EXIM

Privacy & Data Protection

 r
.b
m
Copyright © EXIN Holding B.V. 2019. All rights reserved.
EXIN® is a registered trademark.

co
No part of this publication may be reproduced, stored, utilized or transmitted in any form or by
any means, electronic, mechanical, or otherwise, without the prior written permission from EXIN.

g.
in
nn
ai
.tr
w
w
w

1
w
w
w
Program Overview

.tr
ai
nn
in
g.
co
m
.b
r
2
Training schedule

r
.b
Exam Exam Specification Weight

m
Requirement

co
1. Data Protection Policies 10%
1.1 Purpose of the Data Protection and Privacy Policies within an 5%
Organization

g.
1.2 Data Protection by Design and by Default 5%
2. Managing and Organizing Data Protection 35%

in
2.1 Phases of the Data Protection Management System (DPMS) 35%
3. Roles of the Controller, Processor and Data Protection Officer (DPO) 15%

nn
3.1 Roles of the Controller and Processor 7.5%
3.2 Role and Responsibilities of a Data Protection Officer (DPO) 7.5%

ai
4. Data Protection Impact Assessment (DPIA) 30%
4.1 Criteria for a Data Protection Impact Assessment (DPIA) 15%
.tr
4.2 Steps of a Data Protection Impact Assessment (DPIA) 15%
5. Data Breaches, Notification and Incident Response 10%
w
5.1 GDPR Requirements with Regard to Personal Data Breaches 5%
5.2 Requirements for Notification 5%
w

Total 100%
w

3
Objetivos do Curso e Público Alvo

r
.b
m
O Profissional de Privacidade e Proteção de Dados EXIN é uma certificação

co
que valida o conhecimento e a compreensão de um profissional da legislação
europeia de proteção de dados e privacidade e sua relevância internacional,

g.
bem como a capacidade do profissional de aplicar esse conhecimento e

in
compreensão à prática profissional cotidiana.

nn
Esta certificação de nível profissional será particularmente útil para os

ai
Diretores de Proteção de Dados (DPOs) / Responsáveis ​pela Privacidade,
Jurídicos / Compliance, Oficiais de Segurança, Gerentes de Continuidade de
.tr
Negócios, Controladores de Dados, Auditores de Proteção de Dados (internos e
w
externos), Analista de Privacidade e gerentes de RH.
w
w

4
Requisitos para certificação

r
.b
m
• Aprovação no exame EXIN Privacy & Data Protection Practitioner.

co
Treinamento credenciado para Profissionais de Proteção de Dados e
Privacidade EXIN, incluindo a conclusão das Tarefas Práticas.

g.
in
nn
ai
.tr
w
w
w

5
Conceitos Básicos

r
.b
m
• A lista de conceitos básicos nas notas do aluno abaixo será considerada

co
compreendida para o exame
• O aluno é aconselhado a pesquisar e entender os conceitos

g.
in
nn
ai
.tr
w
w
w

6
Formato do exame

r
.b
Examination type: Multiple-choice Questions

m
Number of questions: 40

co
Pass mark: 65% (26 / 40 questions)
Open book/notes: As fontes de literatura A e B podem não ser

g.
usadas durante o exame, mas o texto do GDPR

in
pode ser consultado o tempo todo. Para exames
em papel, este texto deve ser fornecido ou

nn
trazido pelos candidatos. Os exames on-line têm
o texto em anexo.
Electronic equipment/aides
ai No
.tr
permitted:
w
Exam duration: 120 minutes
w

The Rules and Regulations for EXIN’s examinations apply to this exam.
w

7
Literatura do exame

r
.b
m
A. IT Governance Privacy Team

co
EU General Data Protection Regulation (GDPR). An Implementation and Compliance Guide
IT Governance Publishing, Cambridgeshire (second edition, 2017)

g.
ISBN 978-1-84928-9450 (paperback)
ISBN 978-1-84928-9474 (e-book)

in
nn
B. Kyriazoglou, J.
Data Protection and Privacy Management System. Data Protection and Privacy Guide – Vol. I

ai
bookboon.com (first edition, 2016)
ISBN 978-87-403-1540-0
.tr
w
w
w

8
Literatura Adicional

r
.b
C. European Commission
General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679)

m
Regulation of the European Parliament and the Council of the European Union. Brussels, 6 April 2016, available at http://eur-lex.europa.eu
PDF: http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=EN

co
D. Article 29 Data Protection Working Party
Guidelines on Data Protection Officers (‘DPOs’), wp 243rev.01, 5 April 2017 available at

g.
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

E. Article 29 Data Protection Working Party

in
Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes
of Regulation 2016/679, wp248, 4 April 2017 available at http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236

nn
F. A. Cavoukian
Privacy by Design - The 7 Foundational Principles

ai
Information & Privacy Commissioner, Ontario, Canada
https://www.iab.org/wp-content/IAB-uploads/2011/03/fred_carter.pdf
.tr
G. Example of Privacy by Design Framework
https://www.privacycompany.eu/files/DPbD_Framework.pdf
w
H. ISO/IEC 27701:2019 (EN)
Security Techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for Privacy Information Management – Requirements and Guidelines
w

Switzerland, ISO/IEC, 2019

https://www.iso.org/home.html
w

9
 r
.b
m
co
1. POLÍTICAS DE PROTEÇÃO DE DADOS

g.
in
nn
ai
.tr
w
w
w

10
 r
.b
Corporate activities

m
co
g.
in
Information systems

nn
ai
.tr
w
Policies Policies
w

Governance
w

11
 r
.b
1.1 OBJETIVO DAS POLÍTICAS DE PROTEÇÃO DE

m
DADOS / PRIVACIDADE DENTRO DE UMA

co
ORGANIZAÇÃO

g.
in
nn
ai
.tr
w
w
w

12
1.1.1 políticas e procedimentos necessários dentro de uma

r
.b
organização para cumprir a legislação de proteção de dados

m
• O GDPR cita (parte do considerando 78)

co
• "Para poder demonstrar conformidade com este regulamento, o responsável pelo
tratamento deve adotar políticas internas e implementar medidas que atendam, em

g.
particular, aos princípios de proteção de dados por projeto e proteção de dados por
padrão". Essas políticas são da organização "interna“

in
• Tipos mencionados no RGPD

nn
• General policies; the organization states and has consistent views on how it intends
to meet the GDPR’s requirements.
• Personal data protection policies

ai
• Políticas gerais; a organização declara e tem opiniões consistentes sobre como
.tr
pretende atender aos requisitos do GDPR. Políticas de proteção de dados pessoais
• Others to consider
w
• Política de privacidade (disponível ao público) Política de segurança da informação
w

• As políticas precisam ser apoiadas por processos e procedimentos, vinculadas às

w

operações da organização e precisam ser auditáveis ​(para demonstrar conformidade)

13
1.1.2 O conteúdo das políticas

r
.b
As políticas devem conter

m
• Justificação; explicação por que é necessário

co
• Escopo; quais tópicos e aspectos são cobertos pela política
• Definições de contatos (funções) e suas responsabilidades (RACI)

g.
• Um objetivo; pelo menos um descrevendo o que se pretende alcançar e como

in
ele se relaciona com objetivos de negócios mais amplos

nn
• Tratamento de violações; procedimento
Para ter sucesso, as políticas precisam ser

ai
• Explícitas (portanto documentado) e conciso
• Suportadas por processos e procedimentos que produzem 'evidências' de
.tr
conformidade
w
• Auditáveis (capaz de provar a conformidade) e aplicável Capaz de ser
w

implementado e fácil de entender

w

14
1.1.2 O conteúdo das políticas - Exemplo

r
.b
Política de Proteção de Dados

m
co
Objetivo: O objetivo principal desta Política de Proteção de Dados é fornecer diretrizes
gerais para os problemas de privacidade de dados relacionados à coleta, uso,

g.
processamento, divulgação, monitoramento etc. dos dados pessoais de uma empresa
(Nota 1).

in
Conteúdo (parcial):

nn
Objetivo desta política

ai
•
• Comprometimento
.tr
• Oportunidade de recusar
w
• Coleta de informações pessoais
w

• Uso da informação
Proteção da informação
w

• 15
 r
.b
1.2 PROTEÇÃO DE DADOS POR DESENHO E

m
POR PADRÃO

co
g.
in
nn
ai
.tr
w
w
w

16
1.2.1 O conceito de proteção de dados por design e por

r
.b
padrão
• "Para demonstrar o cumprimento do presente regulamento, o responsável

m
pelo tratamento deve adotar políticas internas e implementar medidas que

co
atendam, em particular, aos princípios de proteção de dados por projeto e
proteção de dados por padrão." (RGPD)

g.
• Alguns exemplos de medidas: minimizando o processamento,
pseudonimização, criando transparência com relação ao processamento

in
• Por design e por padrão;

nn
• ‘A privacidade por design avança a visão de que o futuro da privacidade
não pode ser garantido apenas pelo cumprimento das estruturas

ai
regulatórias; em vez disso, a garantia de privacidade deve idealmente
.tr
se tornar o modo de operação padrão de uma organização. '
• Ao desenvolver e projetar produtos, serviços e aplicativos, os princípios de
w
proteção de dados por design e por padrão devem ser observados.
w
w

17
 1.2.1 O conceito de proteção de dados por

r
.b
design e por padrão

m
co
g.
in
nn
ai
.tr
w
w
w

18

fonte: www.privacycompany.eu
1.2.2 Os sete princípios da proteção de

r
.b
dados por design e por padrão

m
1. Proativo não reativo;

co
2. Preventivo, não corretivo

g.
3. Privacidade como configuração padrão
4. Privacidade incorporada ao design

in
5. Funcionalidade total - soma positiva, não soma zero

nn
6. Segurança de ponta a ponta - proteção total do ciclo de vida Visibilidade e
Transparência –

ai
7. Mantenha Aberto Respeito pela privacidade do usuário - mantenha o foco
.tr
no usuário
w
w
w

19
1.2.3 Implementando os sete princípios

r
.b
m
Exemplos de desafios de implementação

co
• Preventivo, não corretivo;
A abordagem tradicional é reativa. Mudar isso requer liderança e mudança cultural. A introdução da arquitetura
corporativa pode suportar esse processo.

g.
• Privacidade como configuração padrão;
Por exemplo. emitindo políticas especializadas como "menos privilégio", "preciso saber," menos confiança ".
• Privacidade incorporada ao design;

in
Em hardware (por exemplo, TPM) e / ou software (por exemplo, SAMM, CLASP)
• Soma positiva, não soma zero;

nn
conflitos a serem resolvidos: acesso fácil vs. acesso seguro, conveniência do usuário vs. segurança, simples de
implementar vs. seguro de usar.
• Proteção completa do ciclo de vida (ponta a ponta);

ai
Requer uma estratégia de segurança para a empresa como um todo. Áreas-chave: DBSec e IAM.
• Mantenha aberto (visível e transparente);
Pode ser alcançado por e. padrões abertos, avaliação e validação externas, como auditoria ISO / IEC 27001 e / ou
.tr
publicação de políticas de segurança.
• Mantenha o usuário centrado (respeite o usuário e sua privacidade);
w
É necessário alcançar um equilíbrio entre a proteção dos dados da empresa e os direitos do titular dos dados.
w
w

20
Data Protection By Design and By Default

r
.b
m
Vision & Mission

co
Product/Services
Development

g.
in
Apply Seven Principles

nn
(Proactive not Reactive; Preventative
not Remedial, etc.)

ai
.tr
Privacy Management
w
w

Source: J. Kyriazoglou
w

Corporate Governance Framework 21

 r
.b
2. GERENCIANDO E ORGANIZANDO A

m
PROTEÇÃO DE DADOS

co
g.
in
nn
ai
.tr
w
w
w

22
 r
.b
2.1 FASES DO SISTEMA DE GERENCIAMENTO

m
DE PROTEÇÃO DE DADOS (SGPD)

co
g.
in
nn
ai
.tr
w
w
w

23
Sistema de Gerenciamento de Proteção de Dados (SGPD)

r
.b
m
co
g.
in
nn
ai
.tr
w
w
w

24
Objetivo de um SGPD

r
.b
m
O objetivo de gerenciar e organizar políticas de proteção de dados é apresentar um

co
sistema completo para:

g.
• projetar, implementar, monitorar, avaliar e melhorar as políticas, planos,
procedimentos, práticas, controles e ferramentas técnicas, conforme os termos do

in
GDPR da UE "medidas técnicas e organizacionais" de uma maneira melhor.

nn
• Este sistema é o Sistema de Gerenciamento de Privacidade e Proteção de Dados

ai
(SGPD) e contém um conjunto de cinco fases (Proteção de Dados e Preparação para
Privacidade, Organização de Proteção e Privacidade de Dados, Desenvolvimento e
.tr
Implementação e Proteção de Dados e Privacidade, Proteção e Governança de
Privacidade e Proteção de Dados e Proteção de Dados e Avaliação e melhoria da
w
privacidade)
w
w

25
2.1.1 Aplicação da fase 1 do SGPD: proteção de dados e preparação

r
da privacidade

.b
Objetivo Geral

m
• Prepare a organização para a privacidade

co
Objetivos
• Analisar os requisitos e necessidades de DP&P

g.
• Coletar leis, regulamentos e normas relevantes
• Estabelecer um plano de ação

in
Etapas e ações (AP)

nn
1. Realizar análise de privacidade
2. Coletar leis de privacidade

ai
3. Analisar o impacto na privacidade
4. Auditorias e avaliações iniciais de dados
.tr
5. Estabelecer organização de governança de dados
6. Estabelecer fluxos de dados e inventário de dados pessoais
w
7. Estabelecer o programa DP&P
8. Desenvolver planos de implementação
w
w

26
Destaque: SGPD Fase 1 Etapa 7: Estabelecer o

r
.b
programa DP&P

m
Empresas e organizações, para obter melhores resultados de proteção e

co
privacidade, implementam proteção e privacidade de dados por meio de um
plano de treinamento, um programa e uma estratégia de proteção e privacidade

g.
de dados.

in
nn
O Data Protection and Privacy Program (DP&P Program):
• Enfatiz o valor que a organização atribui à proteção e privacidade de dados;

ai
Identifica os principais objetivos do programa de proteção de dados e
.tr
privacidade; e
• Detalha estratégias de proteção de dados e privacidade e controles de
w
governança para alcançar esses objetivos de privacidade.
w
w

27
2.1.1 Aplicação da fase 1 do SGPD: proteção

r
.b
de dados e preparação da privacidade

m
Produtos

co
1. Relatório de análise
2. Manual de legislação

g.
3. Relatório de auditoria de dados pessoais
4. Sistema de fluxo de dados

in
5. Inventário de dados pessoais

nn
6. Políticas
7. Plano de treinamento
8. Programa de proteção de dados

ai
9. Relatório e orçamento da organização de proteção de dados
.tr
10. Planos de implementação
w
Saída
w

• Uma organização preparada para ser mais eficaz no tratamento e gerenciamento de

riscos de DP&P.
w

28
2.1.1 Aplicação da fase 1 do DPMS: proteção

r
.b
de dados e preparação da privacidade

m
Princípios relacionados ao processamento de dados pessoais (RGPD,

co
art. 5)

g.
1. Legalidade, justiça e transparência

in
2. Limitação de finalidade

nn
3. Minimização de dados

ai
4. Precisão
5. Limitação de armazenamento
.tr
6. Integridade e confidencialidade
w
7. Prestação de contas (Accountability)
w
w

29
2.1.2 Aplicação da fase 2 do DPMS: organização de proteção e

r
privacidade de dados

.b
m
Objetivo Geral

co
• Estabelecer estruturas e mecanismos organizacionais para as necessidades de DP&P da
organização.

g.
Objetivos
• Projetar e configurar o programa DP&P

in
• Nomear um oficial de proteção de dados (DPO)

nn
• Envolver-se e obter o compromisso de todas as partes interessadas relevantes
Etapas e ações (SO)
1. Gerenciar programa de proteção de dados, políticas e mecanismos de governança

ai
2. Atribuir e gerenciar responsabilidades de proteção de dados (RACI)
3. Gerenciar o envolvimento da gerência sênior.
.tr
4. Gerenciar compromisso
5. Gerenciar comunicações regulares
w
6. Gerenciar o envolvimento das partes interessadas
w

7. Implementar e operar sistemas automatizados de proteção de dados

w

30
Destaque: SGPD Fase 2 Etapa 3: Gerenciar o

r
.b
compromisso da gerência sênior

m
Empresas e organizações envolvem o nível sênior da organização, p. Diretoria,

co
gerência de nível C ou sênior, em proteção de dados e privacidade para obter
melhores resultados de proteção e privacidade de dados.

g.
in
O suporte do nível sênior pode incluir:
• Patrocinar todas as questões relacionadas à proteção de dados e

nn
privacidade em uma reunião do conselho de administração
• Comunicar a importância da proteção e privacidade dos dados para a equipe

ai
da empresa e o gerenciamento subordinado
.tr
• Participação em iniciativas de proteção de dados e privacidade
• Garantir financiamento adequado para apoiar a função de proteção de dados
w
e privacidade
w
w

31
2.1.2 Aplicação da fase 2 do DPMS: organização de proteção e

r
privacidade de dados

.b
m
Produtos

co
1. Estratégia atualizada
2. Programa atualizado
3. Controles de governança atualizados

g.
4. Anúncio da nomeação do DPO

in
5. Comunicações sobre todos os assuntos relacionados à privacidade e proteção de
dados

nn
6. Rede DP&P
7. Funções e responsabilidades de DP&P como parte das descrições formais de cargo
(RACI)

ai
8. Sistemas automatizados de proteção de dados.
.tr
Saída
w
• Estruturas organizacionais.
w
w

32
Destaque: SGPD Fase 2 Produto 8: Sistemas

r
.b
automatizados de proteção de dados

m
1. A proteção de dados corporativos é uma das prioridades mais críticas que as

co
organizações enfrentam atualmente.
2. Com tantas ameaças e pontos de entrada em potencial, as soluções de proteção

g.
de dados devem adotar uma abordagem abrangente e completa, que começa
identificando dados de risco e desenvolvendo uma estratégia contínua de proteção

in
de dados que responda a todas as ameaças em potencial - antes que as ameaças
sejam identificadas. identificado.

nn
3. Isso é resolvido projetando as especificações de um sistema computadorizado e
ferramentas de software para apoiar o processo de proteção de dados e

ai
privacidade da organização e operá-lo de forma eficaz.
.tr
4. Um software de sistema informatizado de proteção e privacidade de dados
garante a integridade dos dados por vários métodos. Para exemplos, veja as notas
w
dos alunos.
w
w

33
 2.1.3 Aplicação da fase 3 do SGPD: desenvolvimento e

r
implementação de proteção de dados e privacidade

.b
m
Objetivo

co
• Desenvolver e implementar medidas e controles de DP&P.

Objetivos

g.
• Projetar um sistema de classificação de dados

in
• Desenvolver e implementar políticas, procedimentos e controles

nn
Etapas e ações (DI)
1. Desenvolver e implementar estratégias, planos e políticas

ai
2. Implementar procedimento de aprovação para processamento
3. Registrar bancos de dados para dados pessoais
.tr
4. Desenvolver e implementar um sistema de transferência de dados transfronteiriça
5. Executar atividades de integração
w
6. Execute o plano de treinamento.
w

7. Implementar controles de segurança de dados

w

34
Destaque: SGPD Fase 3 Etapa 6: Executar

r
.b
plano de treinamento

m
co
Empresas e organizações treinam sua equipe para implementar melhor a proteção e a
privacidade de dados em todos os seus programas, sistemas, projetos e funções.

g.
Este plano inclui as seguintes ações:

in
Ação nº 1: Realize treinamento contínuo em privacidade de dados para o Escritório de
Privacidade

nn
Ação nº 2: executar treinamento básico em privacidade para a equipe
Ação nº 3: execute treinamento adicional em privacidade para novas necessidades
Ação nº 4: incluir treinamento em privacidade de dados em outro treinamento corporativo

ai
Ação nº 5: manter o reconhecimento da privacidade de dados
.tr
Ação nº 6: manter a certificação profissional de privacidade de dados para o pessoal de
privacidade
w
Ação nº 7: medir as atividades de conscientização e treinamento em privacidade de dados.
w
w

35
 2.1.3 Aplicação da fase 3 do DPMS: desenvolvimento e

r
implementação de proteção de dados e privacidade

.b
m
Produtos

co
1. Sistema de classificação de dados pessoais

g.
2. Procedimento para aprovar o processamento
3. Documento de registro de banco de dados de dados pessoais

in
4. Sistema de transferência de dados transfronteiriça

nn
5. Atividades de integração concluídas

ai
6. Atividades de treinamento concluídas
7. Controles de segurança de dados implementados
.tr
Saída
w
• Medidas para administrar dados pessoais de maneira mais eficaz.
w
w

36
2.1.4 Aplicação da fase 4 do SGPD: proteção

r
.b
de dados e governança da privacidade

m
Objetivo geral

co
• Estabelecer mecanismos de governança de DP&P.
Objetivos
• Projetar e configurar estruturas de governança; por exemplo.

g.
 Programa DP&P, responsável pela proteção de dados, etc.

in
• Envolver e comprometer todas as partes interessadas relevantes
• Relatar todos os problemas de DP&P (processo contínuo)

nn
Passos e ações
1. Implementar práticas para gerenciar o uso de dados pessoais

ai
2. Manter avisos de privacidade sobre dados pessoais
3. Executar um plano de solicitações, reclamações e retificações.
.tr
4. Executar uma avaliação de risco de proteção de dados
5. Emitir relatórios DP&P
w
6. Manter documentação
w

7. Estabelecer e manter um plano de resposta à violação de dados

w

37
Destaque: fase 4 do SGPD Etapa 3: executar um plano

r
.b
de solicitações, reclamações e retificações

m
A empresa executa as atividades relacionadas ao tratamento de reclamações,

co
gerenciando solicitações de acesso e atualização de informações pelos indivíduos de
seus dados pessoais mantidos pela empresa.

g.
Este plano contém:

in
• Procedimentos de acesso a dados pessoais

nn
• Procedimentos para Reclamações de Dados Pessoais
• Procedimentos de retificação de dados pessoais

ai
• Procedimentos de objeção de dados pessoais
.tr
• Procedimentos de portabilidade de dados pessoais
• Procedimentos de eliminação de dados pessoais
w
• Procedimentos para informações sobre manipulação de dados pessoais
w
w

38
2.2.4 Aplicação da fase 4 do SGPD: proteção de dados e

r
.b
governança da privacidade

m
Produtos

co
1. Estratégia atualizada
2. Política de proteção de dados

g.
3. Procedimentos para manter avisos de proteção de dados

in
4. Solicitações, reclamações e plano de retificação
5. Processo de avaliação de risco

nn
6. Plano de gerenciamento de riscos de terceiros.
7. Relatório DP&P

ai
8. Documentação de proteção de dados
.tr
9. Plano de resposta à violação de dados
Saída
w
• Estruturas de governança.
w
w

39
Destaque: SGPD Fase 4 Produto 6: Plano de

r
.b
gerenciamento de riscos de terceiros

m
Objetivo

co
O objetivo deste plano é manter contratos e acordos com terceiros e afiliadas
consistentes com a política de proteção de dados e privacidade, requisitos legais e
tolerância a riscos operacionais da empresa.

g.
in
Conteúdo
Ação nº 1: Realizar a devida diligência em questões de DP&P para terceiros;

nn
Ação nº 2: Manter os requisitos de DP&P para terceiros;
Ação nº 3: Manter procedimentos para celebrar acordos com terceiros;

ai
Ação nº 4: Manter um processo de avaliação de riscos de DP&P para terceiros;
.tr
Ação nº 5: Realize a devida diligência em fontes de dados de terceiros;
Ação nº 6: manter procedimentos para violações de terceiros; e
w
Ação nº 7: mantenha o conhecimento dos novos riscos de privacidade de dados.
w
w

40
2.1.5 Aplicação da fase 5 do SGPD: proteção e

r
.b
avaliação de dados e privacidade e melhoria

m
Objetivo geral

co
• Avaliar e melhorar todos os aspectos específicos de DP&P da organização

Objetivos

g.
• Monitorar a operação e a resolução de todos os assuntos relacionados à privacidade

in
Avalie regularmente a conformidade com processos e políticas internas Melhorar a
proteção de dados e medidas de privacidade

nn
Etapas e ações (RI)
1. Execute auditoria interna.
2.
ai
Envolver a parte externa para avaliações
.tr
3. Realizar avaliações e estabelecer benchmarks
4. Executar um DPIA
w
5. Resolver riscos
6. Relatório Análise de resultados e resultados
w

7. Monitorar leis e regulamentos

w

41
Destaque: SGPD Fase 5 Etapa 1: Executar

r
.b
auditoria interna

m
1. O departamento de Auditoria Interna avalia regularmente se a organização está em

co
conformidade com as políticas internas de proteção de dados e privacidade e com
os processos operacionais.

g.
2. Os resultados dessas auditorias e avaliações de privacidade informam e orientam
as decisões do escritório de privacidade de criar ou atualizar políticas, projetar ou

in
adaptar procedimentos, realizar treinamento ou participar de outras atividades
para minimizar riscos e cumprir requisitos de privacidade internos ou externos.

nn
3. O escopo desta atividade de auditoria de privacidade cobrirá o papel do escritório
de privacidade em participar de auditorias de privacidade e responder a

ai
descobertas e realizar auditorias em todos os dados pessoais mantidos em
formato eletrônico ou contidos em um sistema de arquivamento manual
.tr
estruturado.
w
4. As auditorias são realizadas com base em uma metodologia de auditoria, um
programa de auditoria e um conjunto de questionários de segurança e privacidade
w

de dados.
w

42
2.1.5 Aplicação da fase 5 do SGPD: proteção e

r
.b
avaliação de dados e privacidade e melhoria

m
Produtos

co
1. Relatório de auditoria interna
2. Relatório de auditoria externa

g.
3. Relatórios de avaliação ad-hoc

in
4. Relatório de autoavaliação
5. Relatório de referência

nn
6. Relatório DPIA
7. Relatório de riscos resolvidos

ai
8. Análise de risco e relatório de resultados
.tr
9. Relatório de monitoramento de leis de privacidade
Saída: Relatórios de auditoria, análise de gaps e análise de riscos e um plano de
w
melhoria
w
w

43
 r
.b
3. PAPEL DO CONTROLADOR, PROCESSADOR

m
E OFICIAL DE PROTEÇÃO DE DADOS (DPO)

co
g.
in
nn
ai
.tr
w
w
w

44
Controlador, Processador e Oficial de

r
.b
Proteção de Dados
Controlador

m
co
g.
Instruções
escritas

in
nn
Dados pessoais

ai
.tr
Controles de proteção de dados
w
w

DPO Processador
w

45

Estrutura de Governança Corporativa

 r
.b
3.1 FUNÇÕES DO CONTROLADOR E

m
PROCESSADOR

co
g.
in
nn
ai
.tr
w
w
w

46
3.1.1 As responsabilidades do controlador

r
.b
m
Controlador significa a pessoa singular ou coletiva, autoridade pública, agência ou

co
outro órgão que, sozinho ou em conjunto com outros, determina os propósitos e os
meios do processamento de dados pessoais; (trecho) O processador é responsável

g.
por garantir que os dados pessoais sejam processados ​de acordo com o GDPR

in
• Determinar o objetivo das atividades de processamento

nn
• Implementar medidas técnicas e organizacionais para garantir a proteção de dados
e demonstrar que o processamento é realizado de acordo com o GDPR

ai
• Implementar políticas apropriadas
• Implementar os princípios de proteção de dados por design e por padrão e executar
.tr
análises de impacto na proteção de dados
• Certifique-se de que qualquer processador de terceiros cumpra as regras
w

• Notificar violações de dados pessoais à autoridade supervisora ​independente

w
w

47
3.1.1 As responsabilidades do controlador

r
.b
m
• Legalmente responsável e responsável não é o mesmo que o responsável e

co
responsável em uma matriz RACI.
• O artigo 5 (2) do RGPD estabelece

g.
• "O responsável pelo tratamento deve ser responsável e demonstrar conformidade
com o parágrafo 1 (" prestação de contas ")."

in
• Portanto, de acordo com o princípio da prestação de contas, o Controlador é

nn
responsável e responsável pela legalidade do processamento de dados.The
supervisory authority will hold the controller responsible and accountable for
the data under his care.

ai
• Se for aplicada uma multa, o controlador será multado, mesmo se houver contratos
.tr
escritos entre o controlador e o processador.
• O controlador pode solicitar compensação do processador se o processador
w
não cumprir o contrato.
w
w

48
3.1.2 As responsabilidades do processador

r
.b
m
"Processador", uma pessoa natural ou coletiva, autoridade pública, agência ou outro
organismo que processa dados pessoais em nome do responsável pelo tratamento;

co
• Realize apenas atividades de processamento 'sob controle' de um controlador (veja

g.
também o próximo slide)

in
• Garantir que as pessoas autorizadas a processar os dados pessoais se
comprometam com a confidencialidade ou estejam sob uma obrigação legal

nn
apropriada de confidencialidade
• Tome todas as medidas prescritas no artigo 32 "Segurança do processamento"

ai
• Se um processador infringir o regulamento ao determinar as finalidades e os meios
.tr
de processamento, o processador será considerado um controlador em relação a
esse processamento
w
• Determinação de aspectos técnicos do processamento, como os sistemas
usados ​para o processamento, como os dados são armazenados, medidas de
w

segurança, mecanismos de transferência etc.

w

49
3.1.3 O relacionamento entre o controlador e

r
.b
o processador

m
O processador deve

co
• Não envolver outro processador sem autorização prévia específica ou geral por escrito do
controlador

g.
• Realize apenas o processamento regido por um contrato ou outro ato legal nos termos da
legislação da União ou do Estado-Membro, vinculativo para o processador em relação ao

in
responsável pelo tratamento
• Processe apenas dados pessoais com instruções documentadas do controlador

nn
• Ajude o controlador a tomar as medidas apropriadas
• À escolha do controlador, exclui ou retorna todos os dados pessoais ao controlador após o
término da prestação de serviços relacionados ao processamento
•
ai
Disponibilize ao controlador todas as informações necessárias para demonstrar conformidade
.tr
Controlador e processador
w
• Devem cooperar com a autoridade supervisora, apoiar o DPO (Data Protection Officer)
w
w

50
 r
.b
3.2 PAPEL E RESPONSABILIDADES DE UM DPO

m
co
g.
in
nn
ai
.tr
w
w
w

51
3.2.1 Quando um DPO é obrigatório?

r
.b
Artigo 37.º Designação do responsável pela proteção de dados

m
• O processamento é realizado por uma autoridade ou órgão público, exceto para os tribunais que atuam
em sua capacidade judicial (cláusula 1a)

co
• As atividades principais do controlador ou do processador consistem em operações de processamento
que, em virtude de sua natureza, escopo e / ou finalidade, requerem monitoramento regular e
sistemático dos titulares de dados em larga escala (seção 1b)

g.
• As atividades principais do responsável pelo tratamento ou do processador consistem no
processamento em larga escala de categorias especiais de dados nos termos do artigo 9. O e dados

in
pessoais relacionados a condenações e infrações penais referidas no artigo 10. (Cláusula 1-C)
• Outros casos que não os mencionados acima ... Quando exigido pela lei do sindicato ou do estado

nn
membro ... (cláusula 4)
Um único DPO (se facilmente acessível) é permitido para 'um grupo de empresas' e 'um grupo de
autoridades ou órgãos públicos'. (cláusulas 2 e 3); portanto, um DPO pode ser 'compartilhado‘

Outros requerimentos; o DPO:

ai
.tr
• serão designados com base em qualidades profissionais
• pode ser um membro da equipe do controlador ou processador
w
• pode ser uma pessoa externa trabalhando sob um contrato de serviço.
w
w

52
Cenário: Quando um DPO é obrigatório?

r
.b
Case 1:

m
Hospital. Por exemplo, uma atividade principal de um hospital é fornecer

co
assistência médica. No entanto, um hospital não poderia fornecer assistência
médica com segurança e aplicar sem processar dados de saúde, como os

g.
registros de saúde de pacientes. Portanto, o processamento desses dados deve
ser considerado uma das principais atividades de qualquer hospital e, portanto,

in
os hospitais devem designar DPOs.

nn
Case 2:
Empresa de segurança privada. Como outro exemplo, uma empresa de

ai
segurança privada realiza a vigilância de vários shopping centers e espaços
.tr
públicos. A vigilância é a atividade principal da empresa, que por sua vez está
inextricavelmente ligada ao processamento de dados pessoais. Portanto, essa
w

empresa também deve designar um DPO.

w
w

53
Cases: Quando um DPO é obrigatório?

r
.b
m
Case 3:
Uma pequena empresa familiar ativa na distribuição de eletrodomésticos em

co
uma única cidade utiliza os serviços de um processador cuja atividade principal
é fornecer serviços de análise de sites e assistência com publicidade e

g.
marketing direcionados. As atividades da empresa familiar e de seus clientes

in
não geram processamento de dados em 'grande escala', considerando o

nn
pequeno número de clientes e as atividades relativamente limitadas. No
entanto, as atividades do processador, com muitos clientes como esta

ai
pequena empresa, juntos, estão realizando processamento em larga escala. O
processador deve, portanto, designar um DPO nos termos do artigo 37 (1) (b).
.tr
Ao mesmo tempo, a própria empresa familiar não tem a obrigação de designar
w
um DPO.
w
w

54
3.2.2 Papel e responsabilidades de um DPO

r
.b
m
O responsável pela proteção de dados é independente (não recebe instruções
sobre o exercício de suas tarefas) e

co
• Está envolvido em todos os problemas relacionados à proteção de
dados pessoais

g.
• Aconselha o responsável pelo tratamento em relação à avaliação de

in
impacto na proteção de dados

nn
• Deve manter seu conhecimento especializado
• Relatórios para o mais alto nível de gerenciamento do controlador

ai
• É acessível aos titulares dos dados
.tr
• Está vinculado ao sigilo ou confidencialidade.
w
w
w

55
3.2.2 Papel e responsabilidades de um DPO

r
.b
m
No entanto, o DPO pode executar outras tarefas, desde que não resultem em
conflito de interesses.

co
g.
Tarefas (primárias / obrigatórias)

in
Informar e aconselhar o controlador ou o processador e os funcionários que

nn
executam o processamento de suas obrigações
1. Monitorar a conformidade com o GDPR (e com qualquer legislação

ai
nacional relacionada adicional)
.tr
2. Fornecer aconselhamento quando solicitado; no que diz respeito à
avaliação do impacto na proteção de dados
w
3. Cooperar com a autoridade supervisora
w

4. Atuar como ponto de contato da autoridade supervisora

w

56
3.2.3 A posição do DPO em relação às

r
.b
autoridades de proteção de dados

m
• O DPO é o contato imediato com a autoridade de supervisão (SPOC)

co
• Obrigações

g.
• Cooperar com a autoridade supervisora Atuar como ponto de contato
da autoridade supervisora, por exemplo

in
• todos os assuntos de processamento

nn
• consulta prévia

ai
.tr
w
w
w

57
 r
.b
4. AVALIAÇÃO DE IMPACTO DA PROTEÇÃO

m
DE DADOS (DPIA)

co
g.
in
nn
ai
.tr
w
w
w

58
Data Protection Impact Assessment

r
.b
m
co
Avaliar Identificar
Soluções Riscos

g.
Personal

in
Data

nn
Estratégia Corporativa de DP
Reportar Integrar

ai
resultados .tr resultados
w
REQUISITOS DO GDPR DA UE
w

Source: J. Kyriazoglou
w

59
 r
.b
m
4.1 CRITÉRIOS PARA UM DPIA

co
g.
in
nn
ai
.tr
w
w
w

60
4.1.1 Aplicando os critérios para conduzir

r
.b
um DPIA

m
co
Condições primárias: (RGPD)
• No caso de uma avaliação sistêmica e abrangente de aspectos pessoais

g.
relacionados a pessoas físicas, com base em processamento automatizado,
incluindo criação de perfil

in
• No caso de tratamento em larga escala de categorias especiais de dados ou

nn
dados pessoais relacionados a condenações e infrações penais
• No caso de um monitoramento sistemático de uma área acessível ao público

ai
em larga escala
.tr
w
w
w

61
4.1.1 Aplicando os critérios para conduzir um DPIA

r
.b
m
Os seguintes critérios devem ser considerados:

co
Avaliação ou pontuação
1. Tomada de decisão automatizada com efeito significativo legal ou similar

g.
2. Monitoramento sistemático

in
3. Dados sensíveis
4. Dados processados ​em larga escala

nn
5. Conjuntos de dados que foram correspondidos ou combinados

ai
6. Dados relativos a titulares de dados vulneráveis
7. Uso inovador ou aplicação de soluções tecnológicas ou organizacionais
.tr
8. Transferência de dados através das fronteiras fora da União Europeia
w
9. Quando o processamento em si "impede os titulares de dados de exercer um
w

direito ou usar um serviço ou contrato"

w

62
Cases: Aplicando os critérios para conduzir um DPIA

r
- A DPIA required -

.b
Case 1:

m
Um hospital processando os dados genéticos e de saúde de seus pacientes (sistema

co
de informações hospitalares).
Critérios: (1) dados sensíveis, (2) dados relativos a titulares de dados vulneráveis

g.
Case 2:

in
O uso de um sistema de câmera para monitorar o comportamento de dirigir nas
estradas. O controlador planeja usar um sistema inteligente de análise de vídeo para

nn
destacar carros e reconhecer automaticamente placas de carros.
Critérios: (1) Monitoramento sistemático, (2) Uso inovador ou aplicação de soluções

ai
tecnológicas ou organizacionais
Case 3:
.tr
Uma empresa que monitora as atividades de seus funcionários, incluindo o
w
monitoramento da estação de trabalho, da internet, etc.
Critérios: (1) Monitoramento sistêmico, (2) Dados relativos a titulares de dados
w

vulneráveis
w

63
Cases: Aplicando os critérios para a

r
.b
realização de um DPIA - um DPIA não é

m
necessário
Case 1:

co
Uma revista on-line que usa uma lista de discussão para enviar um resumo
diário genérico aos seus assinantes.

g.
Critérios: Nenhum

in
nn
Case 2:
Um site de comércio eletrônico que exibe anúncios de peças de carros antigos

ai
que envolvem perfis limitados com base no comportamento de compras
.tr
anteriores em determinadas partes do site.
w
Critérios: Avaliação ou pontuação, mas não sistemático ou extensivo
w
w

64
4.1.2 Os objetivos e resultados de uma DPIA

r
.b
Objetivos

m
Os DPIAs são usados ​para identificar riscos específicos para dados pessoais

co
como resultado de atividades de processamento; o foco está na privacidade e
proteção de dados.

g.
in
• Analisar como programas, funções, sistemas e processos coletam, usam,

nn
compartilham e mantêm dados pessoais para garantir a conformidade com
as leis e políticas de privacidade / proteção de dados aplicáveis; e

ai
• Determine os riscos para os dados pessoais inerentes aos programas,
sistemas, funções, projetos e processos.
.tr
w
w
w

65
4.1.2 Os objetivos e resultados de um DPIA

r
.b
Saídas

m
• Uma descrição do processamento e seus propósitos

co
• Os interesses legítimos que você está buscando com este processamento
• Uma avaliação da necessidade e proporcionalidade do processamento

g.
• Uma avaliação dos riscos para os direitos e liberdades dos titulares dos dados

in
• As medidas previstas para fazer face aos riscos
• Todas as medidas de salvaguarda e segurança para demonstrar o cumprimento do

nn
regulamento
• Indicações de prazos se o processamento incluir a exclusão de dados pessoais
•
ai
Uma indicação de qualquer proteção de dados por projeto e por medidas padrão
.tr
• Uma lista dos destinatários de dados pessoais
• Conformidade com códigos de conduta aprovados
w
• Detalhes sobre se os titulares dos dados foram consultados e consentiram
w
w

66
 r
4.2 ETAPAS DE UM DPIA

.b
m
co
g.
in
nn
ai
.tr
w
w
w

67
4.2.1 Os passos de um DPIA

r
.b
m
1. Identifique a necessidade de um DPIA

co
2. Descreva os fluxos de informação

g.
3. Identificar privacidade e riscos relacionados
4. Identifique e avalie soluções de privacidade

in
5. Assine e registre os resultados

nn
6. Integrar os resultados em um plano de projeto

ai
7. Consulte as partes interessadas internas e externas
.tr
w
w
w

68
4.2.1 Os passos de um DPIA

r
.b
m
Alguns exemplos de riscos para dados pessoais:

co
Pirataria, vírus, malware, intrusos, phishing, falta de treinamento, portadores de

g.
dados não criptografados, controle de acesso inadequado, senhas fracas etc.

in
Quatro respostas possíveis aos riscos:

nn
1. Tratar (aka: controle, modificação de risco)

ai
2. Tolerar (aka: aceitação de riscos, retenção de riscos)
3. Terminar (aka: prevenção de riscos)
.tr
4. Transferência (aka: compartilhamento de risco)
w
w
w

69
4.2.2 Executando um DPIA em uma situação

r
.b
específica

m
• Os sete passos

co
1. Identifique uma necessidade de um DPIA
2. Descrição dos fluxos de informação

g.
3. Identificar privacidade e riscos relacionados Cinco 'estágios
principais'

in
4. Identifique e avalie soluções de privacidade
5. Assine e registre os resultados

nn
6. Integrar os resultados em um plano de projeto
7. Consulte as partes internas e externas internas

ai
• Consulta das partes interessadas
.tr
• Partes internas; por exemplo. equipes de projeto, DPO, jurídico,
compras, equipe de TI, etc.
w
• Partes externas; por exemplo. titulares dos dados, autoridade
w

supervisora ​etc.
w

70
 r
.b
m
co
5. QUEBRAS DE DADOS, NOTIFICAÇÃO E

g.
RESPOSTA A INCIDENTES

in
nn
ai
.tr
w
w
w

71
Ciclo de vida da violação de dados

r
.b
m
3. Incidente de
2. Monitorar violação

co
eventos

g.
Data breaches,
notification& incident

in
response 4. Reportar
1. Desenvolver

nn
o Plano de
Violação

ai
.tr
5. Resolver incidentes e recuperar
w
w

Estrutura de Governança Corporativa

Source: J. Kyriazoglou
w

72
 r
.b
5.1 REQUISITOS RGPD EM RELAÇÃO A

m
VIOLAÇÕES DE DADOS PESSOAIS

co
g.
in
nn
ai
.tr
w
w
w

73
 5.1.1 Uma violação de dados em termos do

r
.b
RGPD

m
• Incidente incidente de segurança (evento de segurança da informação)

co
Violação de dados
• Violação de dados pessoais significa uma violação de segurança que leva a:

g.
• Destruição acidental

in
• Destruição ilegal
• Perda

nn
• Alteração

ai
• Divulgação não autorizada
• Acesso não autorizado
.tr
• ... de / para dados pessoais transmitidos, armazenados ou processados ​de
w
outra forma.
w
w

74
 r
.b
5.2 REQUISITOS PARA NOTIFICAÇÃO DE

m
VIOLAÇÕES DE DADOS

co
g.
in
nn
ai
.tr
w
w
w

75
5.2.1 Notificação da autoridade supervisora

r
.b
O que ?

m
• O responsável pelo tratamento deve documentar qualquer violação de dados pessoais,
incluindo os fatos relacionados à violação de dados pessoais, seus efeitos e as medidas

co
corretivas adotadas. cláusula 5)
Quando?
• O processador deve, sem demora injustificada após tomar conhecimento de uma violação de

g.
dados pessoais, notificar o controlador. (Cláusula 2)
• O responsável pelo tratamento deve, sem demora injustificada após tomar conhecimento de

in
uma violação de dados pessoais, notificar a autoridade supervisora ​.; e NÃO mais de 72 horas
depois de tomar conhecimento. (cláusula 1)

nn
Quando não ?
• Quando for improvável que a violação de dados pessoais resulte em risco para os direitos e liberdades das
pessoas singulares. (cláusula 1)

ai
Como? A notificação contém: .tr
1. A natureza da violação de dados pessoais, incluindo: categorias e número aproximado de
titulares e registros de dados afetados;
2. Nome e detalhes de contato do DPO (ou outro contato);
w
3. As prováveis c ​ onseqüências da violação de dados pessoais;
w

4. Medidas tomadas e / ou propostas (incluindo aquelas para mitigar possíveis efeitos

adversos).
w

76
5.2.2 Notificação do titular dos dados

r
.b
Quando?

m
• A violação de dados pessoais provavelmente resultará em um alto risco para os direitos e
liberdades das pessoas singulares

co
Quando não?
• Se o controlador implementou medidas que impeçam que os dados pessoais sejam lidos por

g.
pessoas não autorizadas (por exemplo, criptografia)
• Se o controlador tiver tomado medidas para garantir que o "alto risco" não seja provável.

in
• Se a notificação do titular dos dados exigir um esforço desproporcional (por exemplo, um
grande número de titulares de dados; nesse caso, uma comunicação pública seria

nn
considerada uma 'maneira igualmente eficaz')
Como?
• Em linguagem clara e clara

ai
• Em estreita cooperação com a autoridade de supervisão
.tr
• A notificação contém:
1. Nome e detalhes de contato do DPO (ou outro contato);
w
2. As prováveis c ​ onsequências da violação de dados pessoais
3. As medidas adotadas ou propostas para solucionar a violação de dados pessoais
w

(incluindo aquelas para mitigar possíveis efeitos adversos).

w

77
Case: Notificação do titular dos dados

r
.b
Violação de dados e medidas propostas

m
Violação de dados
Ataque via ransomware.

co
Efeitos nos dados pessoais: nenhum dado pessoal foi danificado, roubado ou
prejudicado.

g.
in
Medidas atuais

nn
1. Backup em 2 locais
2. Anti-malware

ai
3. Monitoramento de Segurança
4. Firewalls
.tr
Novas medidas propostas a serem adotadas
w
1. Treine a equipe em técnicas de engenharia social.
2. Bloqueie endereços IP e sites maliciosos conhecidos (Nota 1).
w
w

78
5.2.3 Os elementos da obrigação de documentação do

r
.b
RGPD em relação a violações de dados

m
• Existe uma obrigação geral de manter registros das atividades de processamento

co
• O responsável pelo tratamento documentará quaisquer violações de dados
pessoais, incluindo

g.
1. Os fatos relacionados à violação de dados pessoais; natureza, categorias e
número de dados e titulares dos dados

in
2. O nome e os detalhes de contato do DPO

nn
3. Seus efeitos (consequências)
4. As medidas e medidas corretivas adotadas

ai
• O responsável pelo tratamento deve documentar qualquer violação de dados
pessoais
.tr
Essa documentação deve permitir que a autoridade supervisora ​verifique a
w
conformidade com o artigo 33: Notificação de uma violação de dados pessoais
à autoridade supervisora
w
w

79
 r
.b
m
co
• Save 25% of costs by training the talent

g.
• Certificate leverages career
opportunities you already have (Gartner).

in
• Certificate contributes to • Defence against aging IT workforce

nn
productivity • Enhanced employee self-esteem
• Training and certification are • Better quality in process and IT

ai
satisfaction drivers infrastructure
• Developing team skills reduces failure,
.tr
decreases costs, increases
w
effectiveness
• Staff retention
w

• Beat the competition

w

80
 r
.b
m
co
g.
in
nn
ai
ABOUT EXIN .tr
Published and designed by EXIN. EXIN is the global independent certification institute for professionals
in the IT domain. With more than 30 years of experience in certifying the competences of over 2 million
w
IT professionals, EXIN is the leading and trusted authority in the IT market. With over 1000 accredited
partners EXIN facilitates exams and e-competence assessments in more than 165 countries and 20
w

languages. EXIN is co-initiator of the e-Competence Framework, which was set up to provide
unambiguous ICT certification measurement principles within Europe and beyond.
w

81
 r
.b
m
co
g.
in
nn
Thank you – EXIN Privacy & Data Protection Practitioner

QUESTIONS?
ai
.tr
w
w
w

82