumem-se em: i) incluir proteção de dados pessoais na
política de segurança corporativa; ii) incluir proteção de
dados pessoais na política de segurança da informação; iii)
incluir proteção de dados pessoais na política de uso
aceitável; iv) Incluir proteção de dados pessoais nas
Avaliações de Risco de Segurança; v) implementar os
controles de segurança técnica de TI; vi) implementar
controles de segurança de recursos humanos; vii) incluir
proteção de dados pessoais no planejamento de
continuidade de negócios; viii) desenvolver e implementar
uma estratégia de prevenção de perda de dados ; ix) realizar
testes regulares de segurança de dados; x) manter a
certificação de segurança.
Os principais produtos resultantes da FASE 3 são:
Produto 1: Sistema de Classificação de Dados Pessoais (etapa 1);
Produto 2: Procedimento para Aprovar o Processamento de Dados Pessoais (etapa 2);
Produto 3: Documento de registo de bases de dados pessoais (etapa 3);
Produto 4: Documento de registo de bases de dados pessoais (etapa 4);
Produto 5: Atividades de integração de DP & P executadas (etapa 5);
Produto 6: Atividades de treinamento em DP & P executadas (etapa 6);
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
47
Produto 7: Controles de segurança de dados implementados (etapa 7);
A principal meta desta fase é desenvolver e implementar um conjunto de medidas de
proteção de dados para controlar dados pessoais de maneira mais eficaz para sua empresa.
5.2.4 FASE 4: PROTEÇÃO DE DADOS E GOVERNANÇA DA PRIVACIDADE
Os objetivos centrais dessa fase são: i) projetar e configurar as estruturas de governança
de privacidade e proteção de dados (por exemplo, um programa de privacidade e proteção de
dados); ii) envolver e comprometer todas as partes envolvidas com a proteção de dados e
privacidade; iii) relatar continuamente todas as questões de proteção de dados e privacidade
de sua empresa ou organização.
A Fase 4 é organizada se acordo com as seguintes etapas e ações:
TABELA 12 – ETAPAS DA FASE 4: PROTEÇÃO DE DADOS E GOVERNANÇA DA PRIVACIDADE34
ETAPAS DA FASE 4: PROTEÇÃO DE DADOS E GOVERNANÇÃO DA PRIVACIDADE
ETAPAS AÇÕES COMO APLICAR?
ETAPA 1 Implementar práticas
para gerenciar os usos de
dados
O uso dos dados é modificado de acordo com o tipo de
informação ou situação com a qual se está lidando:
Dados Sensíveis: exigem um padrão mais elevado de
cuidado e proteção. São exemplos de "dado sensível":
opiniões políticas; origem racial ou étnica; dados relativos à
vida sexual; crenças religiosas ou filosóficas; filiação em
sindicato; informação de saúde física ou mental; bem-estar
social; informação financeira; identificadores nacionais ou
de outro governo, por ex. seguro Social; acusações criminais
ou condenações; biometria; dados genéticos; dados de
localização e dados referentes a crianças. O DPO deve
garantir seja possível adicionar a proteção necessária para
processar dados pessoais confidenciais/sensíveis
legalmente.
Processo Automatizado de Tomada de Decisões para Dados
Pessoais: as organizações devem ter mecanismos (práticas,
políticas e procedimentos) em vigor para avaliar a
importância de qualquer tomada de decisão automatizada
(se as decisões têm efeito legal ou significativo sobre o
indivíduo) e tomar medidas para introduzir um processo de
revisão manual onde decisões significativas estão sendo
tomadas. O DPO deve garantir que essas práticas sejam
implementadas integralmente para evitar os riscos
34
Desenvolvida com apoio da seguinte fonte de referência: KYRIAZOGLOU, John. Data Protection and Privacy Management System: Data Protection and Privacy Guide – Vol. I. Bookboon, 2016. (eBook).
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
48
potenciais de tomada de decisões automatizadas nesses
dados pessoais.
Usos Secundários de Dados Pessoais: é quando o uso dos
dados pela organização vai além da finalidade central
apontada e cabe a essas empresas lidar com situações em
que deseja usar os dados pessoais de maneiras que
divergem desses propósitos definidos. O DPO deve garantir
que essas práticas sejam implementadas integralmente para
evitar os riscos potenciais de processamento secundário não
autorizado nesses dados pessoais.
ETAPA 2 Manter avisos de
proteção de dados
As empresas mantêm avisos de privacidade e proteção de
dados para indivíduos de acordo com a política de proteção
de dados, requisitos legais e tolerância a riscos operacionais.
Esses avisos devem identificar: i) quais dados pessoais são
coletados?; ii) como os dados pessoais são coletados,
usados, mantidos, retidos e divulgados?; iii) que controle
específico os indivíduos cujos dados pessoais estão
envolvidos têm?
ETAPA 3 Executar um Plano de
Solicitações, Reclamações
e Retificação
Este plano de execução deverá conter:
i) procedimentos de acesso a dados pessoais;
ii) procedimentos de Reclamação de Dados Pessoais;
iii) Procedimentos de Retificação de Dados Pessoais;
iv) Procedimentos de Objeção de Dados Pessoais;
v) Procedimentos de Portabilidade de Dados Pessoais;
vi) Procedimentos de eliminação de dados pessoais;
vii) Procedimentos de Informação de Manipulação de Dados
Pessoais.
ETAPA 4 Executar uma avaliação
de risco de proteção de
dados
O programa de privacidade e proteção de dados deve ser
determinado pelos desafios e dados de conformidade legais
e regulamentares que podem ser afetados. Neste sentido o
DPO deve adotar um procedimento para conduzir uma
avaliação de risco organizacional de proteção de dados nas
unidades de negócios (incluindo TI, recursos humanos,
vendas, marketing, produção e desenvolvimento de
produtos, etc.).
Essa avaliação de risco é um pré-requisito para o
desenvolvimento de um Programa de Privacidade e
Proteção de Dados Organizacionais, no qual o Escritório de
Proteção e Privacidade cria e supervisiona a proteção
individual de dados e as autoavaliações de privacidade e
segurança, revisões de processos de negócios, melhorias de
processo, comunicações e treinamento, entre outros.
Esse processo permite que o DPO seja capaz de identificar e
priorizar as lacunas de privacidade e segurança da
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
49
organização de modo a gerir o plano de ação na busca da
mitigação dos riscos.
Também cabe ao DPO a garantir que que os riscos de
terceiros são geridos de maneira confiável e correta.
ETAPA 5 Emitir relatórios de
privacidade e proteção de
dados
É necessário que a empresa emita um relatório sobre o
status da proteção de dados e gerenciamento de
privacidade para as partes interessadas (por exemplo,
diretoria, gerência, acionistas).
Ao fazer isso, é essencial informar sobre proteção de dados
e privacidade de forma precisa, abrangente e eficiente. De
modo que os gestores garantam que o programa de
privacidade está focado em que a empresa atinja a
conformidade e reduza os riscos relacionadas com o
processamento de dados pessoais. Importante pontuar que
o status do programa também deve ser comunicado
internamente.
Através da realização de tais comunicados, é possível alinhar
a proteção de dados e a função de privacidade junto aos
objetivos da empresa, concentrando-se em como a
privacidade dá suporte aos resultados finais da organização,
destacando o status de conformidade com os requisitos
legais e regulamentares.
Também é preciso emitir um relatório externo – realizado
por auditorias, por exemplo – para as partes externas
interessas (como reguladores, clientes e terceiros). Desse
modo é possível publicizar as preocupações e
organizacionais na busca de um comportamento em
compliance com as regras em proteção e de dados.
ETAPA 6 Manter a documentação
de privacidade e proteção
de dados
Esta documentação deverá estar disponível aos reguladores
e autoridades dados, quando os mesmos solicitarem.
Interessante apontar, que essa documentação também
serve como evidência ao se candidatar a "marcas de
confiança", selos, BCRs, certificações e participação em
outros programas de auto-regulamentação.
ETAPA 7 Estabelecer e manter um
plano de resposta a
violações de dados
As funções da criação de um plano de resposta à violação de
dados:
i) Manter um procedimento de notificação de violação aos
indivíduos afetados;
ii) Relatar todos os incidentes de privacidade ou violações de
dados aos reguladores, agências de crédito, leis
autoridades competentes e outros terceiros externos em
tempo hábil, etc.;
iii) Registrar certos detalhes sobre incidentes de privacidade
ou violações de dados com a finalidade de cumprir com as
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
50
leis de notificação de violação, aderindo às melhores
práticas da indústria, e sendo capaz de demonstrar tal
conformidade no caso de uma ação judicial ou outro exame
regulamentar.
iv) Garantir que as notificações e relatórios de violação de
dados se alinhem com requisitos e melhores práticas.
v) Monitorar, documentar e relatar métricas de violação de
dados ou incidente de privacidade para que a eficácia das
políticas e procedimentos de resposta à violação de dados é
avaliada e o conselho de administração e a gerência estão
cientes de como as violações estão sendo tratadas e alocar
quaisquer novos recursos necessários para mitigar os riscos
específicos envolvidos;
vi) Realizar testes periódicos do incidente de privacidade ou
plano de resposta a violações;
vii) Contratar os serviços de um provedor de correção de
resposta à violação de dados para serviços que podem ser
necessários para responder a uma violação, incluindo a
prestação de: investigações; Operação de um call center;
Notificações de violação; Relações públicas Serviços;
Serviços de resolução de roubo de identidade, etc.;
viii) Obter cobertura de seguro a violações de dados
adequada para os custos associados com uma violação de
privacidade, como notificações de correspondência e
fornecimento de monitoramento de crédito ou outros
serviços ao consumidor para indivíduos afetados, custos de
ações judiciais, etc.
Os principais produtos resultantes da FASE 4 são:
Produto 1: Proteção de dados atualizada e estratégia de privacidade (etapa 1);
Produto 2: Política de proteção de dados (etapa 1);
Produto 3: Procedimento para manter avisos de privacidade e proteção de dados (etapa 2);
Produto 4: Plano de Solicitações, Reclamações e Retificação (etapa 3);
Produto 5: Processo de Avaliação de Risco de Proteção de Dados (etapa 4);
Produto 6: Plano de Gerenciamento de Riscos de Terceiros (etapa 4);
Produto 7: Relatório de proteção à privacidade (etapa 5);
Produto 8: Documentação de Proteção de Dados (etapa 6);
Produto 9: Plano de Resposta à Violação de Dados (etapa 7);
A principal meta desta fase é estabelecer as estruturas de governança de privacidade e
proteção de dados para melhor realizar a proteção de dados e gerenciamento de privacidade.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
51
5.2.5 FASE 5: AVALIAÇÃO E MELHORIA DAS MEDIDAS DE PROTEÇÃO À PRIVACIDADE E AOS DADOS
PESSOAIS
Os objetivos centrais dessa fase são: i) monitorar a operação e resolução de todos os
assuntos relacionados à privacidade; ii) avaliar regularmente se sua empresa ou organização
está em conformidade com as políticas internas de proteção de dados e privacidade e
processos operacionais; iii) melhorar suas medidas e controles de proteção e prevenção de
dados com base em auditorias e revisões internas e externas.
A Fase 5 é organizada de acordo com as seguintes etapas e ações:
TABELA 13 – ETAPAS DA FASE 5: AVALIAÇÃO E MELHORIA DAS MEDIDAS DE PROTEÇÃO À
PRIVACIDADE E AOS DADOS PESSOAIS35
ETAPAS DA FASE 5: AVALIAÇÃO E MELHORIA DAS MEDIDAS DE PROTEÇÃO À PRIVACIDADE E AOS
DADOS PESSOAIS
ETAPAS AÇÕES COMO APLICAR?
ETAPA 1 Realizar auditorias
internas de proteção de
dados
O departamento de Auditoria Interna deverá avaliar
regularmente se a organização está em conformidade com
as políticas internas de privacidade e proteção de dados e
processos operacionais. De modo que, os resultados dessas
auditorias e avaliações de privacidade devem informar e
orientar as decisões sobre privacidade para criar ou atualizar
políticas, projetar ou adaptar procedimentos, conduzir ou se
envolver em outras atividades para minimizar os riscos e
cumprir as normas internas ou externas.
ETAPA 2 Contratar uma parte
externa para executar a
Proteção de dados e
Avaliações de privacidade
A organização poderá solicitar que uma avaliação seja
executada por um provedor de serviços externo para validar
a conformidade com as políticas internas de privacidade e
com as políticas aplicáveis. Os resultados dessas avaliações
informam/permitem/orientam as decisões pela proteção de
dados e o DPO na criação ou atualização das políticas de
privacidade, projeção ou adaptação de procedimentos de
privacidade e proteção de dados, realização de treinamento
de privacidade ou o envolvimento em outras atividades para
garantir a conformidade com os requisitos de privacidade
internos ou externos.
ETAPA 3 Realizar avaliações de
privacidade e
benchmarks
O DPO deve seguir procedimentos para conduzir avaliações
de conformidade da unidade de negócios com as políticas de
privacidade periodicamente, mas sem aviso prévio. Além
disso, após um evento de privacidade (por exemplo,
violação, reclamação, consulta), o Privacy Office deve ter
35
Desenvolvida com apoio da seguinte fonte de referência: KYRIAZOGLOU, John. Data Protection and Privacy Management System: Data Protection and Privacy Guide – Vol. I. Bookboon, 2016. (eBook).
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
52
políticas e procedimentos para conduzir uma avaliação ad-
hoc da unidade de negócios, produto, serviço, sistema ou
processo que foi o assunto do evento com a finalidade de: i)
avaliar a conformidade com a privacidade; ii) determinar os
riscos de privacidade; iii) identificar quaisquer lacunas que
devam ser corrigidas.
ETAPA 4 Executar avaliações de
impacto de proteção de
dados
Empresas e organizações têm políticas, procedimentos e
práticas para determinar quando as avaliações de impacto
de privacidade (PIAs) ou avaliações de impacto de proteção
de dados (DPIAs) são necessárias como parte do processo de
desenvolvimento de novos programas, sistemas e processos
para garantir a privacidade. Também têm as políticas e
procedimentos correspondentes a seguir quando as
unidades operacionais propõem mudanças em seus
programas, sistemas existentes ou processos para assegurar
que a proteção de dados e os riscos à privacidade sejam
medidos, analisados e alternativas de proteção à privacidade
são consideradas. Este processo também pode contar com o
Princípios de Privacidade por Re-Design para garantir a
privacidade e proteção de dados é considerado em todos os
pontos do programa, desenvolvimento de sistemas e
processos.
Essas PIAs / DPIAs devem:
i) Analisar como programas, funções, sistemas e processos
coletam, usam, compartilham e manter dados pessoais para
garantir a conformidade com a privacidade / proteção de
dados aplicável leis e políticas;
ii) Determinar os riscos para os dados pessoais inerentes aos
programas, sistemas; funções;
projetos; e processos.
ETAPA 5 Resolver os riscos à
privacidade e proteção de
dados (Data Protection &
Privacy - DP&P)
A avaliação do impacto na privacidade ("PIAs") ou a
avaliação do impacto sobre a proteção de dados ("DPIAs")
precisam ser inseridas no planejamento das próximas etapas
de um sistema, processo ou projeto. Empresas e
organizações implementam um procedimento para:
i) Avaliar as questões identificadas na PIA / DPIA;
ii) Avaliar possíveis proteções e processos alternativos para
mitigar essas proteções de dados riscos identificados;
iii) Monitorar como as ações de mitigação de risco
escolhidas são implementadas.
ETAPA 6 Criar relatório de análise
e resultados de risco de
DP&P
Empresas e organizações devem relatar as análises e
resultados de risco de DP & P para os reguladores, quando
necessário, e para as partes interessadas (clientes,
funcionários, defensores da privacidade, etc.). Entre as
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
53
razões que justificam a situação há casos em que existe
riscos de privacidade que não podem ser mitigados por
meios razoáveis por parte da empresa, ou podem levar mais
tempo, etc. Estes relatórios são emitidos para o regulador
ou partes interessadas relevantes para que esses grupos
sejam informados dos riscos à privacidade e à proteção de
dados pessoais antes do lançamento de um novo produto de
privacidade, programa, sistema, processo ou a transferência
de dados pessoais para outra jurisdição, etc.
ETAPA 7 Monitorar as leis e
regulamentos de
privacidade e proteção de
dados pessoais
Uma vez ciente de uma proposta de nova proteção de dados
ou padrão de privacidade, lei, regulamento ou código, ou
emendas a estes, cabe às organizações:
i) Acompanhar o seu progresso e reporta às partes
interessadas apropriadas sobre o impacto o
desenvolvimento terá no programa de privacidade ou
atividades de negócios da organização que têm riscos de
privacidade;
ii) Procura um parecer do consultor jurídico da organização
(interno ou externo) sobre o impacto que essas novas
alterações terão no programa de privacidade ou negócios da
empresa atividades que têm riscos de privacidade;
iii) Manter-se informada de como os novos
desenvolvimentos nestes (leis e regulamentos, etc.)
manuseados, inclusive fazendo registros do que foi alterado
e por que, como bem como documentar decisões para não
implementar quaisquer alterações e a lógica por trás dessas
decisões.
Os principais produtos resultantes da FASE 5 são:
Produto 1: Relatório de auditoria interna de proteção de dados e privacidade (etapa 1);
Produto 2: Data protection and privacy eternal audit report (etapa 2);
Produto 3: Relatório de avaliação de privacidade ad hoc (etapa 3);
Produto 4: Relatório de autoavaliação de privacidade (etapa 3);
Produto 5: Relatório de referência de privacidade (etapa 3);
Produto 6: Relatório de Avaliação de Impacto de Proteção de Dados (etapa 4);
Produto 7: Relatório de Riscos Resolvidos de Privacidade e Proteção de Dados (etapa 5);
Produto 8: Relatório de Análise e Resultados de Risco DP & P (etapa 6);
Produto 9: Monitorando o Relatório de Leis de Privacidade (etapa 7);
A principal meta desta fase é auditar os aspectos de proteção de dados e privacidade de
sua empresa, de modo que você encontre as lacunas e erros nas medidas e controles
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
54
implementados relacionados à proteção de dados e privacidade e agende ações para melhorá-
los.
REFERÊNCIAS BIBLIOGRÁFICAS
ALVES, Carla Segala; VAINZOF, Rony. Privacy by design e proteção de dados pessoais. Jota, 2016. Disponível em:
https://www.jota.info/opiniao-e-analise/colunas/direito-digital/direito-digital-privacy-design-e-protecao-de-
dados-pessoais-06072016. Acesso em jan. 2019.
BOBBIO, Norberto. A Era dos Direitos. Tradução de Carlos Nelson Coutinho. Rio de Janeiro: Campus, 2010.
CENCE, Ivanise. A inocência potencializa o risco. Revista Fonte, a. 14, n. 18, dez, 2017. Disponível em: <
https://www.prodemge.gov.br/images/com_arismartbook/download/22/revista_18.pdf>. Acesso em mai 2018.
COELHO, Flávia E. S.; ARAÚJO, Luiz Geraldo S. de; BEZERRA, Edson Kowask. Gestão da Segurança da Informação:
NBR 27001 e NBR 27002. Rio de Janeiro: Escola Superior de Redes, 2014.
COMISSÃO EUROPEIA. Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que
determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE)
2016/679. 2017.
COMISSÃO EUROPEIA. Orientações encarregados da proteção de dados (EPD). 2017.
COMISSÃO EUROPEIA. Proteção de dados. Disponível em:
https://ec.europa.eu/justice/smedataprotect/index_pt.htm. Acesso em jan. 2019.
DAMA. DAMA – DMBOK: Data Management Body of Knowledge, second edition. Nova Jersey, Estados Unidos da
América: Techinics Publications, 2017.
FONTES, Edison. Políticas e normas para segurança da informação. Rio de Janeiro: Brasport, 2012.
GRANT THORNTON. Ataques cibernéticos causaram prejuízo de US$ 280 bilhões. 2017. Disponível em: <
https://www.grantthornton.com.br/grant-thornton-noticias/press-releases/2017/ataques-ciberneticos/>. Acesso
em mai 2018.
HONORATO, Eduardo. Cibersegurança: qual o risco mundial? Revista Fonte, a. 14, n. 18, dez, 2017. Disponível em:
< https://www.prodemge.gov.br/images/com_arismartbook/download/22/revista_18.pdf>. Acesso em mai 2018.
INTEL SECURITY; THE ASPEN INSTITUTE. Critical infrastructure readiness report. Holding the line against
cyberthreats. 2015. Disponível em: <
https://www.thehaguesecuritydelta.com/media/com_hsd/report/43/document/Critical-Infrastructure-Readiness-
Report---Holding-the-Line-against-Cyberthreats.pdf>. Acesso em mai 2018.
KYRIAZOGLOU, John. Data Protection and Privacy Management System: Data Protection and Privacy Guide – Vol.
I. Bookboon, 2016. (eBook).
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
55
LEPRONI, Paola. Gerenciamento de dados: gerencie seus dados como um recurso valioso. SAS, 2018. Disponível
em: https://www.sas.com/pt_br/insights/data-management/gerenciamento-de-dados.html. Acesso em jan. 2019.
MORAES, Henrique Fabretti. Proteção de dados pessoais: privacy by design e compliance. Legal, ethics &
Compliance, 2018. Disponível em: http://www.lecnews.com.br/blog/protecao-de-dados-pessoais-privacy-by-
design-e-compliance/. Acesso em jan. 2019.
PINHEIRO, Patricia Peck Garrido. Direito Digital. 6ª ed. São Paulo: Saraiva, 2016.
PINHEIRO, Patricia Peck. Privacidade e cibersegurança. 2018. Disponível em: https://lp.startse.com.br/wp-
content/uploads/2018/05/13-as-novas-tematicas-e-oportunidades-no-universo-juridico-patricia-peck.pdf. Acesso
em jan. 2019.
PINHEIRO, Patricia Peck Garrido. O Direito Internacional da Propriedade Intelectual Aplicado à Inteligência
Artificial. (Tese para doutoramento). São Paulo: USP - Faculdade de Direito, 2018. 316f.
PRICEWATERHOUSECOOPERS. The Global State of Information Security Survey 2017. PwC, out, 2016. Disponível
em: < https://www.pwc.com/gx/en/issues/information-security-survey/internet-of-things.html>. Acesso em abr
2018.
RÊGO, Bergson Lopes. Gestão de Dados: 10 questões básicas sobre o seu uso. DevMedia, 2014. Disponível em:
https://www.devmedia.com.br/gestao-de-dados-10-questoes-basicas-sobre-seu-uso/30076. Acesso em jan. 2019.
RIBEIRO, Gilmar. O dilema da proteção de informação nas organizações. Revista Fonte, a. 14, n. 18, dez, 2017.
Disponível em: < https://www.prodemge.gov.br/images/com_arismartbook/download/22/revista_18.pdf>. Acesso
em mai 2018.
SANTOS, Jánison Calixto dos; NASCIMENTO, Hugo A. D. do. Implantação de um Sistema de Gestão de Segurança
da Informação na UFG. In: WORKSHOP DE TECNOLOGIA DA INFORMAÇÃO DA UFES, 2, Gramado, Anais, 2008.
Disponível em: <
http://www.ufrgs.br/iiwtiifes/trabalhos/TRAB10943_CPE55410_40_Seguranca%20da%20InformacaoUFG.pdf>.
Acesso em mai 2018.
SYMANTEC. Relatório de Ameaças à Segurança da Internet. ISTR, v. 23, mar, 2018. Disponível em: <
http://images.mktgassets.symantec.com/Web/Symantec/%7B4367e625-7050-4087-b199-
9640c778699f%7D_ISTR23-FINAL_PT.pdf>. Acesso em mai 2018.
VILAS, Sara Marques. A implementação da gestão de risco operacional numa instituição financeira portuguesa
tendo como base a abordagem de mediação avançada: processo, desafios e oportunidades. 2015. (Dissertação
para Mestrado em Estatística e Gestão de Informação) Universidade Nova de Lisboa, Lisboa, 2015. [Orientador:
Prof. Dr. Rui Alexandre Henrique Gonçalves]. Disponível em:
<https://run.unl.pt/bitstream/10362/17370/1/TEGI0363.pdf>. Acesso em abr 2018.
WESTTERMAN, George; HUNTER, Richard. O risco de TI: convertendo ameaças aos negócios em vantagem
competitiva. São Paulo: M. Books do Brasil Editora Ltda, 2008.
Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com