View
219
Download
1
Category
Preview:
Citation preview
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
Beja, 11 de janeiro de 2018
Filipe Pereira | LCG Consulting
Novo Regulamento l Obrigações e Boas Práticas
filipe.pereira@lcg.consulting
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
Conferências
Estudo PMEs
Seminários
Sessões de formação
PROGRAMA
1. Inquérito às PMEs para Aferição do Estado de Preparação2. Tratamento e Proteção de Dados3. O novo Regulamento Geral de Proteção de Dados 4. Realidade Empresarial5. Segurança e Privacidade de Dados e de Informação6. Boas práticas
7. Portugal2020 | Instrumentos de Apoio
4
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
Caracterização do estado atual das empresas e dos seus profissionais ao nível deconhecimento sobre o RGPD e preparação para implementar as suasdirectrizes.
➢Realização do inquérito: Março de 2017;
➢ Inquérito com 21 questões, enviado para cerca de 20.000 entidades;
➢Aproximadamente 1800 respostas de profissionais, representando mais de1600 empresas
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
A sua empresa tem conhecimento sobre o novo Regulamento Geral de Proteção de Dados aprovado pelo Parlamento Europeu em maio de 2016?
➢Apenas 4,8% das empresas conhecem detalhadamente o RGPD e as principais obrigações;
➢38% não conhece o regulamento ou não sabe se a sua empresa conhece;
➢48% diz conhecer o RGPD mas desconhecer os detalhes;
➢Das empresas com mais de 250 colaboradores, 30% afirmam conhecer bem o regulamento.
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
Conhece as penalidades no caso de incumprimento do RGPD?
Considera que a sua organização sofreria uma penalização financeira se o RGPD fosse hoje aplicado?
42% afirmamdesconhecerpor completo
35% afirmamdesconheceros detalhes
77%
afirmam não saber se seriam penalizadas financeiramente
têm consciência de que não cumprem e sofreriam penalizações
aparentam estar convictas de que não seriam penalizadas
47%
2%
19%
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
➢Apenas 3% afirmam ter este plano;
➢Há ainda cerca de 14% que afirmam ter apenas ações pontuais em áreas específicas.
A sua organização tem um plano a decorrer para garantir conformidade com o RGPD em Maio 2018?
➢Apenas 6% das empresas afirmam que não estarão preparadas para o RGPD;
➢Mais de 22% afirmam que vão estar totalmente preparadas. No entanto, mais de 1/5 destas afirma não ter qualquer plano em curso para garantir esta conformidade.
A sua organização vai estar totalmente preparada para o RGPD em Maio de 2018?
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
Quais os motivos mais relevantes para o programa de privacidade de dados da organização?
➢A Salvaguarda de dados contra ameaças e ataques externos (43%);
➢ “Decisão ética quanto ao tratamento de dados pessoais” (34%);
➢ “A minha empresa não tem programa de privacidade de dados” (28%);
➢ “Manter ou aumentar o valor da informação” foi o factor menos selecionado (15%).
➢ A organização não tem programa de privacidade de dados (31,9%);
➢ Salvaguarda de dados contra ameaças e ataques externos (31,1%);
➢ Informação e formação aos colaboradores sobre o RGPD e impacto (30,8%).
Quais as áreas que considera necessitarem de maior intervenção?
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
Principais observações
➢O nível de desconhecimento sobre o RGPD, sobre as suas principais directrizes e as suas implicações é significativo.
➢Este fenómeno é mais acentuado nas empresas mais pequenas, sendo que nas grandes existe uma maior consciência, preparação e proactividade para tomar as acções necessárias ao compliance.
➢Há uma necessidade premente de consciencialização e formação das empresas.
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
11
Tratamento e Proteção de Dados:
As obrigações das organizações no âmbito do novo
Regulamento Geral de Proteção de Dados (RGPD)
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
12
Reforço dos direitos dos cidadãos como titulares dos dados;
Novas obrigações para empresas;
Extensão do âmbito de aplicação;
Orientações, regulação e aplicação efetiva de coimas;
Principais alterações
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
13
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
Enquadramento | O Impacto da Privacidade de dados
2016State Fishing And Hunting License Sites USA
Foi identificado acesso a informação a mais de 6 milhões de pessoas
2013 e 2014Yahoo estava no processo de compra pela Verizon e foram roubados mais de 500 Milhões de dados de utilizadores de contas com prejuízo estimado em 1 Bilião de USD na venda da empresa
2016Departamento de Justiça U.S.
Os hackers divulgaram dados sobre 10.000 funcionários do Departamento de Segurança Interna num dia e, no dia seguinte, divulgaram dados sobre 20.000 funcionários do FBI. As informações roubadas incluíam nomes, títulos, números de telefone e endereços de e-mail
2016Apple Outubro 2016 Empregados da Apple despedidos por partilharem fotos de telemóveis de clientes
2015Anthem e Premera
Duas principais seguradoras de saúde,, foram “hackeadas”, provavelmente pelo mesmo ator, resultando no maior roubo de registos médicos até a data
2016Hewlett PackardEnterprise Services
Roubaram informações de nomes e números de Segurança Social de mais de 134.000 funcionários atuais e ex-funcionários da Marinha
2017• Disney 15 de Maio
Ataque informático roubou filme da Disney Pirata das caraíbas. Hackers pediram resgate!
• Wanna Cry/Petya
Ataques Globais com impactos ainda não estimados
• Eventos RGPD
2018
14
Target foi alvo de uma acção colectiva por comprometimento de dados de clientes e pagou 10 milhões de USD para resolver o caso fora dos tribunais.
Empresas parceiras lesadas avançaram com litígio e a TARGET procedeu a novo acordo, por 20 milhões de USD.
Neiman Marcus teve que pagar 1.6 milhões de USD como parte de um acordo por fuga de informação referente a cartões de crédito de 350 mil clientes.
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
15
Dados “associados com pelo menos 500 milhões de contas " foram roubados.
Verizon renegociou o preço de aquisição que estava em 4.8 mil milhões USD.
Analistas apontaram como possível a redução do valor em 200 milhões de USD. Três anos depois, a redução foi de quase mil milhões USD.
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
17
Apple: ”...We are investigating aviolation of Apple’s businessconduct policy at our store inCarindale, where severalemployees have already beenterminated as a result of ourfindings."
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
18
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
• Cidadão encontrou os dados numa pesquisa em motor de busca e considerou-os de potencial risco;
• Autarquia multada em 70.000 £ pelo ICO pela disponibilização de informaçãopessoal sem controlo;
20
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
"Spain’s AEPD said an investigation into how Facebook collects, stores and uses data for advertising purposes found it is doing so without obtaining adequate user consent."
Facebook multado em 1.2 M€ por três irregularidades (20/09/2017)
21
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
http://breachlevelindex.com/
22
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
- Publicados acidentalmente
- Erros de configuração
- Hacking
- Inside job
- Leak
- Dispositivo perdido/roubado
- Fraca segurança
Nº de registos de dados violados
desde 2004:
5.300.000.000
23
Dados pessoaisQuaisquer informações relativas a uma pessoa individual identificada ou identificável através das mesmas (designadamente, «por referência a um
número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social»).
A recolha e tratamento é apenas admissível em caso de consentimento ou seguintes finalidades:
— execução de contratos (ex. comunicar valor do rendimento anual a um banco para obtenção de empréstimo);
— cumprimento de obrigação legal (ex. fornecer dados a autoridades no contexto de um processo penal);
— proteção de interesses vitais do titular, se estiver física ou legalmente incapaz de dar o seu consentimento;
— execução de uma missão de interesse público ou no exercício de autoridade pública;
— prossecução de interesses legítimos (ex. dados clínicos, para se accionar responsáveis por doença ou morte).
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
Exemplos: Identitidade / Estado Civil, Vida pessoal, Vida Profissional, Informaçãoeconómica e Financeira, Localização, Dados de Conectividade e Dispositivos;
24
Dados pessoais sensíveisCategorias Especiais de Dados Pessoais
(lista completa de acordo com o RGPD)
Dados Pessoais reveladores de raça ou origem étnica;
Dados Pessoais reveladores de opiniões políticas;
Dados Pessoais reveladores de crenças religiosas ou filosóficas;
Dados Pessoais reveladores de atividade sindical;
Dados Genéticos e Biométricos;
Dados Clínicos;
Dados relativos à vida ou orientação sexual do indivíduo;
Dados Pessoais relativos a registo criminal;
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
25
Dados pessoais sensíveisOutros Dados Pessoais Sensíveis
Número de Identificação do País (Cartão do Cidadão, Segurança Social,Identificação Fiscal);
Outros números de identificação emitidos pelo Estado como carta de conduçãoou passaporte;
Número de conta bancária;
Número de cartão de crédito/débito e informação referente a créditos;
Data de Nascimento, quando o ano é incluído;
Subsídios ou benefícios sociais ou outra assistência social recebida.
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
26
Nunca é demais relembrar
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
O tratamento dos dados pessoais é concebido para servir as pessoas;
Os dados pertencem aos seus titulares;
Sistema atual centrado no prestador de serviço sistema centrado no indivíduo;
Uma realidade na qual as pessoas gerem/controlam a sua própria identidade
online;
Proteção contra tratamento ilícito de dados e técnicas intrusivas de
seguimento/profiling;
Regras para maior transparência e direitos dos cidadãos.
27
Novo Regulamento Geral de Proteção de
Dados (RGPD)
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
28
Evolução Legislativa
1970
Criada a primeira lei de proteção de dados do mundo, em Hessen,
Alemanha.
1981
Convenção nº 108 do Conselho da Europa, sobre proteção individual e
processamento automatizado de dados pessoais
1991
Entra em vigor a Lei nº 10/91, de 29 de Abril, primeira lei portuguesa de
proteção de dados pessoais.
1995
Criada a Diretiva Europeia de Proteção de Dados como elemento
essencial da Lei Europeia de DireitosHumanos e Privacidade.
2012
A Comissão Europeia propõe extensareforma do regulamento de 1995 para
reforçar privacidade de dados e fomentar a economia digital.
2015
Após 3 anos de negociação, o Parlamento Europeu e o Conselho
da Europa chegam a acordo sobre a versão final do RGPD para votação.
2016
A versão final do Regulamento é formalmente
adotada em Abril de 2016.
Globalização e o progresso tecnológico transformam profundamente a forma como os dados são recolhidos, acedidos e utilizados.
O RGPD substitui a Diretiva Geral de Proteção de Dados de 1995 e tem aplicação direta sobre todos os estados membros.
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
29
Contexto Nacional
Artigo 35º da Constituição da República Portuguesa – utilização da informática;
Lei 67/98 – Lei da proteção de Dados Pessoais;
Lei 103/2015 – adita o artigo 45º-A - A Inserção de dados falsos - à Lei 67/98;
Lei 2/94 – mecanismos de controlo e fiscalização do Sistema de Informação Schengen;
Lei 68/98 – entidade nacional na Instância Comum de Controlo da EUROPOL;
Lei 36/2003 – regula o estatuto e competências do membro nacional da EUROJUST;
Lei 43/2004 – Lei da organização e funcionamento da CNPD.
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
30
Contexto Europeu e Transcontinental
Regulamento (UE) 2016/679 do Parlamento e do Conselho revoga a Diretiva 95/46/CE;
Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (relativa ao tratamentode dados pessoais pelas autoridades no âmbito de infrações penais ou execução desanções penais, e à circulação desses dados);
Diretiva (UE) 2016/681 do Parlamento Europeu e do Conselho, (relativa à utilização dosdados dos registos de identificação dos passageiros [PNR] no âmbito do combate àsinfrações terroristas e criminalidade grave);
Criação do Comité Europeu de Proteção de Dados composto por representantes dasautoridades de controlo de cada Estado-Membro;
Alteração dos acordos de transferência de dados (acórdão Schrems): Safe Harbor Privacy Shield Em definição.
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
31
Âmbito e ObrigaçõesO Quê – Novo Regulamento Europeu de Proteção de Dados (RGPD), publicado a 25 Maio 2016, relativo à proteção das pessoas físicas no que respeita ao tratamento dos dados pessoais e à livre circulação destes;
Porquê – O Novo Regulamento Geral de Proteção de Dados reforça os direitos individuais de proteção de dados, facilita a livre circulação de dados pessoais no mercado único digital e reduz a carga administrativa associada.
Quem – Todas as empresas que tratem de dados pessoais, i.e. que realizem operações com dados de pessoas singulares. As alterações afetam também as empresas que façam negócio com cidadãos da UE, mesmo que sediados fora da união;
Quando – Aplicável a partir de 25 Maio 2018. Após esta data o novo regulamento tem aplicação direta a todas as entidades públicas e privadas que tratem dados pessoais;
Onde – Em todo o território da União Europeia, sem necessidade de ser incorporado pelo ordenamento jurídico de cada estado membro. Empresa estabelecida fora do espaço da UE com prestação de serviços a cidadãos europeus;
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
32
Uma oportunidade para entregar mais valor para o cliente
• 50% dos consumidores Alemães só partilha dados com empresas em que confiam (1).
• 2/3 dos consumidores globais estão disponíveis para partilhar dados pessoais com as empresas se tiverem como contrapartida um serviço
personalizado (2)
(1) Ponemon Institute(2) Forrester Consulting
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
33
Uma dimensão estratégica
Confiança dos
clientes
Diferenciação no mercado
Informação sobre os clientes
Personalização dos seus
produtos e serviços
Entrega de valor no
produto ou serviço
A proteção de dados não é apenas uma questão de conformidade
É uma forma de obter vantagens competitivas no mercado
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
34
• Direito à portabilidade dos dados (entre prestadores de serviços): “O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento” (Artigo 20º, secção 3);
• Direito ao esquecimento: o titular tem o direito a requerer a eliminação de seus dados e rasto electrónico na web. As empresas têm necessariamente que salvaguardar o ciclo de vida dos dados (Classificar / Localizar / Eliminar / Notificar)
• Direito à oposição a profiling, ou seja qualquer forma automatizada de processamento de informação pessoal, com o objetivo de avaliar e tipificar indivíduos com base nos seus dados pessoais
Direitosdos
titularesdos dados
Âmbito e Obrigações
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
35
• Deveres de accountability;
• Reforço da segurança dos dados na componente técnica dos sistemas;
• Realização de Privacy Impact Assessments;
• Notificação obrigatória de data breaches em 72h;
• Nomeação de DPO, envolvido em todas as “questões relacionadas com a proteção de dados pessoais” (Artigo 32º, secção 3).
Obrigaçõesdas
Empresas
Âmbito e Obrigações
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
36
Responsáveis pelo tratamento de dados dentro e fora da UE. As alterações afetam também as empresas que façam negócio com cidadãos da UE, mesmo que sediados fora da união;
Em caso de data breach, a responsabilidade recai sobre:• Os processadores perante os controladores;• Os controladores perante a autoridade;• Os controladores perante os titulares.
Controller + Processor(subcontratados)
Extensãodo âmbito
de aplicação
Âmbito e Obrigações
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
37
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;• Medidas organizativas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do volume de negócios anual;
Class actions: Representadas por terceiros e indeminização por danos morais e não apenas materiais;
Novasorientações
Âmbito e Obrigações
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
38
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
39
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
40
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Novas Orientações – Processamento de Dados
O processamento é lícito apenas se e na medida em que pelo menos uma das seguintescondições se verificar:
• Consentimento: a pessoa em causa tenha dado o seu consentimento para oprocessamento de dados pessoais;
• Contrato: necessário para desempenho de contrato;
• Obrigação legal: necessário para cumprir obrigação legal;
• Interesse público ou no exercício de autoridade pública;
• Interesse vital: necessário para proteger os interesses vitais da pessoa em causa;
• Interesse legítimo: necessário para fins e interesses legítimos do responsável.
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
41
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Novas Orientações - Consentimento
Especificamente dado para o tratamento de dados, com especial cuidado aos menores:
Exigido consentimento prévio do titular de dados, de forma clara e inequívoca;
Tem que ser livre, específico e informado;
A sua recusa não pode ter impacto discriminatório;
É possível revogá-lo (salvo necessidades comerciais ou legais, em contrato);
Exemplo de insuficiência
Consentimento no registo de cliente mas falta de consentimento para Mkt ou CRM;
Forma e circunstâncias de obtenção, com base legal para tratamento de dados pessoais;
O consentimento obtido pelo responsável pelo tratamento respeita as novas exigências;
Obter novo consentimento dos titulares em conformidade com as disposições do RGPD;
Particular atenção no consentimento dos menores ou representantes legais;
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
42
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
Consentimento – Do(s) and Don’t(s)
O que é aceitável nos termos do RGPD
• Clicar numa check-box não preenchida;
• Consentimento expresso (declarações afirmativas expressas);
• A assinatura em como dá o seu consentimento.
O que não é aceitável nos termos do RGPD
• Check-boxes pré-preenchidas;
• Consentimento dado através de uma não-ação;
• Consentimentos tácitos.
44
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Novas Orientações – Privacy by Design e Privacy by Default
• Privacy by default: limitar recolha ao estritamente necessário garantindo a privacidade;
• Privacy by design: parte integrante de todos os projetos, produtos, tecnologia,operações e arquitetura de sistemas;
Avaliar rigorosamente o tipo de tratamento de dados que serão executados;
Analisar a natureza, contexto e potenciais riscos para os titulares dos dados;
Aplicar com eficácia os princípios da proteção de dados desde a conceção e por defeito.
• Algumas das medidas ajustadas:
Pseudonimização;
Minimização dos dados;
Cumprimento dos prazos de conservação da informação;
Acessibilidade dos dados;
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
45
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Principais Alterações na Legislação
Definição de dados pessoais (clarificação e inclusão de dados genéticos e biométricos);
Aplica-se a cidadãos na EU*, mesmo se quem os processa esteja fora da UE;
Eliminação da necessidade de pedido de autorização prévia;
Direitos: Esquecimento, Portabilidade de Dados e Oposição a Profiling;
Transparência das políticas de privacidade e consentimento expresso;
Privacidade desde a concepção e por defeito (privacy by design/privacy by default);
Encarregado de Proteção de Dados (Data Protection Officer);
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
* O data subject é ainda uma matéria que requer esclarecimento – o texto não é claro.
46
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Principais Alterações na Legislação
Alargar o âmbito a entidades terceiras (data controllers e data processors);
Registo de Actividade de Tratamento;
Reforço de políticas e procedimentos de segurança (pseudonimização e cifragem);
Procedimentos em caso de violação de dados (notificar autoridades/titulares em 72h);
Códigos de conduta e certificação;
Balcão Único (One Stop Shop), Cooperação Internacional e Comité Europeu;
Representação do titular dos dados para apresentar reclamação em seu nome;
Regime sancionatório mais rígido;
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
47
2 semanas 2 semanas2 semanasRevisão das componentes jurídica, processual e tecnológicaA análise do nível de preparação para o novo regulamento implica uma revisão das três componentes.
1. Avaliação da licitude do tratamento de dados;2. Salvaguarda dos direitos dos titulares dos dados;3. Adequação contratual com clientes e subcontratados;4. Garantia de cumprimento de acordo com a legislação.
ComponenteJurídica
1. Identificação, recolha, processamento e armazenamento;2. Manuais de políticas e processos de processamento de dados;3. Estabelecimento de procedimento de notificação;4. Identificação inequívoca de responsabilidades.
ComponenteProcessual
1. Segurança e confidencialidade de dados pessoais;2. Governance de partilha e acesso dos dados;3. Autenticação e rastreio de utilizadores;4. Privacy by Default e Privacy by Design
ComponenteTecnológica
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
48
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Realidade Empresarial
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
49
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Realidade Empresarial - vulnerabilidade
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
As empresas converteram-se nos principais alvos dos hackers;
É desvalorizado o risco de ser vítima de ataque;
Incapacidade de medir, avaliar e mitigar os riscos de segurança;
Inexistência de uma estratégia de segurança da informação;
Sensibilização e formação quase nula ou inexistente;
Poucos recursos para dedicar à segurança da informação;
Retorno do investimento “não visível”.
50
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Contexto Empresarial
Eurobarómetro Especial 359
Attitudes on Data Protection and Electronic Identity in the European Union [Atitudes em relação à
proteção de dados e à identidade eletrónica na União Europeia], junho de 2011
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
• Operações Globais
• Dados transacionais vs Data Warehouses
• Servidores on-premises vs Cloud
• Captura de dados vs. Processamento de dados
Autoridades e instituições merecem mais confiança do que as empresas:
A maioria entende que estariam mais protegidos se as empresas foremobrigadas a ter um responsável pela proteção de dados (88%);
70% receia utilização de dados para finalidades diferentes da recolha;
Violação de regras deve ser multada (51%), as empresas proibidas de utilizaresses dados (40%) ou obrigadas a compensar as vítimas (39%);
51
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Casos Práticos (retirados do Manual Proteus – APAV)
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
Um funcionário de um banco, com acesso a homebanking de cliente, vendeos dados a criminosos que transferemdinheiro.
Titular pesquisa sobre antivírusna internet e nos resultadosencontra uma página dúbia. Fechou e continuou a suaatividade normal, procedendo a pagamentos online. Mais tardedeparou-se com ausência de dinheiro.
52
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Casos Práticos (retirados do Manual Proteus – APAV)
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
Colaborador recebeu email de spam, emnome do webmail para atualização da password. Colegas de trabalhocomeçaram a receber mensagens de correio eletrónico em que o colaboradorlhes pedia ajuda financeira.
Titular recebe email de spam, em nomedo webmail para atualização da password e introduz os dados dandoacesso a informação. É contactada porcompanhias de crédito para confirmarcandidaturas, sendo declinadas. Quandopediu empréstimo, foi recusado devidoàs candidaturas existentes em seu nome.
53
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Impacto específico na gestão de RH
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
Recrutamento e Selecção | Formação | Processamento de salários | Avaliações de desempenho | Sanções disciplinares | Atestados médicos | Medicina no Trabalho | Teletrabalho | Videovigilância | Controlo de utilização de dispositivos | Controlo de
consumo de substâncias psicoativas | Dados biométricos | Geolocalização de viaturas… entre outras.
Riscos: utilização indevida; perda; divulgação; destruição;
Exemplos:
Falta de controle de acesso físico à documentação (porta aberta);
Falhas na destruição de documentação/dados (paper schreders, discos);
Perda ou extravio de um computador;
Furto de um telemóvel ou ligação a rede não protegida (ex. aeroportos, hotéis);
54
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Desafios na gestão de RH
• Implementação de programas de gestão da mudança, com sessões de awareness eformação para colaboradores e parceiros;
• Garantir controlo de acessos à documentação e destruição de documentação e dadosquando não necessários;
• Políticas de utilização de dispositivos (ex. smartphones/tablets/laptops, webmail),salvaguardando a segurança de acesso aos dados corporativos, bem como aprivacidade de dados pessoais;
• Equilíbrio entre privacidade de dados dos trabalhadores e prerrogativa dosempregadores em casos mais delicados (ex. câmaras de vigilância, geolocalização,utilização de internet, email e redes sociais).
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
55
Impacto noutras unidades e processos (exemplos)
• O processo de “esquecimento” tem que estar tão disponível como o de registo;
• Falta mapeamento do fluxo de informação e análise do impacto na privacidade;
• Documentação incompleta sobre recolha/manutenção processual de metadata;
• Consentimento para recolha de dados no registo enquanto cliente mas ausência deconsentimento para efeitos de Marketing, CRM ou de cedência a terceiros;
• Omissão dos responsáveis pelo processamento de dados em todas as suas etapas;
• Faltam mecanismos de notificação/comunicação, em 72h, para fugas de informação;
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
56
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Impacto noutras unidades e processos (exemplos)
• Vulnerabilidade do sistema a ataques externos nos terminais móveis (telemóvel/laptop);
• Falta de atualização de software e utilização de software não suportado (End of Life, Endof Support) instalado pelo colaborador;
• Falta de granularização de acessos lógicos não permite o rastreio de quem acedeu a quedados, quando e de que localização/terminal;
• Arquitecturas de segurança de rede sólida e ao nível do sistema operativo para anularvulnerabilidade; Reduzir/anular a utilização de software não suportado;
• Necessário efetuar testes de intrusão e sistemas de vulnerability scanning bem comodefinir políticas de backup & restore e de Disaster Recovery;
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
57
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Segurança e Privacidade
de Dados e Informação
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
58
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
Diz o regulamento…
… tomar as medidas técnicas e organizativas necessárias para assegurar,
relativamente ao tratamento em questão, a aplicação do presente regulamento…
…adoção de medidas razoáveis, incluindo a aplicação de medidas técnicas…
…deverá adotar as medidas que se afigurarem razoáveis, tendo em conta a tecnologia
disponível e os meios ao seu dispor, incluindo medidas técnicas…
Garantir
• “Privacy by Design”
• “Privacy by Default”
Security by Design
segurança desde a concepção
59
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
O que é a Segurança
Temos que tomar decisões
compromisso/compensação
(componente económica)
Respondemos à sensação de segurança,
não à realidade.
Sensação de segurança = realidade.
Não existe certo ou erradoA pergunta que fazemos não é se essas
decisões fazem com que estejamos mais
seguros, mas se vale a pena o compromisso.Sensação Realidade
60
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
Pessoas
Processos Tecnologia
Legal
Processual Tecnológica
RGPD
Integridade
Disponibilidade Confidencialidade
61
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
“privacy by design” e “privacy by default”
Implica a necessidade de:
• Alteração nos requisitos técnicos e organizativos;
• Impacto na arquitectura dos Sistemas de Informação;
• Impacto no ciclo de vida dos projetos;
• Controlos adicionais;
• Auditorias de conformidade;
• Cláusulas contratuais para serviços externalizados.
62
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Rede ServidoresBases de Dados
Aplicações Utilizadores
Segurança Segurança e Privacidade
Segurança e Privacidade
Hoje
Amanhã
Macro
Micro
Foco: consciencializar para políticas de segurança e privacidade nascamadas de suporte às operações do negócio negligenciadas.Enquadramento
Redes
Empresariais
Operadoras
MóveisInternetCloud
PCs FixosPOS (Point of
Sale)
Computadores
Portáteis
Mobilidade
(telemóveis,
tablets, relógios)
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
63
Falhas de segurança mais comuns
Políticas de Segurança, Privacidade e Governance definidas, mas não implementadas
Falta de updates e utilização de software não suportado (End of Life, End of Support)
Emails corporativos: Acessíveis com um click nos dispositivos móveis; semtemporizador para logout; Usados para aceder às redes sociais
Falta de controles de acesso físico; Falhas na destruição de documentação e dados; cartões de acesso ao edifício; dossiers e tapes não controladas e disponíveis; localizaçãode servidores;
Localização activa nos dispositivos móveis e fixos
Falta de granularização de acessos lógicos: Bases de dados com acesso de administrador; acessos disponibilizados a empresas subcontratadas para manutenção da aplicação.
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
64
Hoje
Arquitecturas de segurança de rede sólida
Servidores locais vs. redes cloud
Segurança ao nível do sistema operativo
Data Centers controlados
Implementação de Segurança aplicacional
Disclaimer de Privacidade
Software updates
Testes de Intrusão e sistemas de Vulnerability scanning
Políticas de Backup & Restore e de Disaster Recovery
Controle de acessos de utilizadores granularizado
Políticas de protecção
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
65
Amanhã
Informar, consciencalizar e alterar políticas de RH
Definir e implementar Políticas de Segurança e Privacidade
Validação de iniciativa de negócio pelo DPO e pelo CISO
Auditorias internas periódicas a cargo do Compliance
Sessões de formação e awareness para staff e utilizadores
Biometria e protocolos de transferência de dados
Implementar modelos de Least Privileged
Reduzir/anular a utilização de software não suportado.
Colaboração Com./Mkt, IT, RH, Legal e Fornecedores
Políticas de protecção
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
66
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Boas Práticas
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
67
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Desenvolver um Programa de Conformidade
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
68
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Boas práticas
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
• Nova mentalidade sobre a segurança da informação se as organizações pretendemmanter-se preparadas e um passo à frente dos hackers, sendo mais eficazes naproteção contra fugas de informação;
• O correto mapeamento de riscos e desafios na gestão interna da privacidade dedados, permite aproveitar oportunidades e desenvolver sinergias entredepartamentos;
• A integração do diagnóstico de privacidade de dados com outras iniciativas deauditoria interna e de certificação de processos, permite reduzir custos associados;
• Processo de validação de projetos pelo DPO e pelo CISO/CIO;
• Manuais, códigos de conduta e regimes de certificação;
69
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Desenvolver um Programa de Conformidade
➢ Realizar diagnóstico das dimensões jurídica, processual e tecnológica para identificarpontos de não-cumprimento e as necessárias alterações:
➢ Revisão contratual que identifique as componentes de consentimento, transparência,responsabilidade e proteção de dados;
➢ Revisão das políticas, processos e responsabilidades que respondem às condiçõesexigíveis para a disponibilização de dados pessoais;
➢ Mapeamento de procedimentos de recolha/tratamento/eliminação de dados pessoais;
➢ Definição de processos de notificação à autoridade e titulares dos dados no caso deacesso indevido ou de fuga de informação;
➢ Revisão da política de segurança, através de mecanismos de autenticação, gestão deperfis de acesso, configuração de plataformas e dispositivos, confidencialidade dastransmissões de dados e o registo dos acessos;
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
70
Nomear encarregado de proteção de dados / DPO
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
Obrigatoriedade
Autoridade ou Organismo Público;
Operações com controle regular, processamento em grande escala ou dados sensíveis;
Quando já obrigados por lei nacional (ex. Alemanha);
Tarefas
Aconselha a organização, subcontratado e colaboradores;
Aconselha nas avaliações de impacto e avalia riscos;
Controla conformidade e coopera com entidades de controlo (ponto de contacto);
Características
Conhecimentos especializados de legislação e práticas de proteção de dados;
Implementação de uma estratégia de proteção de dados;
Desafios
Conhecer a estrutura da empresa e consciencializar stakeholders relevantes;
Implementar a privacidade desde a conceção, por defeito e garantir avaliações de impacto
71
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Gerir violações de informação e fugas de dados
Garantir existência de rastreio de acessos à informação e registo de atividade;
Mecanismos de bloqueio e “wipe out” de dispositivos comprometidos;
Identificar especificamente quaisquer dados impactados;
Mecanismos de notificação e comunicação à autoridade e titulares dos dados, em 72h;
Plano comunicacional de gestão de crises para mitigar risco reputacional;
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
72
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Implementar ações de sensibilização e formação
Programa efetivo de gestão da mudança;
Realização de ações de conscencialização e formação dos colaboradores;
Reforço dos códigos de conduta e manuais de procedimentos e processos;
Sensibilizar os colaboradores para a necessidade de proteger os dados pessoais erespeitar a privacidade de cada um;
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
73
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
• Mapeamento dos dados pessoais e atividades de processamento;
• Identificação de pontos de conformidade e não-conformidade com o RGPD;
• Relatório de PIA (análise de impacto de risco);
• Plano de implementação de ações de melhoria e medidascorrectivas;
74
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
Abordagem que permita um entendimento 360º do estado atual da privacidade de dados na sua organização, o nível de conformidade com o RGPD e a identificação das medidas a implementar
1 - Diagnósticopara avaliação
do nível de conformidade
2 -Implementaçãode políticas, de processos e de
acçõescorrectivas
3 - Avaliações e auditoriasperiódicas
0 - Sessão de awareness e
sensibilização da
administração e quadros
executivos
75
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
Levantamento de Informação:
76
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
Foram analisadas 118 instâncias para 77 áreas de abrangência do RGPD:• 68 das áreas demonstram uma ou
mais instâncias de não-conformidade;• 50 das áreas demonstram uma ou
mais instâncias de conformidade;
77
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
Para o cálculo e quantificação do risco contribuem:
1. as ameaças identificadas;
2. o impacto da ameaça na integridade dos dados;
3. o nível de severidade atribuído ao impacto;
4. e a probabilidade de que a ameaça se concretize.
“… as organizações que• Forem transparentes sobre a
informação que recolhem, • Permitam acesso e controlo dos dados
pessoais aos seus titulares, • E ofereçam um valor justo e adequado
pelo serviço, …
…serão alvo de confiança e conquistarão cada vez mais credibilidade e acesso aos seus clientes.
Aqueles que• Escondem a forma como usam dados
pessoais,• E não providenciam valor adicional
após tratamento dos dados, arriscam-se a perder a boa-vontade dos clientes – e o seu negócio.…”
May 2015, Harvard Business Review
84
• Consentimento claro e expresso;
• Medidas técnicas adequadas – segurança de sistemas;
• Medidas organizaivas adequadas – políticas e processos internos;
• Privacy by default e Privacy by design;
• Penalizações severas:
Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;
Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;
Class actions: Direito a indeminização por danos morais e não apenas materiais;
Ferramenta de Auto-Avaliação: http://dlp.lcg.consulting
PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas
Recommended