View
81
Download
1
Embed Size (px)
Citation preview
0
Privacidade de dados
26 de Janeiro de 2017
1
02 03
Será a proteção da privacidade um afterthought?
INTRODUÇÃO
Enquanto pessoas, organizações e governos exploram oportunidades
digitais, alguém tem que ser responsável pela monitorização e pela gestão
dos riscos de privacidade
1EY’s Global Information Security Survey (GISS) 2015, www.ey.com/giss
dos inquiridos no Global Information
Survey (GISS) 20151 da EY indicam que
a sua organização não tem requisitos
formalizados para utilizar Big Data
não têm procedimentos
formalizados para tratar de
preocupações de privacidade
relacionadas com as redes sociais
afirmam não ter ordens para
minimizar a recolha de informação
pessoal, ou apenas o fazem em
circunstâncias especiais
Como é que as pessoas e as organizações podem garantir que os fornecedores de
serviços de cloud são de confiança?
01
Quem está, por exemplo, a monitorizar e a proteger todos os dados associados a
estas tecnologias “inteligentes”?
Quem está a garantir que todos os dados pessoais recolhidos (Big Data) são
mantidos seguros e não colocam em causa a privacidade da pessoa?
54% 37% 61%
Mundo Digital Big DataNecessidade de Informação vs. Excesso de Informação
2
INTRODUÇÃO
Dada a velocidade da mudança, os reguladores e as pessoas estão a
exigir que as organizações assumam esta responsabilidade
Quase todos os europeus são a favor da igualdade de direitos de proteção em toda a UE (89%)
Dois terços dos europeus pensam que empresas online devem ser responsáveis pela proteção dos seus dados pessoais (67%)
Mais de quatro em cada dez europeus defendem que as regras de proteção de dados deve ser tratada a nível da UE (45%)
Oito em cada dez europeus sentem que não têm controlo total sobre os seus dados pessoais (81%)
Special Eurobarometer 431, Data Protection – June 2015, http://ec.europa.eu/public_opinion/archives/ebs/ebs_431_en.pdf
Durante anos, as empresas trabalharam para cumprir as obrigações mínimas de conformidade sem assumir
adequadamente o seu papel na proteção da informação dos seus clientes ou colaboradores
O GDPR da UE coloca a responsabilidade da proteção da privacidade onde devia estar – nas mãos das entidades que recolhem, armazenam e analisam informações de carácter
pessoal – criando confiança
PASSADO FUTURO
3
O GPDR
Os residentes da UE vão ter mais
controlo sobre os seus dados
pessoais
Todos vão ter de seguir as mesmas
regras
As organizações vão ter de reportar a
uma autoridade de supervisão
Mais organizações vão precisar de um
Data ProtectionOfficer (DPO)
As regras defendem uma abordagem baseada no risco
PbD torna-se uma exigência
As organizações têm 72 horas para denunciar uma
violação
As multas por violação vão ser
substancialmente mais altas
A segurança está ligada ao risco
A definição de “consentimento” foi significativamente
restringida
As transferências transfronteiriças são permitidas,
sob certas condições
As organizações precisam de definir
regras transparentes
GPDR Principais Destaques
O GDPR é uma lei de proteção de dados que substitui, em última
instância, a Diretiva 95/46/CE relativa à proteção de dados
4
O GPDR
O que precisa de ser feito para responder aos requisitos GPDR e estar preparado para 2018?
Explorando
5
O GPDR
Cada empresa deve colocar estas perguntas a si mesma:
A criação de programas de privacidade de dados adequados ao negócio e
que cumpram os requisitos GPDR é vital para as empresasExplorando
• É um processador de dados ou um controlador de dados que processa dados
pessoais dentro da UE ou processa dados pessoais de cidadãos da UE?Âmbito
• Realiza a monitorização sistemática em grande escala (incluindo dados de
funcionários) ou processa grandes quantidades de dados pessoais confidenciais?DPO
• Tem um programa de proteção de dados e é capaz de fornecer provas de como a
sua organização cumpre os requisitos GDPR da UE?Responsabilidade
• Caso existisse uma violação de dados, conseguiria notificar uma autoridade de
supervisão de proteção de dados dentro de 72 horas?
Notificação da Violação
• Cria requisitos de proteção de dados e privacidade no desenvolvimento dos seus
processos de negócio?PbD
• Sabe como irá cumprir os novos direitos: o “direito a ser esquecido”, “o direito à
portabilidade dos dados” e o “direito de se opor ao perfil”?Novos Direitos
• Os seus termos de proteção de dados estão em conformidade com os novos
requisitos de consentimento (não ambíguo) e aviso (interesse legítimo)?
Consentimento e Notificação
As respostas que fornecer vão ter impacto nas medidas necessárias para estabelecer um programa de privacidade de dados que esteja
em conformidade com os múltiplos requisitos GPDR
6
O GPDR
Um exemplo:
FASE 1Clarificar o processamento de
dados
Identificar dados pessoais, localizá-los na organização, a sua origem e o seu destino,
assim como o grau de proteção dos mesmo
FASE 2Analisar a relevância dos
novos requisitos
Compreender as lacunas de conformidade existentes e
avaliar riscos, nos sistemas e processos, associados aos
dados pessoais
FASE 3Desenvolver planos de
remediação
Definir planos de ajuste para a gestão da proteção de dados
FASE 4Executar os planos de
remediação
Implementar políticas, processos e controlos de gestão
de proteção de dados
Explorando
Neste contexto, as organizações vão precisar de perceber a sua posição de compliance atual
A criação de programas de privacidade de dados adequados ao negócio e
que cumpram os requisitos GPDR é vital para as empresas
7
O GPDR
Governance
Nomeação do Data Privacy Officer (DPO)
Definição da visão, missão e estratégia de privacidade de dados como base para a estrutura de governo
Integração de regras e processos de privacidade de dados na segurança da informação
Integrar o risco de privacidade de dados em avaliações de risco de segurança
Integrar a privacidade dos dados nas políticas de segurança de informação
Manter medidas para encriptar dados pessoais
Manter procedimentos para restringir o acesso a informações pessoais
Integrar a privacidade de dados em planos de continuidade de negócios
Manter uma estratégia de prevenção de dados
IIlustrativo
Não exaustivo
Explorando
Identificação dos processos e sistemas de negócios abrangidos
Realização de um Inventário de Dados Pessoais e de um PrivacyImpact Assessment (PIA)
Privacy Risk
Assessment
Revisão e/ou definição das normas de privacidade de dados
Alinhamento da normativa de privacidade de dados com a normativa existente para tópicos relacionados
Policy Framework
Desenvolvimento e formalização de processos e procedimentos para:
1. Pedidos e reclamações
2. Contratos com terceiros (BCR)
3. Relatórios de violação
4. Integração do PbDno core business
Processes
Definição dos objetivos e atividades de gestão de mudanças para a privacidade de dados
Desenvolvimento de materiais de formação, sensibilização e comunicação da execução do plano
Training, Awareness
& Communication
Definição de um framework de proteção de dados com o registo de todos os processos e controlos de privacidade
Desenvolvimento de KPIs e dashboards
Control Plan
Quais são os tópicos principais a ter em conta?
A criação de programas de privacidade de dados adequados ao negócio e
que cumpram os requisitos GPDR é vital para as empresas
8
O GPDR
Em última análise, o GDPR trará benefícios que transcendem em muito o
aspeto regulamentar!Explorando
Simplificação da expansão
das empresas, devido à redução
dos obstáculos ao comércio transfronteiriço
Impulso à inovação, pois o PbD
vai exigir novas ideias de negócio e métodos para garantir a proteção de
dados
Diminuição dos custos, devido à
homogeneidade jurídica em 28 países, reduzindo a necessidade de aconselhamento
jurídico
Concorrência
transparente, devido à
portabilidade dos dados entre prestadores de serviços
Maior satisfação do
cliente, devido a regras
transparentes e maior controlo sobre dados pessoais
Quais os benefícios esperados para as empresas?
9Direcção de Desenvolvimento Organizacional17Dez15-DigitalDoc-DDO
Obrigado.