GDPR - Unirede Treinamentos

Privacy & Data Protection
Foundation
GDPR – General Data Protection Regulation
Treinamento Oficial Exin
Preparatório para Exame de Certificação "Foundation"
Treinamentos
Material de apoio aos estudos
• Este material é de uso exclusivo da Unirede Treinamentos em treinamentos oficiais Exin;
• Este material não deve ser divulgado;
• Este material aborda temas relacionados ao Regulamento Geral de Proteção de Dados da União Europeia, conhecida como GDPR (EU –
2016/679), e tem como objetivo auxiliar o aluno para que tenha êxito no exame de certificação correspondente Exin;
• Este material não substitui as aulas e os temas abordados pelo professor do treinamento;
SOBRE A EXIN
• EXIN é o instituto global de certificação independente para profissionais do domínio de TI. Com mais de 30 anos de experiência na
certificação de competências de mais de 2 milhões de profissionais de TI, a EXIN é a autoridade líder e confiável no mercado de TI. Com
mais de 1000 parceiros credenciados, o EXIN facilita exames e avaliações de competência eletrônica em mais de 165 países e 20 idiomas.
O EXIN é co-iniciador da Estrutura de Competência Eletrônica, que foi criada para fornecer princípios inequívocos de medição de
certificação de TIC na Europa e além.
Treinamentos
Treinamentos e Certificações
Privacy & Data Protection
Treinamentos
Programa DPO
Treinamentos
Objetivos do curso e público alvo
O treinamento "Privacy & Data Protection" ou "Privacidade e Proteção de Dados" da Unirede Treinamentos é oficial Exin e possui a
credibilidade do instituto Holandês que há mais de 30 anos acredita profissionais em todo o mundo, através de um imenso portfólio de
Treinamentos e Certificações.
Este treinamento é voltado não apenas aos profissionais de Tecnologia da Informação e Comunicação (TIC), mas a todos os colaboradores de
uma empresa/organização, pois precisam compreender a temática da privacidade e proteção de dados pessoais e os requisitos legais
envolvidos.
O objetivo principal do treinamento é capacitar pessoas e organizações quanto ao básico sobre o tema "Privacidade e Proteção de Dados
Pessoais", podendo o aluno/profissional desejar alcançar a certificação correspondente ou apenas horas de treinamento!
Objetivos do curso e público alvo
A certificação EXIN Privacy & Data Protection Foundation testa candidatos no Bloom Nível 1:
•Bloom Level 1: Remembering (Lembrança) -depende da recuperação de informações. Os candidatos precisarão absorver,
lembrar, reconhecer e recordar. Este é o elemento fundamental da aprendizagem antes que os candidatos possam avançar para níveis mais
elevados.
•Bloom Level 2: Understanding (Compreensão) -um passo além da lembrança. O entendimento mostra que os candidatos compreendem
o que é apresentado e podem avaliar como o material de aprendizagem pode ser aplicado em seu próprio ambiente.
Requisitos para a Certificação
Para que o aluno/profissional tenha sucesso no exame de certificação em nível "Foundation", é necessário que seja aprovado, conforme:
Tipo de exame: Pergunta de múltipla escolha

Número de questões: 40
Mínimo para aprovação: 65%
Com consulta: Não
Equipamentos eletrônicos permitidos: Não
Tempo designado para o exame: 60 minutos
Literatura adicional recomendada
A. Calder
EU GDPR, A pocket guide
IT Governance Publishing
ISBN 978-1-84928-855-2(or ISBN978-1-84928-857-6 for e-book)
Treinamentos
Literatura adicional recomendada
L. Besemer
White Paper – Privacidade, Dados Pessoais e GDPR
Faça o download gratuito em:
http://bit.ly/PDPF_PR_literature
European Commission
General Data Protection Regulation (GDPR) Regulation (EU) 2016/679) Regulation of the European Parliament and the Council of the
European Union. Brussels, 6 April 2016, disponível em:
http://eur-lex.europa.eu
PDF: http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=EN
HTML: http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=OJ:L:2016:119:FULL&from=EN
Treinamentos
Metodologias do Treinamento
A Unirede Treinamentos possui as seguintes modalidades de treinamentos:
• Presencial: Treinamento na sede da empresa ou sala por ela locada, caracterizando turma aberta de livre participação de interessados,
mediante contratação;
• In Company: Treinamento na sede do cliente ou local por ele solicitado, caracterizando turma fechada com participação apenas de
alunos pelo cliente sinalizados;
• Online e ao vivo: Aulas via web conferência, ao vivo, onde alunos e professor se encontram com data e horário agendado, para
estudo em conjunto. As aulas ao vivo são gravadas e disponibilizadas para que os alunos possam rever seu conteúdo por período
determinado de tempo.
Sobre a rotina de estudos
A Unirede Treinamentos disponibiliza materiais de apoio ao estudo, que podem ser encontrados no endereço abaixo (independente da
modalidade do treinamento):
https://ead.unirede.net
Dentre os materiais encontram-se:

• Literatura complementar para auxiliar exemplificações;
• Links com leituras complementares;
• Apostila oficial da Unirede Treinamentos;
• Exames simulados;
• Certificado de participação do treinamento Exin & Unirede Treinamentos;
• Videoteca das aulas online que foram gravadas para a turma atual (para modalidade online);
• Fórum de suporte às aulas;
• Avaliação e Feedback do treinamento.
Estrutura e ementa do treinamento
• Breve histórico da GDPR

• Fundamentos e regulamentação de privacidade e proteção de dados
• Definições
• Dados Pessoais
• Fundamentos legítimos e limitação de propósito
• Requisitos adicionais para processamento legítimo de dados pessoais
• Direitos do titular dos dados
• Violação de dados e procedimentos relacionados
• Organizando a proteção de dados
• Importância da proteção de dados para a organização
• Autoridade Nacional de Proteção de Dados (ANPD)
• Transferência de dados pessoais para outros países
• Normas Corporativas Globais e proteção de dados em contratos
• Práticas de proteção de dados
• Proteção de dados desde a concepção (by design) e por padrão
• Relatório de impacto sobre a proteção de dados (RIPD)
• Aplicações práticas relacionadas ao uso de dados, marketing e mídias sociais
Treinamentos
Breve histórico da GDPR
Treinamentos
1890 1950
1981 2016 2016
The Right to Convenção 1995 2002 2016
Tratado de GDPR - Diretiva
Privacy: Brandeis Europeia sobre Diretiva 95/46/ec EU Charter Diretiva 2016/680
Estrasburgo 25/02/2018 2016/681
& Warren Direitos Humanos
1948
Declaração
Universal dos
Direitos Humanos
Treinamentos
1890: "The Right to Privacy
Louis Brandeis, advogado de Boston, 34 anos, escreveu essas palavras 26 anos antes de ingressar na Suprema Corte. A invenção a que ele se
refere é a câmera portátil e os métodos de negócios, o jornalismo de celebridades.
Fonte: https://www.brandeis.edu/now/2013/july/privacy.html
Treinamentos
1948: Declaração Universal dos Direitos Humanos
Artigo 12º
"Ninguém sofrerá intromissões arbitrárias na sua vida privada, na sua família, no seu domicílio ou na sua correspondência, nem ataques à
sua honra e reputação. Contra tais intromissões ou ataques toda a pessoa tem direito a proteção da lei."
Fonte: https://nacoesunidas.org/wp-content/uploads/2018/10/DUDH.pdf
Treinamentos
1950: Convenção Europeia sobre Direitos Humanos
"Os Estados-Membros da União Europeia assinaram na Convenção Europeia de Direitos Humanos (ECHR -European Convention of Human
Rights, 1950) um tratado para defender os direitos humanos em toda a União Europeia, entre eles o direito ao respeito pela vida privada e
familiar."
Fonte: https://dam.exin.com/api/&request=asset.permadownload&id=3813&type=this&token=b919a584f9c26623c236268316de989f
Treinamentos
1981: Tratado de Estrasburgo
"Essas diretrizes foram formalizadas em 1981 pela Convenção para a Proteção de Indivíduos no que diz respeito ao Processamento
Automático de Dados Pessoais, também conhecido como Tratado de Estrasburgo."
As diretrizes acima sinalizadas foram "Um primeiro esforço para consolar a proteção da privacidade e a necessidade de fluxo internacional de
dados pessoais livre veio da Organização para a Cooperação e Desenvolvimento Econômico (OCDE) em 1980: Diretrizes para a Proteção da
Privacidade e Fluxos Transfronteiriços de Dados Pessoais (Guidelines on the Protection of Privacy and Trans-border flows of Personal Data)."
Treinamentos
1995: Diretiva 95/46/EC
"Embora o desenvolvimento do comércio internacional e a necessidade de proteção continuassem, a necessidade de harmonização da lei
europeia de privacidade foi sentida. Em 1995, isso resultou na "Diretiva de Proteção de Dados" 95/46/EC."
Recorte da página 1 da referida Diretiva. Leia na íntegra por este link.
Treinamentos
2002: EU Charter
"A Carta dos Direitos Fundamentais da União Europeia (CEDH, a «Carta», proclamada em dezembro de 2002) incluiu os princípios gerais
estabelecidos na CEDH. A Carta refere-se explicitamente à proteção da privacidade e à proteção de dados pessoais como um direito
fundamental:
Artigo 7
Respeito à vida privada e familiar
a) Toda pessoa tem o direito à sua vida privada e familiar, sua casa e sua correspondência.
Artigo 8
Proteção de dados pessoais
a) Toda pessoa tem direito à proteção dos dados pessoais que lhe digam respeito.
b) Esses dados devem ser tratados de forma justa para fins específicos e com base no consentimento da pessoa em causa ou em qualquer
outra base legítima estabelecida por lei. Todos têm o direito de acessar os dados coletados sobre ele e o direito de retificá-los.
c) O cumprimento destas regras está sujeito ao controle de uma autoridade independente."
Fonte: https://www.echr.coe.int/Documents/Convention_ENG.pdf
Treinamentos
2016: GDPR: EU - 2016/679 (a partir de 25/05/2018)
"Embora o progresso no processamento de dados tenha aumentado a cada ano, o comércio internacional foi prejudicado porque as regras e
regulamentações nos Estados-Membros, embora baseadas na Diretiva 95/46/EC, ainda eram bastante diversificadas. Após anos de discussão,
finalmente (UE) 2016/679 -o Regulamento Geral de Proteção de Dados (GDPR) -entrou em vigor em 25 de maio de 2016. Será aplicado
integralmente a partir de 25 de maio de 2018, ao mesmo tempo que revoga a Diretiva 95/46/CE."
Acesse este link e busque pelo termo "95/46":
Treinamentos
2016: GDPR: EU - 2016/680
"O GDPR se aplica a dados pessoais de forma estruturada, desde sistemas de banco de dados totalmente automatizados até arquivos
baseados em papel, como os arquivos médicos clássicos ainda usados em alguns hospitais. Existem algumas exceções. Em vez do GDPR, a
Diretiva 2016/680 (ou seja, legislação nacional com base nesta diretiva) aplica-se a atividades relacionadas com a política externa e de
segurança comum, pelo tratamento pelas autoridades competentes para efeitos de prevenção, investigação, detecção ou repressão de
infrações penais ou a execução de sanções penais."
Treinamentos
2016: GDPR: EU - 2016/681
"Diretiva (UE) 2016/681 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à utilização dos dados dos registos de
identificação dos passageiros (PNR) para efeitos de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade
grave."
Fonte: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A32016L0681
Treinamentos
Fundamentos e regulamentação de privacidade
e proteção de dados
Treinamentos
Fundamentos e regulamentação...
Treinamentos
GDPR em foco (EU & EEA)...
• Clique no link para ver o atual mapa da União Européia!
• Questão importante: Antes, eram 28 países na EU + 3 países que EEA (Área Econômica Européia). Com o advento do Brexit, o
Reino Unido terá sua saída da EU até 31 de Dezembro de 2020. Serão 27 países e até o momento, não há clareza sobre o furuto
da AEE, se contará ou não com este último.
• E a GDPR para o Reino Unido, como se aplica, e se ainda se aplica? Leita o texto aqui.
• Um pouco mais sobre Dados e Privacidade no Reino Unido, aqui.
Treinamentos
GDPR em números
Link para infográfico de 2019!
Treinamentos
Definições
• Privacidade
• Proteção de Dados Pessoais
Os dois termos acima são citados pela GDPR, porém, não são descritos seus conceitos ou ainda suas definições na mesma lei. No
entanto, é correto afirmar que:
"Sem proteção de dados, não há privacidade."
De fato, se no mundo da economia digital, uma simples transação de compra online de um produto qualquer, exige dados cadastrais
(entendemos também estes serem dados pessoais), a não proteção de tais dados pode expor o indivíduo de forma a causar-lhe
possível violação de sua privacidade.
Com base nesta informação, pode-se ressaltar que toda organização terá de zelar pela proteção dos dados pessoais de seus
clientes, sendo que o não cumprimento destes deveres podem gerar penalidades diversas, chegando à multas elevadas
e devastadoras para o negócio em si, podendo até mesmo, em último caso, inviabilizar o negócio.
Treinamentos
Definições
Embora a GDPR, seja basicamente sobre Privacidade, seu conceito não está explícito no texto da Lei. O que ela seria?
Treinamentos
Definições
• Privacidade
• o direito de respeitar a vida privada e familiar de uma pessoa, sua casa e correspondência.
• Fonte: White Paper Privacy & Data Protection - GDPR
• Dados Pessoais
• Qualquer informação relativa a uma pessoa física identificada ou identificável.
• Fonte: EU GDPR, Um guia de bolso - Capítulo 2 Termos e definições GDPR 2016/679 Artigo 4: definição
• Toda Informação relacionada a uma pessoa identificada ou identificável, não se limitando, portanto, a nome, sobrenome,
apelido, idade, endereço residencial ou eletrônico, podendo incluir dados de localização, placas de automóvel, perfis de
compras, número IP, dados acadêmicos, histórico de compras, entre outros. Sempre relacionada à pessoa natural viva.
• Proteção de Dados Pessoais - Comentários à Lei 13.709/2018 - Patricia Peck Pinheiro, p25
• Proteção de Dados Pessoais

• Sugestivamente, aplicam-se os conceitos de Segurança da Informação, previstos na ISO/IEC 27001, que têm por
característica, preservar a disponibilidade, integridade, confidencialidade e demais propriedades que puderem
ser atribuídas aos referidos dados pessoais.
Treinamentos
Definições
Dados Pessoais segundo a GDPR:
Importante: Um endereço de e-mail pode ou não ser considerado um dado pessoal. Veja a diferença:
Email considerado Dado Pessoal = paulo.deolindo@unirede.net

Email NÃO considerado Dado Pessoal = paulo@unirede.net
Leita o texto na íntegra aqui.
Treinamentos
Dados pessoais
Exercício dinâmico:
Em uma loja de chocolates que fica situada em um shopping, existe o sinal de wi-fi liberado para uso dos clientes.
O dono da loja deseja saber os nomes das pessoas que acessaram seu sinal de Internet pelo wi-fi, a fim de identificar cada um e enviar e-
mails e SMS promocionais, ou ainda, guardar estes dados para outros fins.
Isso é possível?
Caso seja possível, isso é legal?
Qual a ótica da GDPR sobre o tema?
Treinamentos
Dados pessoais
Introdução ao conceito de ANONIMIZAÇÃO de dados...
Ainda sobre a questão anterior, fornecedores de software estão cada vez mais aderindo às legislações globais, aplicando o conceito de
Proteção de Dados por padrão e desde a concepção (by default and by design), e já implementam métodos de anonimização de MAC
ADDRESS em seus equipamentos WI-FI.
Alguns links referenciais:
Tails - https://tails.boum.org/index.pt.html
Change MAC on Linux - https://www.ostechnix.com/change-mac-address-linux/
Change MAC on Windows - https://www.groovypost.com/howto/change-mac-address-windows-10-why/
Treinamentos
Definições
No que diz respeito à Segurança da Informação, é importante buscar as boas práticas aprendidas quanto ao normativo correspondente:
A norma "ISO/IEC 27001" especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de
gerenciamento de segurança da informação no contexto da organização. Também inclui requisitos para a avaliação e tratamento de riscos à
segurança da informação, adaptados às necessidades da organização. Os requisitos estabelecidos na ISO / IEC 27001: 2013 são genéricos e
devem ser aplicáveis a todas as organizações, independentemente do tipo, tamanho ou natureza.
Treinamentos
Definições
Agora, veja o normativo sobre Sistema de Gestão de Informações Privadas (ou de privacidade de dados) - PIMS
Fonte: https://www.iso.org/standard/71670.html
Treinamentos
Dados pessoais
Exercício dinâmico:
Respostas:
Isso é possível? R: Sim, todo sinal de wi-fi, principalmente via celular, é atribuído à um endereço MAC do aparelho de telefone, que está
associado ao seu proprietário/titular.
Caso seja possível, isso é legal? R: Se existe um dado que pode levar à identificação de uma pessoa, este dado é considerado pessoal e
segundo a GDPR, devem ser protegidos.
Qual a ótica da GDPR sobre o tema? R: As operadoras têm acesso a tais dados para fins de processamento que, também segundo a GDPR,
são submetidos a processamento adequado. Logo, o dono da loja de shopping não pode utilizar os mesmos meios técnicos para identificar
as pessoas. É ilícito.
O que pode ser feito para que os endereços MAC dos dispositivos conectados à Internet não possam identificar seus respectivos "donos"? R:
Aplicar técnicas de anonimização, seja no dispositivo (iniciativa do usuário avançado) ou por parte de quem oferta a rede para uso.
Treinamentos
Definições (continuação)
Treinamentos
É importante continuar o entendimento de algumas definições conforme a GDPR:
Titular: Pessoa a quem se referem os dados pessoais que são objeto de algum tratamento; alguém que possa ser identificado, direta ou
indiretamente, em particular referência por dados em tratamento;
Processamento de dados: Toda operação realizada com algum tipo de manuseio de dados pessoais: coleta, produção, recepção,
classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, edição, eliminação, avaliação ou
controle da informação, modificação, comunicação, transferência, difusão ou extração;
Treinamentos
Dados Pessoais especiais: "O GDPR distingue várias categorias de dados pessoais que merecem um tratamento especial. As categorias de
dados pessoais especiais são:
• dados que revelam origem racial ou étnica;
• dados que revelam opiniões políticas;
• dados que revelam crenças religiosas ou filosóficas;
• dados que revela adesão sindical;
• dados genéticos;
• dados biométricos processados com a finalidade de identificar unicamente uma pessoa física;
• dados relativos à saúde;
• dados relativos à vida sexual ou orientação sexual de uma pessoa singular."
Treinamentos
Anonimização: "Significa que nenhuma informação a partir da qual a pessoa a quem os dados se referem pode ser identificada de qualquer
forma."
Dados anonimizados: São dados que passaram pelo processo de anonimização e por isso, não podem mais ser identificadores de
uma pessoa, logo, também já não são considerados Dados Pessoais.
Leia neste link, uma versão de um "Guia para Técnicas Básicas de Anonimização de Dados".
Treinamentos
Consentimento: "A ideia do GDPR é que um titular dos dados deve ser informado caso seus dados pessoais estejam sendo processados. Se o
processamento se basear no consentimento, o titular dos dados deve saber com o que ele está consentindo ("consentimento informado")."
Agentes de tratamento: São o Controlador e Operador;

Controlador: "Controlador significa a pessoa física ou jurídica, autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outros, determina os fins e os meios do tratamento
de dados pessoais. Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Artigo 4 (7)"
Processador: "é uma pessoa física ou jurídica, autoridade pública, agência ou outro organismo que processa dados pessoais em nome do controlador. Fonte: Regulamento Geral de Proteção de Dados (UE)
2016/679; Artigo 4 (8)"
Diretor de Proteção de Dados (DPO - Data Protection Officer): "O DPO é uma pessoa que tem a tarefa formal de garantir que a organização
esteja ciente e cumpra suas responsabilidades e obrigações de proteção de dados de acordo com o GDPR e as leis do Estado-Membro;"
Treinamentos
Titular de Dados Controlador Operador Cloud Providers ( Processadores)
Treinamentos
O que dizem sobre a GDPR os "Cloud Providers"?
AWS --> https://aws.amazon.com/pt/compliance/gdpr-center/

Azure --> É preciso baixar o Whitepapper --> https://resources.office.com/ww-landing-m365e-identify-weaklinks-in-your-security-interactive-ebook.html?LCID=en
Google Cloud --> https://cloud.google.com/security/gdpr
Treinamentos
Avaliação de Impacto sobre a Proteção de Dados - AIPD: "A AIPD é um processo concebido para descrever o processamento, avaliar a
necessidade e a proporcionalidade de um processamento e ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares
resultantes do processamento de dados pessoais;"
Autoridades Supervisoras: "Muitas vezes chamadas de 'Autoridade de Proteção de Dados' (DPA), a principal responsabilidade de uma
Autoridade Supervisora é monitorizar e fazer cumprir a aplicação do GDPR com o objetivo de proteger os direitos e liberdades fundamentais
das pessoas singulares em relação ao processamento e facilitar o livre fluxo de dados pessoais na União (Artigo 51)".
Os Estados-Membros devem poder estabelecer mais do que uma autoridade supervisora para refletir a sua estrutura constitucional, organizacional e administrativa. Fonte: Regulamento Geral de Proteção
de Dados (UE) 2016/679; explicação 117.
Transferência de dados transfronteiriço:

a) "Processamento de dados pessoais que ocorra no contexto das atividades de estabelecimentos em mais do que um Estado-Membro de
um controlador ou de um processador na União em que o controlador ou o processador esteja estabelecido em mais de um Estado-
Membro;" ou
b) "Processamento de dados pessoais que ocorre no contexto das atividades de um único estabelecimento de um controlador ou de um
processador na União, mas que afeta substancialmente ou é suscetível de afetar substancialmente os titulares de dados em mais de um
Estado-Membro. Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Artigo 4(23)"
Treinamentos
One-stop-shop: "A supervisão da atividade de processamento transfronteiriço, ou processamento envolvendo cidadãos de mais de um país
da UE, é liderada por apenas uma autoridade supervisora, denominada “autoridade supervisora principal”."
Confira o texto em português sobre "One-stop-shop" no contexto da GDPR aqui.
Treinamentos
Dados pessoais
Definimos Dados Pessoais e a Proteção de Dados Pessoais;

Vejamos alguns tipos de Dados Pessoais:
• Diretos
• dados que podem ser atribuídos a um titular de dados específico sem o uso de informações adicionais; por exemplo: foto, DNA,
etc.
Treinamentos
Dados pessoais
• Indiretos
• dados que não podem ser atribuídos a um titular de dados específico sem o uso de informações adicionais; por
exemplo: Endereço IP, placa do carro, etc.
Treinamentos
Dados pessoais
• Pseudonimizados
• Pseudonimização de dados significa o processamento de dados pessoais de forma que os dados pessoais não possam mais ser
atribuídos a um titular de dados específico sem o uso de informações adicionais. O processo é reversível (com uma chave). São
considerados dados pessoais.
• Anonimização significa que nenhuma informação da qual a pessoa a quem os dados se relacionam pode ser identificada. NÃO
são considerados dados pessoais.
Treinamentos
Dados pessoais sensíveis
Definimos Dados Pessoais Sensíveis, que segundo a GDPR, pertencem à "Categoria de Dados Especiais". Vejamos alguns tipos de Dados
Pessoais Sensíveis:
• origem racial ou étnica

• opiniões políticas
• crenças religiosas ou filosóficas ou filiação sindical
• dados genéticos
• dados biométricos com o objetivo de identificar exclusivamente uma pessoa natural
• dados relativos à saúde
• dados relativos à vida sexual ou orientação sexual de uma pessoa singular
Treinamentos
Dados pessoais
Exercício dinâmico sobre dados sensíveis.
João da Silva se filiou a um partido político.
Q: Esta seria uma informação sensível sobre João?
Q: Se esta lista de nomes do partido fosse a público, que tipo de incidente poderíamos considerar, segundo a GDPR?
Treinamentos
Dados pessoais
Resposta ao exercício dinâmico sobre dados sensíveis.
João da Silva se filiou a um partido político.
Q: Esta seria uma informação sensível sobre João?

R: Sim.
Q: Se esta lista de nomes do partido fosse a público, que tipo de incidente poderíamos considerar, segundo a GDPR?
R: Violação de Dados.
Treinamentos
Dados pessoais
Conforme a GDPR, é proibido o processamento/tratamento de Dados Pessoais Especiais, exceto nos casos explicitamente mencionados no
Artigo 9 do GDPR.
Consulte aqui o texto completo e busque especificamente pelo Artigo 9.º
Vale a leitura e debate, em especial, sobre dados relativos à saúde, tema vivo e impulsionado ainda mais pela COVID-19.
Treinamentos
Fundamentos legítimos e limitação de propósitos
Os possíveis 6 fundamentos para o processamento de dados pessoais...
Treinamentos
Organização ABC deseja processar dados

pessoais!
Há outros meios de
se alcançar o
objetivo desejado?
Sim Não
Há ao menos 1
Use outros meios!
fundamento legal?
Há ao menos
1 fundamento legal?
Sim
Caso haja
Aplica-se princípios de
processamento, será
processamento de dados.
Não ilícito.
Treinamentos
De acordo com a GDPR, existem 6 possíveis fundamentos para legitimar o processamento de dados pessoais:
• Consentimento inequívoco para o processamento (pelo titular dos dados);

• Necessário para a execução de um contrato do qual o titular dos dados é parte, ...
• O processamento é necessário para cumprir uma obrigação legal à qual a parte responsável está sujeita;
• O processamento é necessário para proteger um interesse vital do titular dos dados;
• O processamento é necessário para o desempenho adequado de um dever de direito público ...
• O processamento é necessário para manter os interesses legítimos da parte responsável ou de um terceiro a quem os dados são
fornecidos, exceto onde prevalecem os interesses ou direitos e liberdades fundamentais do titular dos dados.
De fato, se não houver o apontamento do processamento para com ao menos 1 dos 6 fundamentos descritos acima, o ato será ilícito.
Treinamentos
Princípios do processamento de dados:
Treinamentos
• Legalidade, justiça e transparência

• Limitação de finalidade
• Minimização de dados
• Precisão
• Limitação de armazenamento
• Integridade e confidencialidade
• Prestação de contas
Treinamentos
• Legalidade, justiça e transparência

• Os dados pessoais devem ser processados de forma legal, justa e transparente em relação ao titular dos dados. O titular dos
dados pode perguntar como seus dados são processados, se não estiver claro para eles.
• O desdobramento deste tema pode levar aos Direitos do Titular de Dados (que veremos mais à frente).
• Limitação de finalidade
• Os dados pessoais devem ser coletados para fins especificados, explícitos e legítimos e não devem ser processados de
maneira incompatível com esses fins.
• Processamento adicional é permitido para:
• fins de arquivamento de interesse público,
• pesquisa científica ou histórica ou
• fins estatísticos.
Treinamentos
• Minimização de dados
• Os dados pessoais devem ser adequados, relevantes e limitados ao necessário em relação aos fins para os quais são processados.
• Precisão
• Os dados pessoais devem ser precisos e, se necessário, atualizados: todas as medidas razoáveis devem ser tomadas para garantir
que os dados pessoais que são incorretos sejam retificados ou excluídos.
• Limitação de armazenamento
• Os dados pessoais devem ser mantidos em um formato que permita a identificação dos titulares de dados por não mais do que o
necessário para as finalidades para as quais os dados pessoais são processados; etc.
Treinamentos
• Integridade e Confidencialidade
• Os dados pessoais devem ser processados de maneira a garantir a segurança apropriada dos dados pessoais, incluindo proteção
contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental, usando medidas técnicas ou
organizacionais apropriadas.
• Prestação de Contas
• O controlador é responsável pelo processamento de dados. Isso significa que o controlador é responsável pela conformidade com
os princípios mencionados acima, juntamente com o processador. O controlador também deve ser capaz de demonstrar
conformidade com os princípios de processamento de dados.
Treinamentos
Segundo a GDPR, para fins de esclarecimentos, também temos os conceitos:
Subsidiariedade -
A subsidiariedade é encontrada na regra geral que exige que os dados pessoais só possam ser processados se não houver outros meios para
alcançar os objetivos.
Proporcionalidade -
Não devem ser reunidos mais dados do que o estritamente necessário.
Entendemos então que, sob a ótica da Limitação de Propósito:

"Os dados pessoais devem ser coletados para fins especificados, explícitos e legítimos e não devem ser processados de maneira
incompatível com esses fins."
Fonte: White Paper Privacy & Data Protection - GDPR
Treinamentos
Direitos do Titular de Dados, de forma resumida, pela Exin:
1. Informação
1. Direito de saber quais informações uma organização tem à seu respeito, em detalhes.
2. Acesso
1. De forma facilitada, o Titular de Dados pode solicitar acesso aos seus dados pessoais em processamento.
3. Retificação
1. Solicitar correção de seus dados pessoais, caso não concorde com alguma informação errônea.
4. Apagamento ("direito de ser esquecido")
1. Da mesma forma que o Titular pode solicitar acesso à informação e retificação de seus dados pessoais, ele pode solicitar que seus
dados sejam excluídos (salvas exceções previstas em Lei).
5. Restrição de processamento
1. Caso não concorde com algum termo do processamento proposto, o Titular de Dados pode se opor, sem necessariamente,
solicitar a exclusão de seus Dados Pessoais.
Treinamentos
Direitos do Titular de Dados, de forma resumida, pela Exin:
6. Obrigação de notificação
1. No caso de haver uma Violação de Dados, o Titular tem o direito de ser notificado pelo Controlador, salvas exceções que o
desobrigam, conforme Artigo 19.º
7. Portabilidade de dados
1. Direito de obter do responsável pelo processamento, seus dados pessoais a ele fornecidos, num formato estruturado, de uso
corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento...
8. Objeto do processamento
1. direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados
pessoais que lhe digam respeito
9. Decisões individuais automatizadas, incluindo definição de perfis
1. direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a
definição de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma similar.
10. Direito de prestar queixa junto a uma Autoridade Supervisora
1. Sem prejuízo de qualquer outra solução administrativa ou judicial, todos os titulares dos dados têm o direito de apresentar uma
queixa a uma autoridade de controlo, em especial no EstadoMembro da sua residência habitual, local de trabalho ou local da
alegada violação se o titular dos dados considera que o processamento de dados pessoais que lhe digam respeito viola o presente
regulamento.
Treinamentos
O Capítulo III do GDPR, em suas várias seções e dos artigos de 12.º a 23.º, descreve em detalhes como se dão os Direitos do Titular de
Dados.
A leitura completa é sugerida!
Treinamentos
Violação de Dados
Treinamentos
Violação de Dados:
"Uma violação de dados, em termos do GDPR, é sempre um incidente de segurança. Não é apenas uma vulnerabilidade (risco de segurança)
ou uma ameaça à segurança; O pesadelo do gerente de segurança acabou de se tornar realidade. Além disso, o incidente deve ter levado a
uma situação em que dados pessoais foram ou podem ter sido processados ilegalmente. Consequentemente, nem todo incidente de
segurança é uma violação de dados.
Artigos sobre 'violação de dados' geralmente fornecem exemplos com cenários que incluem hackers (mal-intencionados) e 'terceiros'
obtendo acesso não autorizado a dados pessoais. A definição citada acima, no entanto, é muito mais ampla.
Um incêndio em um data center pode muito bem destruir os dados pessoais armazenados lá. Isso tornaria um incidente de segurança (os
dados não estão mais disponíveis) e uma violação de dados (os dados eram processados sem autorização). O mesmo ocorre no caso de um
processador excluir acidentalmente um conjunto de dados pessoais."
Treinamentos
Violação de Dados:
O conceito extraído do GDPR, Artigo 4.º (Definições)
«Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a
divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;
Treinamentos
Violação de Dados: Consideração 85 (GDPR)
... "Por conseguinte, logo que o responsável pelo tratamento tenha conhecimento de uma violação de dados pessoais, deverá notificá-la à
autoridade de controlo, sem demora injustificada e, sempre que possível, no prazo de 72 horas após ter tido conhecimento do ocorrido, a
menos que seja capaz de demonstrar em conformidade com o princípio da responsabilidade, que essa violação não é suscetível de implicar
um risco para os direitos e liberdades das pessoas singulares. Se não for possível efetuar essa notificação no prazo de 72 horas, a notificação
deverá ser acompanhada dos motivos do atraso, podendo as informações ser fornecidas por fases sem demora injustificada."
Treinamentos
Organizando a proteção de dados
Treinamentos
Importância da proteção de dados para a organização
De uma cultura de coleta de informações de forma desenfreada e muitas vezes, irresponsável, à adequação ao GDPR, existe um longo
caminho a ser trilhado!
Até a presente data, fazem justamente 2 anos que o regulamento Europeu entrou em vigor (e 4 anos desde sua concepção) e de acordo com
estudos anteriormente demonstrados (repetimos abaixo), nem todos os cidadãos, empresas e organizações, entendem ou estão em
compliance com o GDPR.
Link para infográfico de 2019!
Treinamentos
Mas como estar em compliance com o GDPR? Quanto tempo leva a implementação? O que deve ser feito e por quem?
Em um comparativo, vejamos o cenário no Brasil:
" Atender aos requisitos da LGPD exige adequação dos processos de governança corporativa, com implementação de um programa mais
consistente de compliance digital, o que demanda investimento, atualização de ferramentas de segurança de dados, revisão documental,
melhoria de procedimentos e fluxos internos e externos de dados pessoais, com aplicação de mecanismos de controle e trilhas de auditoria
e, acima de tudo, mudança de cultura" - Patrícia Peck
Vamos refletir:
Seria diferente em organizações Europeias?
De certo, muitas dessas organizações já sinalizaram confusão e dificuldade para atender o regulamento.
Enquanto isso, Cyber Atacks (ataques cibernéticos) continuam crescendo e ameaçando a instabilidade do cenário de Violação de Dados e
expondo cada vez mais essas organizações e o pior, sob a ótica do GDPR, o Titular de Dados.
Recomendada a leitura desta matéria sobre a dificuldade de implementação e/ou manutenção do compliance na Europa, durante pandemia
de COVID-19
Treinamentos
Abaixo, temos uma lista de Tipos de Requisitos Administrativos para o Controlador, em relação às suas obrigações. Os detalhes podem ser
obtidos com a leitura dos Artigos 28.º, 29.º e 30.º do GDPR.
• Manter um registro das atividades de processamento

• Nome e detalhes do (s) controlador (es), representante do controlador e DPO
• Objetivo (s) do processamento
• Descrição de categorias de titulares de dados e dados pessoais
• Descrições de categorias de destinatários
• Transferências de dados pessoais para países terceiros ou organizações internacionais (incluindo salvaguardas)
• Informações de retenção de dados (quando apagadas)
• Descrição das medidas de segurança
Treinamentos
Da mesma forma, temos uma lista de Tipos de Requisitos Administrativos para o Processador.
• Manter um registro das atividades de processamento

• Nome e detalhes de contato de: processador (es), cada controlador, representante do controlador ou do processador e DPO
• Categorias de processamento realizadas em nome de cada controlador
• Transferências de dados pessoais para um país terceiro ou organização internacional
• Descrição das medidas de segurança
Treinamentos
À caminho do compliance...
O responsável pelo tratamento deve ser responsável e demonstrar a conformidade com os princípios relativos ao processamento de dados
pessoais. (Princípio da "responsabilidade")
• A adesão a códigos de conduta aprovados ou a mecanismos de certificação aprovados pode ser usada como um elemento pelo
qual demonstrar conformidade com as obrigações do controlador.
O controlador precisa:
• Demonstrar conformidade com as obrigações legais de processamento a que o controlador está sujeito (legalidade).
• Documente violações de dados para ajudar na verificação do cumprimento da obrigação de notificação pela autoridade
supervisora.
• Realize avaliações de impacto na proteção de dados para ajudar a demonstrar conformidade com o GDPR.
• Manter um registro das atividades de processamento (consulte os slides anteriores)
Veja um exemplo de "política de privacidade" de uma empresa que demonstra compliance com o GDPR.
Treinamentos
Definição de proteção de dados desde a concepção e por padrão
CERTIFICAÇÃO PARA COMPROVAÇÃO DO COMPLIANCE? Sim, isso pode ajudar!
Mas o GDPR não diz qual certificação é recomendada! Veja:
Treinamentos
E ainda...
Treinamentos
Proteção de Dados por padrão e desde a concepção | Data Protection by Design and by Default
Treinamentos
... o controlador ..., implemente medidas técnicas e organizacionais apropriadas, como pseudonimização e minimização de dados, projetadas
para implementar os princípios de proteção de dados, ... e para integrar as salvaguardas necessárias ao processamento, a fim de atender
aos requisitos do presente regulamento e proteger os direitos dos titulares dos dados
.
O responsável pelo tratamento deve implementar medidas técnicas e organizacionais apropriadas para garantir que, por padrão, apenas os
dados pessoais necessários para cada finalidade específica do processamento sejam processados.
“O Regulamento Geral de Proteção de Dados (GDPR) trata pela primeira vez a proteção de dados por projeto como uma obrigação legal para
controladores e processadores de dados, fazendo uma referência explícita à minimização de dados e ao possível uso de
pseudonimização.
Um mecanismo de certificação aprovado ... pode ser usado como um elemento para demonstrar conformidade com os requisitos.
Treinamentos
Importante:
A privacidade, como vimos, é oriunda de um sistema de proteção de dados bem implementado, logo:
Correto: Proteção de Dados como padrão (by design)
Incorreto: Privacidade como padrão (by design)
Treinamentos
Treinamentos
Violação de Dados, exemplos e ações relacionadas
A constante preocupação pela Proteção de Dados por Padrão e desde a Concepção de projetos, visam minimizar ou anular a possibilidade de
Violação de Dados nas organizações.
Abaixo, listamos alguns exemplos de Violações de Dados que repercutiram na mídia.
Le Figaro --> https://www.cisomag.com/french-newspaper-le-figaro-exposes-7-4-bn-users-records/

Natura --> https://thehack.com.br/natura-sofre-vazamento-de-dados-e-expoe-informacoes-de-250-mil-clientes/
Oakland County --> https://www.freep.com/story/news/nation/coronavirus/2020/04/16/oakland-county-covid-19-data-
leakage/5148194002/
Treinamentos
As causas mais comuns para Violação de Dados são:
1- Sites mal configurados pelos administradores;

2- Bancos de dados não criptografados;
3- Notebooks e equipamentos móveis sem devida proteção (criptografia);
4- Ataques Cibernéticos de Hackers que buscam com euforia brechas de segurança;
5- Funcionários insatisfeitos.
Acima, listamos informalmente as causas por conhecimento empírico, mas pesquisas de diversos tipos de estudos e empresas ajudam a se
prevenir contra esses e ouros males. Veja abaixo:
Checklist contra Violação de Dados --> https://www-cdn.webroot.com/1015/7652/9129/top-data-breach-vulnerabilities-checklist.pdf
Treinamentos
No caso de uma violação de dados, o GDPR descreve procedimentos que podem ser vislumbrados nos seguintes:
Artigo 33.º
Notificação de uma violação de dados pessoais à autoridade de controlo
1. Em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo competente nos
termos do artigo 55.o, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a
violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. Se a notificação à
autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada dos motivos do atraso.
Treinamentos
2. O subcontratante notifica o responsável pelo tratamento sem demora injustificada após ter conhecimento de uma violação de dados
pessoais. 3. A notificação referida no n.º 1 deve, pelo menos:
a) Descrever a natureza da violação dos dados pessoais incluindo, se possível, as categorias e o número aproximado de titulares de dados
afetados, bem como as categorias e o número aproximado de registos de dados pessoais em causa;
b) Comunicar o nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto onde possam ser obtidas mais
informações;
c) Descrever as consequências prováveis da violação de dados pessoais;
d) Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, inclusive, se for
caso disso, medidas para atenuar os seus eventuais efeitos negativos;
4. Caso, e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, estas podem ser fornecidas por fases, sem
demora injustificada.
5. O responsável pelo tratamento documenta quaisquer violações de dados pessoais, compreendendo os factos relacionados com as
mesmas, os respetivos efeitos e a medida de reparação adotada. Essa documentação deve permitir à autoridade de controlo verificar o
cumprimento do disposto no presente artigo.
Treinamentos
Artigo 34.º
Comunicação de uma violação de dados pessoais ao titular dos dados
1. Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o
responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada.
2. A comunicação ao titular dos dados a que se refere o n.º 1 do presente artigo descreve em linguagem clara e simples a natureza da
violação dos dados pessoais e fornece, pelo menos, as informações e medidas previstas no artigo 33.o, n.º 3, alíneas b), c) e d).
3. A comunicação ao titular dos dados a que se refere o n.º 1 não é exigida se for preenchida uma das seguintes condições:
a) O responsável pelo tratamento tiver aplicado medidas de proteção adequadas, tanto técnicas como organizativas, e essas medidas
tiverem sido aplicadas aos dados pessoais afetados pela violação de dados pessoais, especialmente medidas que tornem os dados pessoais
incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a cifragem;
b) O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos
titulares dos dados a que se refere o n.º 1 já não é suscetível de se concretizar; ou
c) Implicar um esforço desproporcionado. Nesse caso, é feita uma comunicação pública ou tomada uma medida semelhante através da qual
os titulares dos dados são informados de forma igualmente eficaz.
4. Se o responsável pelo tratamento não tiver já comunicado a violação de dados pessoais ao titular dos dados, a autoridade de controlo,
tendo considerado a probabilidade de a violação de dados pessoais resultar num elevado risco, pode exigir-lhe que proceda a essa
notificação ou pode constatar que se encontram preenchidas as condições referidas no n.º 3.
Treinamentos
O custo da Violação de Dados
Leia a matéria na íntegra, da Época Negócios --> Link
Treinamentos
As sanções administrativas (e multas)
As autoridades de supervisão monitoram a conformidade e podem distribuir multas administrativas e outras penalidades:
• até € 10 milhões ou 2% do volume de negócios anual total mundial pelas infrações mais formais (artigo 83 (4) do GDPR)
Por exemplo, por não cumprir a obrigação de notificação oportuna de uma violação de dados
• até € 20 milhões ou 4% do faturamento anual total mundial por violações dos princípios básicos (conforme discutido anteriormente),
Por exemplo, por não cumprir a obrigação de tomar medidas de segurança apropriadas
Treinamentos
Autoridade supervisora
Papel e Responsabilidade de uma Autoridade Supervisora
Algumas das tarefas:

• Monitorar e aplicar a aplicação do GDPR
• Aconselhar o parlamento nacional, o governo etc. sobre medidas legislativas e administrativas relacionadas à proteção de dados
• Adotar cláusulas contratuais padrão
• Estabelecer e manter uma lista em relação ao requisito para DPIAs
• Aprovar regras corporativas vinculativas
• Manter registros internos das violações deste regulamento
Treinamentos
Poderes
• Poderes de investigação (por exemplo, para realizar auditorias de proteção de dados, para notificar o controlador ou processador de uma
suposta violação)
• Poderes corretivos (por exemplo, emitir repreensões, ordenar a comunicação de uma violação de dados pessoais a um titular de dados,
retirar uma certificação, impor multas administrativas)
• Poderes de autorização e consultoria (por exemplo, adotar cláusulas contratuais padrão, emitir certificações)
Treinamentos
O Artigo 58 do GDPR estabelece os seguintes poderes para a Autoridade Supervisora:

• Poderes de investigação (por exemplo, para realizar auditorias de proteção de dados, para notificar o controlador ou processador de uma
suposta violação)
• Poderes corretivos (por exemplo, emitir repreensões, ordenar a comunicação de uma violação de dados pessoais a um titular de dados,
retirar uma certificação, impor multas administrativas)
• Poderes de autorização e consultoria (por exemplo, adotar cláusulas contratuais padrão, emitir certificações)
O artigo 83 estabelece as condições gerais para a aplicação de multas administrativas, incluindo:

• A instituição deve ser eficaz, proporcional e dissuasiva
• As circunstâncias que precisam ser levadas em consideração
Treinamentos
Transferência de dados pessoais
Transferência de Dados Pessoais: Dentro da Área Econômica Européia
Treinamentos
Transferência de dados pessoais para países terceiros
Todos os Estados-Membros da UE e os Estados-Membros do EEE (Espaço Econômico Europeu ou Área Econômica Européia) (Islândia,
Noruega e Liechtenstein) aplicam as disposições da Diretiva 95/46/CE.
Esses países respeitam, assim, os princípios de proteção de dados pessoais estabelecidos na diretiva.
Artigos do GDPR (> maio de 2018):

• 44: Princípio geral
• 45: Transferências com base em uma decisão de adequação
• 46: Transferências sujeitas a salvaguardas apropriadas
• 47: Regras corporativas vinculativas
• 48: Não autorizado
• 49: Derrogações para situações específicas
Artigo do GDPR: 28, par. 6, 7, 8
As empresas da UE que transferem dados pessoais para um país terceiro fora do EEE também podem contar com as chamadas "Cláusulas
modelo da UE".
Treinamentos
Transferência de Dados Pessoais: Fora da Área Econômica Européia
Treinamentos
Decisões de adequação da CE (Comissão Européia)
A Comissão Europeia está habilitada a decidir quais países terceiros são considerados para garantir um nível adequado de proteção.
Até agora, a Comissão Européia reconheceu Andorra, Argentina, Canadá (organizações comerciais), Ilhas Faroe, Guernsey, Israel, Ilha de Man,
Japão, Jersey, Nova Zelândia, Suíça, Uruguai e Estados Unidos da América (limitado ao Escudo de Privacidade) estrutura) como
fornecendo proteção adequada.
Mais informações podem ser encontradas em: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-

protection_en
Treinamentos
Decisão de adequação da CE
DECISÃO DE EXECUÇÃO (UE) 2016/1250 DA COMISSÃO de 12 de julho de 2016 nos termos da Diretiva 95/46 / CE do Parlamento Europeu e
do Conselho relativa à adequação da proteção fornecida pelos Estados Unidos da UE. Escudo de Privacidade
Treinamentos
Entendemos que, a transferência de dados pessoais transfonteiriças, de acordo com o GDPR, somente é possível se o país de destino ou a
organização internacional de destino respeitarem o GDPR, ou que tenham o nível mínimo adequado de proteção necessária aos dados do
Titular.
O grau de Proteção de Dados e Privacidade pelo mundo:

https://www.dlapiperdataprotection.com/
Treinamentos
Regras corporativas vinculativas
• As regras corporativas vinculativas (BCR) podem ser elaboradas por controladores e processadores.
• Regras corporativas vinculativas significam a criação de processos, procedimentos e acordos corporativos sobre o manuseio de dados
pessoais dentro da organização.
• O BCR precisa ser oficialmente aprovado pela autoridade supervisora competente para uso na União Europeia.
• Um BCR aprovado pode substituir
• Contrato escrito entre controlador e processador
• Ser usado para transferências de dados fora da UE
Treinamentos
Proteção de dados em contratos
Necessário
• Quando um controlador usa um processador para processar dados pessoais, um contrato por escrito entre essas partes é obrigatório.
• Mesmo se o processador for uma empresa subsidiária.
• Se se trata de uma empresa estrangeira.
• Se uma central de atendimento externa visualizar dados pessoais
• Este é um exemplo de processamento!
Treinamentos
Cláusulas contratuais importantes
• No contrato por escrito (ou outro tipo de ato legal por escrito), você precisa estipular que o processador processará apenas os dados
pessoais nos pedidos de você (o controlador).
• Você também precisa estipular que o processador cumpre todos os requisitos de segurança pelos quais você é responsável, de acordo
com o GDPR.
• Cláusulas contratuais padrão para transferências de dados fora da UE foram disponibilizadas pela Comissão Europeia
Veja abaixo, como é o modelo de Cláusulas Contratuais Padrão (Tipo) da União Européia:
Link --> https://bit.ly/2B6XjsE
Treinamentos
Obrigações Contratuais do Processador
O processador
• processa os dados pessoais somente em instruções documentadas do controlador,
• garante que todas as pessoas que processam os dados sejam abrangidas por uma NDA ("obrigação legal apropriada de
confidencialidade")
• toma medidas de segurança apropriadas (artigo 32)
• respeita as condições para a contratação de outro processador
• assiste o controlador por medidas técnicas e organizacionais apropriadas
• auxilia o controlador a garantir a conformidade com os requisitos de segurança para processamento (artigo 32) e consulta prévia (artigo
36)
• à escolha do controlador, exclui ou retorna todos os dados pessoais ao controlador após o término da prestação de serviços relacionados
ao processamento e exclui todas as cópias
• a menos que o armazenamento seja exigido pela legislação da UE (por exemplo, legislação tributária)
• disponibiliza ao controlador todas as informações necessárias para demonstrar o cumprimento das obrigações
Treinamentos
Práticas de proteção de dados
Treinamentos
Proteção de dados desde a concepção e por padrão
Aprendemos que para estar em compliance com o GDPR, organizações e demais envolvidos (controladores e processadores, principalmente),
devem voltar seus olhares à um "velho tema" chamado Segurança da Informação.
Neste aspecto, existem normativos internacionais que podem ser adotados como guias de boas práticas para auxiliar na tarefa de adequação
das organizações, envolvendo também os profissionais que nelas trabalham.
Importante ressaltar que o GDPR não cita nenhum normativo, mas sinaliza que uma certificação adequada pode auxiliar a demonstrar
compliance.
A norma ISO/IEC 27001 é um bom normativo para orientação, enquanto a ISO/IEC 27002 pode dar diretrizes do que se deve fazer para
alcançar tais resultados de forma mais prática.
Um pouco mais adiante, veremos a ISO/IEC 27701, um padrão "recente" para implementação e manutenção de um Sistema de Gestão de
Proteção de Dados.
Treinamentos
Um dos conceitos que estudamos há pouco foi o de Proteção de Dados desde a concepção e por padrão.
O que isso significa?
R: “O Controlador deve certificar-se da implementaão de medidas técnicas e organizacionais apropriadas para garantir que (...) sejam
processados apenas dados pessoais que sejam necessários para cada finalidade específica do processamento."
Novamente, é uma oportunidade de se aplicar a pseudomização e minimização dos dados pessoais no momento da determinação dos meios
de processamento e também no momento do próprio processamento, de forma a cumprir os requisitos da lei e proteger os direitos dos
titulares dos dados.
NOTA IMPORTANTE: Processadores normalmente são contratados por Controladores para a execução da tarefa de Processamento de Dados
Pessoais. Uma atenção especial deve ser voltada para os provedores de soluções em nuvem (Cloud Providers), que estão sempre
demonstrando esforço para auxiliar o Controlador em relação ao compliance, com alto padrões de tecnologia envolvidos.
Treinamentos
Benefícios da Proteção de Dados por Padrão e Desde a Concepção | by Default & by Desing
• Problemas potenciais são identificados em um estágio inicial, quando resolvê-los geralmente será mais simples e menos dispendioso.
• Maior conscientização sobre privacidade e proteção de dados em uma organização.
• É mais provável que as organizações cumpram suas obrigações legais e menos violem a Lei de Proteção de Dados.
• É menos provável que as ações sejam intrusivas na privacidade e tenham um impacto negativo nos indivíduos.
Treinamentos
"Princípios fundamentais"
1. Proativo não reativo
2. Proteção de dados como configuração padrão
3. Proteção de dados incorporada ao design
4. Funcionalidade completa
5. Segurança de ponta a ponta
6. Visibilidade e transparência
7. Respeito pela privacidade do usuário
Treinamentos
Outras medidas
Criptografia de discos de notebooks, desktops e servidores;
Treinamentos
Outras medidas
Antivírus atualizados;
Treinamentos
Relatório de impacto sobre a proteção de dados (RIPD)
Data Protection Impact Assessment (DPIA)
Treinamentos
Artigo 35.º
Avaliação de Impacto sobre a Proteção de Dados
1. Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e
finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo
tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção
de dados pessoais. Se um conjunto de operações de tratamento que apresentar riscos elevados semelhantes, pode ser analisado numa
única avaliação.
.......
Uma avaliação de impacto na proteção de dados (DPIA) é um instrumento de análise de risco:

• Ajuda a identificar riscos de proteção de dados (em um projeto);
• Ajuda a prever e evitar problemas e apresentar soluções para reduzir os riscos de proteção de dados.
Treinamentos
Além das já citadas, existem ainda outras razões para se conduzir um RIPD ou AIPD (DPIA), sendo:
A ideia de prevenção como um dos princípios da Proteção de Dados por projeto, a obrigação de documentar a conformidade, etc.
Em detalhes:
• evitar mudanças dispendiosas nos processos, redesenho de sistemas ou encerramento de projetos;
• reduzir as consequências da supervisão e fiscalização;
• melhorar a qualidade dos dados;
• melhorar a prestação de serviços;
• melhorar a tomada de decisão;
• aumentar a conscientização sobre privacidade em uma organização;
• melhorar a viabilidade do projeto;
• melhorar a comunicação em relação à privacidade e proteção de dados pessoais;
• reforçar a confiança dos titulares de dados na forma como os dados pessoais são processados e a privacidade é respeitada.
Treinamentos
Em resumo, quando uma DPIA é necessária, segundo o GDPR?
• uma avaliação sistemática e abrangente de aspectos pessoais relacionados a pessoas físicas (incluindo perfis);
• processamento em larga escala de categorias especiais de dados (dados confidenciais);
• um monitoramento sistemático de uma área acessível ao público em larga escala;
• Principais mudanças em um sistema ou processo que inclui o processamento de dados pessoais;
• Novos projetos.
Treinamentos
O que deve ser contemplado em um DPIA?
• Breve descrição do DPIA realizado

• Breve descrição do projeto, modelo e fluxo de dados
• Descrição do impacto e dos riscos
• Go / No-Go do projeto
• Considerações para sistema / política / etc. para um maior desenvolvimento
• Abordagem da solução de descrição
• Nome do oficial responsável pela gestão e avaliação do DPIA
• Espaço para comentários do cliente
Treinamentos
Aplicações práticas relacionadas ao uso de dados, marketing e mídias sociais
Treinamentos
Gerenciamento do Ciclo de Vida dos Dados (GCVD)
• O artigo 5 do GDPR descreve os princípios relacionados ao processamento de dados pessoais, da criação à minimização. Esse
processo pode ser visto como um ciclo de vida dos dados.
• O gerenciamento do ciclo de vida dos dados (DLM) é uma abordagem baseada em políticas para o gerenciamento do fluxo de dados
em um sistema de informações. Ele cobre todo o ciclo de vida: desde a geração de dados e o primeiro armazenamento até o momento
em que está desatualizado e excluído.
Treinamentos
Retenção de Dados Pessoais
Um titular de dados tem o direito de retificar dados pessoais a seu respeito e um 'direito a ser esquecido' quando a retenção desses dados
viola o presente regulamento ou a lei da União ou do Estado-Membro a que o responsável pelo tratamento está sujeito.
Este direito é relevante, principalmente quando o titular dos dados deu seu consentimento quando criança. Mesmo depois de deixar de ser
criança, esse direito pode ser aplicado.
• Por exemplo, muitas crianças publicam qualquer coisa na internet e nas mídias sociais sem considerar as consequências futuras.
Treinamentos
"O Gerenciamento do Ciclo de Vida do Dado (GCVD) é um processo que ajuda as organizações a gerenciar o fluxo de dados em todo o seu
ciclo de vida - da criação, uso, compartilhamento, arquivamento e exclusão. Rastrear dados com precisão em todo o ciclo de vida da
informação é a base de uma estratégia de proteção de dados confidencial e ajuda a determinar onde aplicar os controles de segurança."
Treinamentos
Minimização de Dados
A minimização de dados é o terceiro princípio relacionado ao processamento de dados pessoais;

• Os dados pessoais devem ser adequados, relevantes e limitados ao necessário em relação aos propósitos para os quais são processados
('minimização de dados')
Faz parte da proteção de dados por design e por padrão;
Faz parte de regras corporativas vinculativas;
Faz parte das salvaguardas e derrogações relacionadas ao processamento para fins de arquivamento.
Treinamentos
Retenção de Dados (parte do ciclo de vida dos dados)
Um titular de dados tem o direito de retificar dados pessoais a seu respeito e um 'direito a ser esquecido' quando a retenção desses dados
viola o presente regulamento ou a lei.
Este direito é relevante, principalmente quando o titular dos dados deu seu consentimento quando criança. Mesmo depois de deixar de ser
criança, esse direito pode ser aplicado.
Por exemplo, muitas crianças publicam qualquer coisa na internet e nas mídias sociais sem considerar as consequências futuras.
Treinamentos
Cookies e privacidade
Um cookie é um arquivo de texto que é colocado no computador do usuário da Internet.
Tipos:
Cookie técnico; por exemplo. Usado para o seu carrinho de compras online.
Cookie de rastreamento; Usado para monitorar o comportamento online (navegação) para criar um perfil do usuário da Internet.
Permite publicidade personalizada
Um cookie é um tipo de identificador dados pessoais indiretos!
Treinamentos
Marketing e os titulares de dados
O marketing direto é generalizado e utilizado por:

• Fornecedores de produtos e serviços
• Organizações beneficentes
Marketing é o processo de manter uma relação direta com um Titular dos dados por razões comerciais ou de caridade.
Isso significa:
• Reunir dados pessoais, criar perfis e enviar (todos os tipos de) mala direta;
• Compra de dados pessoais de terceiros;
• Contrate terceiros para organizar suas correspondências.
Treinamentos
Marketing e os titulares de dados
• Quando os dados pessoais são processados para fins de marketing direto, o titular dos dados tem o direito de se opor a qualquer
momento ao processamento de dados pessoais que lhe dizem respeito para esse marketing, o que inclui a criação de perfil na medida
em que esteja relacionado a esse marketing direto.
• As organizações são obrigadas a notificar os titulares dos dados da possibilidade de registrar objeções.
• Quando o titular dos dados se opuser ao processamento para fins de marketing direto, os dados pessoais não serão mais processados
para esses fins.
Treinamentos
Dados de mídias sociais para uso de para marketing
Uma definição de mídia social

• Plataformas on-line de fácil acesso, nas quais os usuários podem fornecer seu próprio conteúdo com a mínima interferência de editores
profissionais;
Características (principais)
• Interação e diálogo;
Assuntos chave
• Reputação, segredos da empresa, propriedade da conta (e conteúdo), discriminação e racismo, faça e não faça nas mídias sociais,
conscientização, sanções, etc.
Treinamentos
Fim do Treinamento
Exercício simulado:
https://ead.unirede.net
Agende seu exame de certificação Privacy & Data Protection Foundation e seja um profissional certificado em GDPR!
Treinamentos
Treinamentos
Bons estudos!

GDPR - Unirede Treinamentos

Enviado por

Dados do documento

Descrição original:

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

GDPR - Unirede Treinamentos

Enviado por

Direitos autorais:

Formatos disponíveis

Privacy & Data Protection

Tipo de exame: Pergunta de múltipla escolha

A Unirede Treinamentos possui as seguintes modalidades de treinamentos:

Dentre os materiais encontram-se:

• Breve histórico da GDPR

1890: "The Right to Privacy

1948: Declaração Universal dos Direitos Humanos

1950: Convenção Europeia sobre Direitos Humanos

1981: Tratado de Estrasburgo

1995: Diretiva 95/46/EC

Recorte da página 1 da referida Diretiva. Leia na íntegra por este link.

2016: GDPR: EU - 2016/679 (a partir de 25/05/2018)

Acesse este link e busque pelo termo "95/46":

2016: GDPR: EU - 2016/680

Acesse este link e busque pelo termo "2019/680":

2016: GDPR: EU - 2016/681

Acesse este link e busque pelo termo "2019/681":

• Clique no link para ver o atual mapa da União Européia!

• Um pouco mais sobre Dados e Privacidade no Reino Unido, aqui.

Link para infográfico de 2019!

"Sem proteção de dados, não há privacidade."

• Proteção de Dados Pessoais

Dados Pessoais segundo a GDPR:

Email considerado Dado Pessoal = paulo.deolindo@unirede.net

Leita o texto na íntegra aqui.

Introdução ao conceito de ANONIMIZAÇÃO de dados...

Alguns links referenciais:

É importante continuar o entendimento de algumas definições conforme a GDPR:

Agentes de tratamento: São o Controlador e Operador;

Titular de Dados Controlador Operador Cloud Providers ( Processadores)

O que dizem sobre a GDPR os "Cloud Providers"?

AWS --> https://aws.amazon.com/pt/compliance/gdpr-center/

Transferência de dados transfronteiriço:

Confira o texto em português sobre "One-stop-shop" no contexto da GDPR aqui.

Definimos Dados Pessoais e a Proteção de Dados Pessoais;

• origem racial ou étnica

Exercício dinâmico sobre dados sensíveis.

João da Silva se filiou a um partido político.

Q: Esta seria uma informação sensível sobre João?

Resposta ao exercício dinâmico sobre dados sensíveis.

João da Silva se filiou a um partido político.

Q: Esta seria uma informação sensível sobre João?

Consulte aqui o texto completo e busque especificamente pelo Artigo 9.º

Os possíveis 6 fundamentos para o processamento de dados pessoais...

Organização ABC deseja processar dados

• Consentimento inequívoco para o processamento (pelo titular dos dados);

Princípios do processamento de dados:

Princípios do processamento de dados:

• Legalidade, justiça e transparência

Princípios do processamento de dados:

• Legalidade, justiça e transparência

Princípios do processamento de dados:

Princípios do processamento de dados:

Segundo a GDPR, para fins de esclarecimentos, também temos os conceitos:

Entendemos então que, sob a ótica da Limitação de Propósito:

Direitos do Titular de Dados, de forma resumida, pela Exin:

Direitos do Titular de Dados, de forma resumida, pela Exin:

A leitura completa é sugerida!

O conceito extraído do GDPR, Artigo 4.º (Definições)

Violação de Dados: Consideração 85 (GDPR)

Link para infográfico de 2019!

Em um comparativo, vejamos o cenário no Brasil:

• Manter um registro das atividades de processamento