Escolar Documentos
Profissional Documentos
Cultura Documentos
Foundation
GDPR – General Data Protection Regulation
Treinamento Oficial Exin
Preparatório para Exame de Certificação "Foundation"
Treinamentos
Material de apoio aos estudos
• Este material é de uso exclusivo da Unirede Treinamentos em treinamentos oficiais Exin;
• Este material não deve ser divulgado;
• Este material aborda temas relacionados ao Regulamento Geral de Proteção de Dados da União Europeia, conhecida como GDPR (EU –
2016/679), e tem como objetivo auxiliar o aluno para que tenha êxito no exame de certificação correspondente Exin;
• Este material não substitui as aulas e os temas abordados pelo professor do treinamento;
SOBRE A EXIN
• EXIN é o instituto global de certificação independente para profissionais do domínio de TI. Com mais de 30 anos de experiência na
certificação de competências de mais de 2 milhões de profissionais de TI, a EXIN é a autoridade líder e confiável no mercado de TI. Com
mais de 1000 parceiros credenciados, o EXIN facilita exames e avaliações de competência eletrônica em mais de 165 países e 20 idiomas.
O EXIN é co-iniciador da Estrutura de Competência Eletrônica, que foi criada para fornecer princípios inequívocos de medição de
certificação de TIC na Europa e além.
Treinamentos
Treinamentos e Certificações
Privacy & Data Protection
Treinamentos
Programa DPO
Treinamentos
Objetivos do curso e público alvo
O treinamento "Privacy & Data Protection" ou "Privacidade e Proteção de Dados" da Unirede Treinamentos é oficial Exin e possui a
credibilidade do instituto Holandês que há mais de 30 anos acredita profissionais em todo o mundo, através de um imenso portfólio de
Treinamentos e Certificações.
Este treinamento é voltado não apenas aos profissionais de Tecnologia da Informação e Comunicação (TIC), mas a todos os colaboradores de
uma empresa/organização, pois precisam compreender a temática da privacidade e proteção de dados pessoais e os requisitos legais
envolvidos.
O objetivo principal do treinamento é capacitar pessoas e organizações quanto ao básico sobre o tema "Privacidade e Proteção de Dados
Pessoais", podendo o aluno/profissional desejar alcançar a certificação correspondente ou apenas horas de treinamento!
Objetivos do curso e público alvo
A certificação EXIN Privacy & Data Protection Foundation testa candidatos no Bloom Nível 1:
•Bloom Level 1: Remembering (Lembrança) -depende da recuperação de informações. Os candidatos precisarão absorver,
lembrar, reconhecer e recordar. Este é o elemento fundamental da aprendizagem antes que os candidatos possam avançar para níveis mais
elevados.
•Bloom Level 2: Understanding (Compreensão) -um passo além da lembrança. O entendimento mostra que os candidatos compreendem
o que é apresentado e podem avaliar como o material de aprendizagem pode ser aplicado em seu próprio ambiente.
Requisitos para a Certificação
Para que o aluno/profissional tenha sucesso no exame de certificação em nível "Foundation", é necessário que seja aprovado, conforme:
A. Calder
EU GDPR, A pocket guide
IT Governance Publishing
ISBN 978-1-84928-855-2(or ISBN978-1-84928-857-6 for e-book)
Treinamentos
Literatura adicional recomendada
L. Besemer
White Paper – Privacidade, Dados Pessoais e GDPR
Faça o download gratuito em:
http://bit.ly/PDPF_PR_literature
European Commission
General Data Protection Regulation (GDPR) Regulation (EU) 2016/679) Regulation of the European Parliament and the Council of the
European Union. Brussels, 6 April 2016, disponível em:
http://eur-lex.europa.eu
PDF: http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=EN
HTML: http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=OJ:L:2016:119:FULL&from=EN
Treinamentos
Metodologias do Treinamento
• Presencial: Treinamento na sede da empresa ou sala por ela locada, caracterizando turma aberta de livre participação de interessados,
mediante contratação;
• In Company: Treinamento na sede do cliente ou local por ele solicitado, caracterizando turma fechada com participação apenas de
alunos pelo cliente sinalizados;
• Online e ao vivo: Aulas via web conferência, ao vivo, onde alunos e professor se encontram com data e horário agendado, para
estudo em conjunto. As aulas ao vivo são gravadas e disponibilizadas para que os alunos possam rever seu conteúdo por período
determinado de tempo.
Sobre a rotina de estudos
A Unirede Treinamentos disponibiliza materiais de apoio ao estudo, que podem ser encontrados no endereço abaixo (independente da
modalidade do treinamento):
https://ead.unirede.net
Treinamentos
Breve histórico da GDPR
Treinamentos
Breve histórico da GDPR
1890 1950
1981 2016 2016
The Right to Convenção 1995 2002 2016
Tratado de GDPR - Diretiva
Privacy: Brandeis Europeia sobre Diretiva 95/46/ec EU Charter Diretiva 2016/680
Estrasburgo 25/02/2018 2016/681
& Warren Direitos Humanos
1948
Declaração
Universal dos
Direitos Humanos
Treinamentos
Breve histórico da GDPR
Louis Brandeis, advogado de Boston, 34 anos, escreveu essas palavras 26 anos antes de ingressar na Suprema Corte. A invenção a que ele se
refere é a câmera portátil e os métodos de negócios, o jornalismo de celebridades.
Fonte: https://www.brandeis.edu/now/2013/july/privacy.html
Treinamentos
Breve histórico da GDPR
Artigo 12º
"Ninguém sofrerá intromissões arbitrárias na sua vida privada, na sua família, no seu domicílio ou na sua correspondência, nem ataques à
sua honra e reputação. Contra tais intromissões ou ataques toda a pessoa tem direito a proteção da lei."
Fonte: https://nacoesunidas.org/wp-content/uploads/2018/10/DUDH.pdf
Treinamentos
Breve histórico da GDPR
"Os Estados-Membros da União Europeia assinaram na Convenção Europeia de Direitos Humanos (ECHR -European Convention of Human
Rights, 1950) um tratado para defender os direitos humanos em toda a União Europeia, entre eles o direito ao respeito pela vida privada e
familiar."
Fonte: https://dam.exin.com/api/&request=asset.permadownload&id=3813&type=this&token=b919a584f9c26623c236268316de989f
Treinamentos
Breve histórico da GDPR
"Essas diretrizes foram formalizadas em 1981 pela Convenção para a Proteção de Indivíduos no que diz respeito ao Processamento
Automático de Dados Pessoais, também conhecido como Tratado de Estrasburgo."
As diretrizes acima sinalizadas foram "Um primeiro esforço para consolar a proteção da privacidade e a necessidade de fluxo internacional de
dados pessoais livre veio da Organização para a Cooperação e Desenvolvimento Econômico (OCDE) em 1980: Diretrizes para a Proteção da
Privacidade e Fluxos Transfronteiriços de Dados Pessoais (Guidelines on the Protection of Privacy and Trans-border flows of Personal Data)."
Fonte: https://dam.exin.com/api/&request=asset.permadownload&id=3813&type=this&token=b919a584f9c26623c236268316de989f
Treinamentos
Breve histórico da GDPR
"Embora o desenvolvimento do comércio internacional e a necessidade de proteção continuassem, a necessidade de harmonização da lei
europeia de privacidade foi sentida. Em 1995, isso resultou na "Diretiva de Proteção de Dados" 95/46/EC."
Fonte: https://dam.exin.com/api/&request=asset.permadownload&id=3813&type=this&token=b919a584f9c26623c236268316de989f
Treinamentos
Breve histórico da GDPR
2002: EU Charter
"A Carta dos Direitos Fundamentais da União Europeia (CEDH, a «Carta», proclamada em dezembro de 2002) incluiu os princípios gerais
estabelecidos na CEDH. A Carta refere-se explicitamente à proteção da privacidade e à proteção de dados pessoais como um direito
fundamental:
Artigo 7
Respeito à vida privada e familiar
a) Toda pessoa tem o direito à sua vida privada e familiar, sua casa e sua correspondência.
Artigo 8
Proteção de dados pessoais
a) Toda pessoa tem direito à proteção dos dados pessoais que lhe digam respeito.
b) Esses dados devem ser tratados de forma justa para fins específicos e com base no consentimento da pessoa em causa ou em qualquer
outra base legítima estabelecida por lei. Todos têm o direito de acessar os dados coletados sobre ele e o direito de retificá-los.
c) O cumprimento destas regras está sujeito ao controle de uma autoridade independente."
Fonte: https://dam.exin.com/api/&request=asset.permadownload&id=3813&type=this&token=b919a584f9c26623c236268316de989f
Fonte: https://www.echr.coe.int/Documents/Convention_ENG.pdf
Treinamentos
Breve histórico da GDPR
"Embora o progresso no processamento de dados tenha aumentado a cada ano, o comércio internacional foi prejudicado porque as regras e
regulamentações nos Estados-Membros, embora baseadas na Diretiva 95/46/EC, ainda eram bastante diversificadas. Após anos de discussão,
finalmente (UE) 2016/679 -o Regulamento Geral de Proteção de Dados (GDPR) -entrou em vigor em 25 de maio de 2016. Será aplicado
integralmente a partir de 25 de maio de 2018, ao mesmo tempo que revoga a Diretiva 95/46/CE."
Fonte: https://dam.exin.com/api/&request=asset.permadownload&id=3813&type=this&token=b919a584f9c26623c236268316de989f
Treinamentos
Breve histórico da GDPR
"O GDPR se aplica a dados pessoais de forma estruturada, desde sistemas de banco de dados totalmente automatizados até arquivos
baseados em papel, como os arquivos médicos clássicos ainda usados em alguns hospitais. Existem algumas exceções. Em vez do GDPR, a
Diretiva 2016/680 (ou seja, legislação nacional com base nesta diretiva) aplica-se a atividades relacionadas com a política externa e de
segurança comum, pelo tratamento pelas autoridades competentes para efeitos de prevenção, investigação, detecção ou repressão de
infrações penais ou a execução de sanções penais."
Fonte: https://dam.exin.com/api/&request=asset.permadownload&id=3813&type=this&token=b919a584f9c26623c236268316de989f
Treinamentos
Breve histórico da GDPR
"Diretiva (UE) 2016/681 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à utilização dos dados dos registos de
identificação dos passageiros (PNR) para efeitos de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade
grave."
Fonte: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A32016L0681
Treinamentos
Fundamentos e regulamentação de privacidade
e proteção de dados
Treinamentos
Fundamentos e regulamentação...
Treinamentos
GDPR em foco (EU & EEA)...
• Questão importante: Antes, eram 28 países na EU + 3 países que EEA (Área Econômica Européia). Com o advento do Brexit, o
Reino Unido terá sua saída da EU até 31 de Dezembro de 2020. Serão 27 países e até o momento, não há clareza sobre o furuto
da AEE, se contará ou não com este último.
• E a GDPR para o Reino Unido, como se aplica, e se ainda se aplica? Leita o texto aqui.
Treinamentos
GDPR em números
Treinamentos
Fundamentos e regulamentação...
Definições
• Privacidade
• Proteção de Dados Pessoais
Os dois termos acima são citados pela GDPR, porém, não são descritos seus conceitos ou ainda suas definições na mesma lei. No
entanto, é correto afirmar que:
De fato, se no mundo da economia digital, uma simples transação de compra online de um produto qualquer, exige dados cadastrais
(entendemos também estes serem dados pessoais), a não proteção de tais dados pode expor o indivíduo de forma a causar-lhe
possível violação de sua privacidade.
Com base nesta informação, pode-se ressaltar que toda organização terá de zelar pela proteção dos dados pessoais de seus
clientes, sendo que o não cumprimento destes deveres podem gerar penalidades diversas, chegando à multas elevadas
e devastadoras para o negócio em si, podendo até mesmo, em último caso, inviabilizar o negócio.
Treinamentos
Fundamentos e regulamentação...
Definições
Embora a GDPR, seja basicamente sobre Privacidade, seu conceito não está explícito no texto da Lei. O que ela seria?
Treinamentos
Fundamentos e regulamentação...
Definições
• Privacidade
• o direito de respeitar a vida privada e familiar de uma pessoa, sua casa e correspondência.
• Fonte: White Paper Privacy & Data Protection - GDPR
• Dados Pessoais
• Qualquer informação relativa a uma pessoa física identificada ou identificável.
• Fonte: EU GDPR, Um guia de bolso - Capítulo 2 Termos e definições GDPR 2016/679 Artigo 4: definição
• Toda Informação relacionada a uma pessoa identificada ou identificável, não se limitando, portanto, a nome, sobrenome,
apelido, idade, endereço residencial ou eletrônico, podendo incluir dados de localização, placas de automóvel, perfis de
compras, número IP, dados acadêmicos, histórico de compras, entre outros. Sempre relacionada à pessoa natural viva.
• Proteção de Dados Pessoais - Comentários à Lei 13.709/2018 - Patricia Peck Pinheiro, p25
Treinamentos
Fundamentos e regulamentação...
Definições
Importante: Um endereço de e-mail pode ou não ser considerado um dado pessoal. Veja a diferença:
Treinamentos
Fundamentos e regulamentação...
Dados pessoais
Exercício dinâmico:
Em uma loja de chocolates que fica situada em um shopping, existe o sinal de wi-fi liberado para uso dos clientes.
O dono da loja deseja saber os nomes das pessoas que acessaram seu sinal de Internet pelo wi-fi, a fim de identificar cada um e enviar e-
mails e SMS promocionais, ou ainda, guardar estes dados para outros fins.
Isso é possível?
Caso seja possível, isso é legal?
Qual a ótica da GDPR sobre o tema?
Treinamentos
Fundamentos e regulamentação...
Dados pessoais
Ainda sobre a questão anterior, fornecedores de software estão cada vez mais aderindo às legislações globais, aplicando o conceito de
Proteção de Dados por padrão e desde a concepção (by default and by design), e já implementam métodos de anonimização de MAC
ADDRESS em seus equipamentos WI-FI.
Tails - https://tails.boum.org/index.pt.html
Change MAC on Linux - https://www.ostechnix.com/change-mac-address-linux/
Change MAC on Windows - https://www.groovypost.com/howto/change-mac-address-windows-10-why/
Treinamentos
Fundamentos e regulamentação...
Definições
No que diz respeito à Segurança da Informação, é importante buscar as boas práticas aprendidas quanto ao normativo correspondente:
A norma "ISO/IEC 27001" especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de
gerenciamento de segurança da informação no contexto da organização. Também inclui requisitos para a avaliação e tratamento de riscos à
segurança da informação, adaptados às necessidades da organização. Os requisitos estabelecidos na ISO / IEC 27001: 2013 são genéricos e
devem ser aplicáveis a todas as organizações, independentemente do tipo, tamanho ou natureza.
Treinamentos
Fundamentos e regulamentação...
Definições
Agora, veja o normativo sobre Sistema de Gestão de Informações Privadas (ou de privacidade de dados) - PIMS
Fonte: https://www.iso.org/standard/71670.html
Treinamentos
Fundamentos e regulamentação...
Dados pessoais
Exercício dinâmico:
Respostas:
Isso é possível? R: Sim, todo sinal de wi-fi, principalmente via celular, é atribuído à um endereço MAC do aparelho de telefone, que está
associado ao seu proprietário/titular.
Caso seja possível, isso é legal? R: Se existe um dado que pode levar à identificação de uma pessoa, este dado é considerado pessoal e
segundo a GDPR, devem ser protegidos.
Qual a ótica da GDPR sobre o tema? R: As operadoras têm acesso a tais dados para fins de processamento que, também segundo a GDPR,
são submetidos a processamento adequado. Logo, o dono da loja de shopping não pode utilizar os mesmos meios técnicos para identificar
as pessoas. É ilícito.
O que pode ser feito para que os endereços MAC dos dispositivos conectados à Internet não possam identificar seus respectivos "donos"? R:
Aplicar técnicas de anonimização, seja no dispositivo (iniciativa do usuário avançado) ou por parte de quem oferta a rede para uso.
Treinamentos
Fundamentos e regulamentação...
Definições (continuação)
Treinamentos
Fundamentos e regulamentação...
Definições (continuação)
Titular: Pessoa a quem se referem os dados pessoais que são objeto de algum tratamento; alguém que possa ser identificado, direta ou
indiretamente, em particular referência por dados em tratamento;
Processamento de dados: Toda operação realizada com algum tipo de manuseio de dados pessoais: coleta, produção, recepção,
classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, edição, eliminação, avaliação ou
controle da informação, modificação, comunicação, transferência, difusão ou extração;
Treinamentos
Fundamentos e regulamentação...
Definições (continuação)
Dados Pessoais especiais: "O GDPR distingue várias categorias de dados pessoais que merecem um tratamento especial. As categorias de
dados pessoais especiais são:
• dados que revelam origem racial ou étnica;
• dados que revelam opiniões políticas;
• dados que revelam crenças religiosas ou filosóficas;
• dados que revela adesão sindical;
• dados genéticos;
• dados biométricos processados com a finalidade de identificar unicamente uma pessoa física;
• dados relativos à saúde;
• dados relativos à vida sexual ou orientação sexual de uma pessoa singular."
Treinamentos
Fundamentos e regulamentação...
Definições (continuação)
Anonimização: "Significa que nenhuma informação a partir da qual a pessoa a quem os dados se referem pode ser identificada de qualquer
forma."
Dados anonimizados: São dados que passaram pelo processo de anonimização e por isso, não podem mais ser identificadores de
uma pessoa, logo, também já não são considerados Dados Pessoais.
Leia neste link, uma versão de um "Guia para Técnicas Básicas de Anonimização de Dados".
Treinamentos
Fundamentos e regulamentação...
Definições (continuação)
Consentimento: "A ideia do GDPR é que um titular dos dados deve ser informado caso seus dados pessoais estejam sendo processados. Se o
processamento se basear no consentimento, o titular dos dados deve saber com o que ele está consentindo ("consentimento informado")."
Diretor de Proteção de Dados (DPO - Data Protection Officer): "O DPO é uma pessoa que tem a tarefa formal de garantir que a organização
esteja ciente e cumpra suas responsabilidades e obrigações de proteção de dados de acordo com o GDPR e as leis do Estado-Membro;"
Treinamentos
Fundamentos e regulamentação...
Definições (continuação)
Treinamentos
Fundamentos e regulamentação...
Definições (continuação)
Treinamentos
Fundamentos e regulamentação...
Definições (continuação)
Avaliação de Impacto sobre a Proteção de Dados - AIPD: "A AIPD é um processo concebido para descrever o processamento, avaliar a
necessidade e a proporcionalidade de um processamento e ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares
resultantes do processamento de dados pessoais;"
Autoridades Supervisoras: "Muitas vezes chamadas de 'Autoridade de Proteção de Dados' (DPA), a principal responsabilidade de uma
Autoridade Supervisora é monitorizar e fazer cumprir a aplicação do GDPR com o objetivo de proteger os direitos e liberdades fundamentais
das pessoas singulares em relação ao processamento e facilitar o livre fluxo de dados pessoais na União (Artigo 51)".
Os Estados-Membros devem poder estabelecer mais do que uma autoridade supervisora para refletir a sua estrutura constitucional, organizacional e administrativa. Fonte: Regulamento Geral de Proteção
de Dados (UE) 2016/679; explicação 117.
Treinamentos
Fundamentos e regulamentação...
Definições (continuação)
One-stop-shop: "A supervisão da atividade de processamento transfronteiriço, ou processamento envolvendo cidadãos de mais de um país
da UE, é liderada por apenas uma autoridade supervisora, denominada “autoridade supervisora principal”."
Treinamentos
Fundamentos e regulamentação...
Dados pessoais
• Diretos
• dados que podem ser atribuídos a um titular de dados específico sem o uso de informações adicionais; por exemplo: foto, DNA,
etc.
Treinamentos
Fundamentos e regulamentação...
Dados pessoais
• Indiretos
• dados que não podem ser atribuídos a um titular de dados específico sem o uso de informações adicionais; por
exemplo: Endereço IP, placa do carro, etc.
Treinamentos
Fundamentos e regulamentação...
Dados pessoais
• Pseudonimizados
• Pseudonimização de dados significa o processamento de dados pessoais de forma que os dados pessoais não possam mais ser
atribuídos a um titular de dados específico sem o uso de informações adicionais. O processo é reversível (com uma chave). São
considerados dados pessoais.
• Anonimização significa que nenhuma informação da qual a pessoa a quem os dados se relacionam pode ser identificada. NÃO
são considerados dados pessoais.
Treinamentos
Fundamentos e regulamentação...
Dados pessoais sensíveis
Definimos Dados Pessoais Sensíveis, que segundo a GDPR, pertencem à "Categoria de Dados Especiais". Vejamos alguns tipos de Dados
Pessoais Sensíveis:
Treinamentos
Fundamentos e regulamentação...
Dados pessoais
Q: Se esta lista de nomes do partido fosse a público, que tipo de incidente poderíamos considerar, segundo a GDPR?
Treinamentos
Fundamentos e regulamentação...
Dados pessoais
Q: Se esta lista de nomes do partido fosse a público, que tipo de incidente poderíamos considerar, segundo a GDPR?
R: Violação de Dados.
Treinamentos
Fundamentos e regulamentação...
Dados pessoais
Conforme a GDPR, é proibido o processamento/tratamento de Dados Pessoais Especiais, exceto nos casos explicitamente mencionados no
Artigo 9 do GDPR.
Vale a leitura e debate, em especial, sobre dados relativos à saúde, tema vivo e impulsionado ainda mais pela COVID-19.
Treinamentos
Fundamentos e regulamentação...
Fundamentos legítimos e limitação de propósitos
Treinamentos
Fundamentos e regulamentação...
Fundamentos legítimos e limitação de propósitos
Há outros meios de
se alcançar o
objetivo desejado?
Sim Não
Há ao menos 1
Use outros meios!
fundamento legal?
Há ao menos
1 fundamento legal?
Sim
Caso haja
Aplica-se princípios de
processamento, será
processamento de dados.
Não ilícito.
Treinamentos
Fundamentos e regulamentação...
Fundamentos legítimos e limitação de propósitos
De acordo com a GDPR, existem 6 possíveis fundamentos para legitimar o processamento de dados pessoais:
De fato, se não houver o apontamento do processamento para com ao menos 1 dos 6 fundamentos descritos acima, o ato será ilícito.
Treinamentos
Fundamentos e regulamentação...
Fundamentos legítimos e limitação de propósitos
Treinamentos
Fundamentos e regulamentação...
Fundamentos legítimos e limitação de propósitos
Treinamentos
Fundamentos e regulamentação...
Fundamentos legítimos e limitação de propósitos
Treinamentos
Fundamentos e regulamentação...
Fundamentos legítimos e limitação de propósitos
• Minimização de dados
• Os dados pessoais devem ser adequados, relevantes e limitados ao necessário em relação aos fins para os quais são processados.
• Precisão
• Os dados pessoais devem ser precisos e, se necessário, atualizados: todas as medidas razoáveis devem ser tomadas para garantir
que os dados pessoais que são incorretos sejam retificados ou excluídos.
• Limitação de armazenamento
• Os dados pessoais devem ser mantidos em um formato que permita a identificação dos titulares de dados por não mais do que o
necessário para as finalidades para as quais os dados pessoais são processados; etc.
Treinamentos
Fundamentos e regulamentação...
Fundamentos legítimos e limitação de propósitos
• Integridade e Confidencialidade
• Os dados pessoais devem ser processados de maneira a garantir a segurança apropriada dos dados pessoais, incluindo proteção
contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental, usando medidas técnicas ou
organizacionais apropriadas.
• Prestação de Contas
• O controlador é responsável pelo processamento de dados. Isso significa que o controlador é responsável pela conformidade com
os princípios mencionados acima, juntamente com o processador. O controlador também deve ser capaz de demonstrar
conformidade com os princípios de processamento de dados.
Treinamentos
Fundamentos e regulamentação...
Fundamentos legítimos e limitação de propósitos
Subsidiariedade -
A subsidiariedade é encontrada na regra geral que exige que os dados pessoais só possam ser processados se não houver outros meios para
alcançar os objetivos.
Proporcionalidade -
Não devem ser reunidos mais dados do que o estritamente necessário.
Treinamentos
Fundamentos e regulamentação...
Fundamentos legítimos e limitação de propósitos
1. Informação
1. Direito de saber quais informações uma organização tem à seu respeito, em detalhes.
2. Acesso
1. De forma facilitada, o Titular de Dados pode solicitar acesso aos seus dados pessoais em processamento.
3. Retificação
1. Solicitar correção de seus dados pessoais, caso não concorde com alguma informação errônea.
4. Apagamento ("direito de ser esquecido")
1. Da mesma forma que o Titular pode solicitar acesso à informação e retificação de seus dados pessoais, ele pode solicitar que seus
dados sejam excluídos (salvas exceções previstas em Lei).
5. Restrição de processamento
1. Caso não concorde com algum termo do processamento proposto, o Titular de Dados pode se opor, sem necessariamente,
solicitar a exclusão de seus Dados Pessoais.
Treinamentos
Fundamentos e regulamentação...
Fundamentos legítimos e limitação de propósitos
6. Obrigação de notificação
1. No caso de haver uma Violação de Dados, o Titular tem o direito de ser notificado pelo Controlador, salvas exceções que o
desobrigam, conforme Artigo 19.º
7. Portabilidade de dados
1. Direito de obter do responsável pelo processamento, seus dados pessoais a ele fornecidos, num formato estruturado, de uso
corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento...
8. Objeto do processamento
1. direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados
pessoais que lhe digam respeito
9. Decisões individuais automatizadas, incluindo definição de perfis
1. direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a
definição de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma similar.
10. Direito de prestar queixa junto a uma Autoridade Supervisora
1. Sem prejuízo de qualquer outra solução administrativa ou judicial, todos os titulares dos dados têm o direito de apresentar uma
queixa a uma autoridade de controlo, em especial no EstadoMembro da sua residência habitual, local de trabalho ou local da
alegada violação se o titular dos dados considera que o processamento de dados pessoais que lhe digam respeito viola o presente
regulamento.
Treinamentos
Fundamentos e regulamentação...
Fundamentos legítimos e limitação de propósitos
O Capítulo III do GDPR, em suas várias seções e dos artigos de 12.º a 23.º, descreve em detalhes como se dão os Direitos do Titular de
Dados.
Treinamentos
Fundamentos e regulamentação...
Fundamentos legítimos e limitação de propósitos
Violação de Dados
Treinamentos
Fundamentos e regulamentação...
Fundamentos legítimos e limitação de propósitos
Violação de Dados:
"Uma violação de dados, em termos do GDPR, é sempre um incidente de segurança. Não é apenas uma vulnerabilidade (risco de segurança)
ou uma ameaça à segurança; O pesadelo do gerente de segurança acabou de se tornar realidade. Além disso, o incidente deve ter levado a
uma situação em que dados pessoais foram ou podem ter sido processados ilegalmente. Consequentemente, nem todo incidente de
segurança é uma violação de dados.
Artigos sobre 'violação de dados' geralmente fornecem exemplos com cenários que incluem hackers (mal-intencionados) e 'terceiros'
obtendo acesso não autorizado a dados pessoais. A definição citada acima, no entanto, é muito mais ampla.
Um incêndio em um data center pode muito bem destruir os dados pessoais armazenados lá. Isso tornaria um incidente de segurança (os
dados não estão mais disponíveis) e uma violação de dados (os dados eram processados sem autorização). O mesmo ocorre no caso de um
processador excluir acidentalmente um conjunto de dados pessoais."
Fonte: White Paper Privacy & Data Protection - GDPR
Treinamentos
Fundamentos e regulamentação...
Fundamentos legítimos e limitação de propósitos
Violação de Dados:
«Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a
divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;
Treinamentos
Fundamentos e regulamentação...
Fundamentos legítimos e limitação de propósitos
... "Por conseguinte, logo que o responsável pelo tratamento tenha conhecimento de uma violação de dados pessoais, deverá notificá-la à
autoridade de controlo, sem demora injustificada e, sempre que possível, no prazo de 72 horas após ter tido conhecimento do ocorrido, a
menos que seja capaz de demonstrar em conformidade com o princípio da responsabilidade, que essa violação não é suscetível de implicar
um risco para os direitos e liberdades das pessoas singulares. Se não for possível efetuar essa notificação no prazo de 72 horas, a notificação
deverá ser acompanhada dos motivos do atraso, podendo as informações ser fornecidas por fases sem demora injustificada."
Treinamentos
Organizando a proteção de dados
Treinamentos
Organizando a proteção de dados
Importância da proteção de dados para a organização
De uma cultura de coleta de informações de forma desenfreada e muitas vezes, irresponsável, à adequação ao GDPR, existe um longo
caminho a ser trilhado!
Até a presente data, fazem justamente 2 anos que o regulamento Europeu entrou em vigor (e 4 anos desde sua concepção) e de acordo com
estudos anteriormente demonstrados (repetimos abaixo), nem todos os cidadãos, empresas e organizações, entendem ou estão em
compliance com o GDPR.
Treinamentos
Organizando a proteção de dados
Importância da proteção de dados para a organização
Mas como estar em compliance com o GDPR? Quanto tempo leva a implementação? O que deve ser feito e por quem?
" Atender aos requisitos da LGPD exige adequação dos processos de governança corporativa, com implementação de um programa mais
consistente de compliance digital, o que demanda investimento, atualização de ferramentas de segurança de dados, revisão documental,
melhoria de procedimentos e fluxos internos e externos de dados pessoais, com aplicação de mecanismos de controle e trilhas de auditoria
e, acima de tudo, mudança de cultura" - Patrícia Peck
Vamos refletir:
Seria diferente em organizações Europeias?
De certo, muitas dessas organizações já sinalizaram confusão e dificuldade para atender o regulamento.
Enquanto isso, Cyber Atacks (ataques cibernéticos) continuam crescendo e ameaçando a instabilidade do cenário de Violação de Dados e
expondo cada vez mais essas organizações e o pior, sob a ótica do GDPR, o Titular de Dados.
Recomendada a leitura desta matéria sobre a dificuldade de implementação e/ou manutenção do compliance na Europa, durante pandemia
de COVID-19
Treinamentos
Organizando a proteção de dados
Importância da proteção de dados para a organização
Abaixo, temos uma lista de Tipos de Requisitos Administrativos para o Controlador, em relação às suas obrigações. Os detalhes podem ser
obtidos com a leitura dos Artigos 28.º, 29.º e 30.º do GDPR.
Treinamentos
Organizando a proteção de dados
Importância da proteção de dados para a organização
Da mesma forma, temos uma lista de Tipos de Requisitos Administrativos para o Processador.
Treinamentos
Organizando a proteção de dados
Importância da proteção de dados para a organização
À caminho do compliance...
O responsável pelo tratamento deve ser responsável e demonstrar a conformidade com os princípios relativos ao processamento de dados
pessoais. (Princípio da "responsabilidade")
• A adesão a códigos de conduta aprovados ou a mecanismos de certificação aprovados pode ser usada como um elemento pelo
qual demonstrar conformidade com as obrigações do controlador.
O controlador precisa:
• Demonstrar conformidade com as obrigações legais de processamento a que o controlador está sujeito (legalidade).
• Documente violações de dados para ajudar na verificação do cumprimento da obrigação de notificação pela autoridade
supervisora.
• Realize avaliações de impacto na proteção de dados para ajudar a demonstrar conformidade com o GDPR.
• Manter um registro das atividades de processamento (consulte os slides anteriores)
Veja um exemplo de "política de privacidade" de uma empresa que demonstra compliance com o GDPR.
Treinamentos
Organizando a proteção de dados
Definição de proteção de dados desde a concepção e por padrão
Treinamentos
Organizando a proteção de dados
Definição de proteção de dados desde a concepção e por padrão
E ainda...
Treinamentos
Organizando a proteção de dados
Definição de proteção de dados desde a concepção e por padrão
Proteção de Dados por padrão e desde a concepção | Data Protection by Design and by Default
Treinamentos
Organizando a proteção de dados
Definição de proteção de dados desde a concepção e por padrão
... o controlador ..., implemente medidas técnicas e organizacionais apropriadas, como pseudonimização e minimização de dados, projetadas
para implementar os princípios de proteção de dados, ... e para integrar as salvaguardas necessárias ao processamento, a fim de atender
aos requisitos do presente regulamento e proteger os direitos dos titulares dos dados
.
O responsável pelo tratamento deve implementar medidas técnicas e organizacionais apropriadas para garantir que, por padrão, apenas os
dados pessoais necessários para cada finalidade específica do processamento sejam processados.
“O Regulamento Geral de Proteção de Dados (GDPR) trata pela primeira vez a proteção de dados por projeto como uma obrigação legal para
controladores e processadores de dados, fazendo uma referência explícita à minimização de dados e ao possível uso de
pseudonimização.
Um mecanismo de certificação aprovado ... pode ser usado como um elemento para demonstrar conformidade com os requisitos.
Treinamentos
Organizando a proteção de dados
Definição de proteção de dados desde a concepção e por padrão
Importante:
A privacidade, como vimos, é oriunda de um sistema de proteção de dados bem implementado, logo:
Treinamentos
Organizando a proteção de dados
Definição de proteção de dados desde a concepção e por padrão
Treinamentos
Organizando a proteção de dados
Violação de Dados, exemplos e ações relacionadas
A constante preocupação pela Proteção de Dados por Padrão e desde a Concepção de projetos, visam minimizar ou anular a possibilidade de
Violação de Dados nas organizações.
Treinamentos
Organizando a proteção de dados
Violação de Dados, exemplos e ações relacionadas
Acima, listamos informalmente as causas por conhecimento empírico, mas pesquisas de diversos tipos de estudos e empresas ajudam a se
prevenir contra esses e ouros males. Veja abaixo:
Treinamentos
Organizando a proteção de dados
Violação de Dados, exemplos e ações relacionadas
No caso de uma violação de dados, o GDPR descreve procedimentos que podem ser vislumbrados nos seguintes:
Artigo 33.º
Notificação de uma violação de dados pessoais à autoridade de controlo
1. Em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo competente nos
termos do artigo 55.o, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a
violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. Se a notificação à
autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada dos motivos do atraso.
Treinamentos
Organizando a proteção de dados
Violação de Dados, exemplos e ações relacionadas
2. O subcontratante notifica o responsável pelo tratamento sem demora injustificada após ter conhecimento de uma violação de dados
pessoais. 3. A notificação referida no n.º 1 deve, pelo menos:
a) Descrever a natureza da violação dos dados pessoais incluindo, se possível, as categorias e o número aproximado de titulares de dados
afetados, bem como as categorias e o número aproximado de registos de dados pessoais em causa;
b) Comunicar o nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto onde possam ser obtidas mais
informações;
c) Descrever as consequências prováveis da violação de dados pessoais;
d) Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, inclusive, se for
caso disso, medidas para atenuar os seus eventuais efeitos negativos;
4. Caso, e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, estas podem ser fornecidas por fases, sem
demora injustificada.
5. O responsável pelo tratamento documenta quaisquer violações de dados pessoais, compreendendo os factos relacionados com as
mesmas, os respetivos efeitos e a medida de reparação adotada. Essa documentação deve permitir à autoridade de controlo verificar o
cumprimento do disposto no presente artigo.
Treinamentos
Organizando a proteção de dados
Violação de Dados, exemplos e ações relacionadas
Artigo 34.º
Comunicação de uma violação de dados pessoais ao titular dos dados
1. Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o
responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada.
2. A comunicação ao titular dos dados a que se refere o n.º 1 do presente artigo descreve em linguagem clara e simples a natureza da
violação dos dados pessoais e fornece, pelo menos, as informações e medidas previstas no artigo 33.o, n.º 3, alíneas b), c) e d).
3. A comunicação ao titular dos dados a que se refere o n.º 1 não é exigida se for preenchida uma das seguintes condições:
a) O responsável pelo tratamento tiver aplicado medidas de proteção adequadas, tanto técnicas como organizativas, e essas medidas
tiverem sido aplicadas aos dados pessoais afetados pela violação de dados pessoais, especialmente medidas que tornem os dados pessoais
incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a cifragem;
b) O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos
titulares dos dados a que se refere o n.º 1 já não é suscetível de se concretizar; ou
c) Implicar um esforço desproporcionado. Nesse caso, é feita uma comunicação pública ou tomada uma medida semelhante através da qual
os titulares dos dados são informados de forma igualmente eficaz.
4. Se o responsável pelo tratamento não tiver já comunicado a violação de dados pessoais ao titular dos dados, a autoridade de controlo,
tendo considerado a probabilidade de a violação de dados pessoais resultar num elevado risco, pode exigir-lhe que proceda a essa
notificação ou pode constatar que se encontram preenchidas as condições referidas no n.º 3.
Treinamentos
Organizando a proteção de dados
Violação de Dados, exemplos e ações relacionadas
Treinamentos
Organizando a proteção de dados
Violação de Dados, exemplos e ações relacionadas
As autoridades de supervisão monitoram a conformidade e podem distribuir multas administrativas e outras penalidades:
• até € 10 milhões ou 2% do volume de negócios anual total mundial pelas infrações mais formais (artigo 83 (4) do GDPR)
Por exemplo, por não cumprir a obrigação de notificação oportuna de uma violação de dados
• até € 20 milhões ou 4% do faturamento anual total mundial por violações dos princípios básicos (conforme discutido anteriormente),
Por exemplo, por não cumprir a obrigação de tomar medidas de segurança apropriadas
Treinamentos
Organizando a proteção de dados
Autoridade supervisora
Treinamentos
Organizando a proteção de dados
Autoridade supervisora
Poderes
• Poderes de investigação (por exemplo, para realizar auditorias de proteção de dados, para notificar o controlador ou processador de uma
suposta violação)
• Poderes corretivos (por exemplo, emitir repreensões, ordenar a comunicação de uma violação de dados pessoais a um titular de dados,
retirar uma certificação, impor multas administrativas)
• Poderes de autorização e consultoria (por exemplo, adotar cláusulas contratuais padrão, emitir certificações)
Treinamentos
Organizando a proteção de dados
Autoridade supervisora
Treinamentos
Organizando a proteção de dados
Transferência de dados pessoais
Treinamentos
Organizando a proteção de dados
Transferência de dados pessoais para países terceiros
Todos os Estados-Membros da UE e os Estados-Membros do EEE (Espaço Econômico Europeu ou Área Econômica Européia) (Islândia,
Noruega e Liechtenstein) aplicam as disposições da Diretiva 95/46/CE.
Esses países respeitam, assim, os princípios de proteção de dados pessoais estabelecidos na diretiva.
Treinamentos
Organizando a proteção de dados
Transferência de dados pessoais
Treinamentos
Organizando a proteção de dados
Transferência de dados pessoais
A Comissão Europeia está habilitada a decidir quais países terceiros são considerados para garantir um nível adequado de proteção.
Até agora, a Comissão Européia reconheceu Andorra, Argentina, Canadá (organizações comerciais), Ilhas Faroe, Guernsey, Israel, Ilha de Man,
Japão, Jersey, Nova Zelândia, Suíça, Uruguai e Estados Unidos da América (limitado ao Escudo de Privacidade) estrutura) como
fornecendo proteção adequada.
Treinamentos
Organizando a proteção de dados
Transferência de dados pessoais para países terceiros
Decisão de adequação da CE
DECISÃO DE EXECUÇÃO (UE) 2016/1250 DA COMISSÃO de 12 de julho de 2016 nos termos da Diretiva 95/46 / CE do Parlamento Europeu e
do Conselho relativa à adequação da proteção fornecida pelos Estados Unidos da UE. Escudo de Privacidade
Treinamentos
Organizando a proteção de dados
Transferência de dados pessoais para países terceiros
Entendemos que, a transferência de dados pessoais transfonteiriças, de acordo com o GDPR, somente é possível se o país de destino ou a
organização internacional de destino respeitarem o GDPR, ou que tenham o nível mínimo adequado de proteção necessária aos dados do
Titular.
Treinamentos
Organizando a proteção de dados
Transferência de dados pessoais
• As regras corporativas vinculativas (BCR) podem ser elaboradas por controladores e processadores.
• Regras corporativas vinculativas significam a criação de processos, procedimentos e acordos corporativos sobre o manuseio de dados
pessoais dentro da organização.
• O BCR precisa ser oficialmente aprovado pela autoridade supervisora competente para uso na União Europeia.
• Um BCR aprovado pode substituir
• Contrato escrito entre controlador e processador
• Ser usado para transferências de dados fora da UE
Treinamentos
Organizando a proteção de dados
Transferência de dados pessoais
Necessário
• Quando um controlador usa um processador para processar dados pessoais, um contrato por escrito entre essas partes é obrigatório.
• Mesmo se o processador for uma empresa subsidiária.
• Se se trata de uma empresa estrangeira.
• Se uma central de atendimento externa visualizar dados pessoais
• Este é um exemplo de processamento!
Treinamentos
Organizando a proteção de dados
Transferência de dados pessoais
• No contrato por escrito (ou outro tipo de ato legal por escrito), você precisa estipular que o processador processará apenas os dados
pessoais nos pedidos de você (o controlador).
• Você também precisa estipular que o processador cumpre todos os requisitos de segurança pelos quais você é responsável, de acordo
com o GDPR.
• Cláusulas contratuais padrão para transferências de dados fora da UE foram disponibilizadas pela Comissão Europeia
Veja abaixo, como é o modelo de Cláusulas Contratuais Padrão (Tipo) da União Européia:
Link --> https://bit.ly/2B6XjsE
Treinamentos
Organizando a proteção de dados
Transferência de dados pessoais
O processador
• processa os dados pessoais somente em instruções documentadas do controlador,
• garante que todas as pessoas que processam os dados sejam abrangidas por uma NDA ("obrigação legal apropriada de
confidencialidade")
• toma medidas de segurança apropriadas (artigo 32)
• respeita as condições para a contratação de outro processador
• assiste o controlador por medidas técnicas e organizacionais apropriadas
• auxilia o controlador a garantir a conformidade com os requisitos de segurança para processamento (artigo 32) e consulta prévia (artigo
36)
• à escolha do controlador, exclui ou retorna todos os dados pessoais ao controlador após o término da prestação de serviços relacionados
ao processamento e exclui todas as cópias
• a menos que o armazenamento seja exigido pela legislação da UE (por exemplo, legislação tributária)
• disponibiliza ao controlador todas as informações necessárias para demonstrar o cumprimento das obrigações
Treinamentos
Práticas de proteção de dados
Treinamentos
Práticas de proteção de dados
Proteção de dados desde a concepção e por padrão
Aprendemos que para estar em compliance com o GDPR, organizações e demais envolvidos (controladores e processadores, principalmente),
devem voltar seus olhares à um "velho tema" chamado Segurança da Informação.
Neste aspecto, existem normativos internacionais que podem ser adotados como guias de boas práticas para auxiliar na tarefa de adequação
das organizações, envolvendo também os profissionais que nelas trabalham.
Importante ressaltar que o GDPR não cita nenhum normativo, mas sinaliza que uma certificação adequada pode auxiliar a demonstrar
compliance.
A norma ISO/IEC 27001 é um bom normativo para orientação, enquanto a ISO/IEC 27002 pode dar diretrizes do que se deve fazer para
alcançar tais resultados de forma mais prática.
Um pouco mais adiante, veremos a ISO/IEC 27701, um padrão "recente" para implementação e manutenção de um Sistema de Gestão de
Proteção de Dados.
Treinamentos
Práticas de proteção de dados
Proteção de dados desde a concepção e por padrão
Um dos conceitos que estudamos há pouco foi o de Proteção de Dados desde a concepção e por padrão.
R: “O Controlador deve certificar-se da implementaão de medidas técnicas e organizacionais apropriadas para garantir que (...) sejam
processados apenas dados pessoais que sejam necessários para cada finalidade específica do processamento."
Novamente, é uma oportunidade de se aplicar a pseudomização e minimização dos dados pessoais no momento da determinação dos meios
de processamento e também no momento do próprio processamento, de forma a cumprir os requisitos da lei e proteger os direitos dos
titulares dos dados.
NOTA IMPORTANTE: Processadores normalmente são contratados por Controladores para a execução da tarefa de Processamento de Dados
Pessoais. Uma atenção especial deve ser voltada para os provedores de soluções em nuvem (Cloud Providers), que estão sempre
demonstrando esforço para auxiliar o Controlador em relação ao compliance, com alto padrões de tecnologia envolvidos.
Treinamentos
Práticas de proteção de dados
Proteção de dados desde a concepção e por padrão
Benefícios da Proteção de Dados por Padrão e Desde a Concepção | by Default & by Desing
• Problemas potenciais são identificados em um estágio inicial, quando resolvê-los geralmente será mais simples e menos dispendioso.
• Maior conscientização sobre privacidade e proteção de dados em uma organização.
• É mais provável que as organizações cumpram suas obrigações legais e menos violem a Lei de Proteção de Dados.
• É menos provável que as ações sejam intrusivas na privacidade e tenham um impacto negativo nos indivíduos.
Treinamentos
Práticas de proteção de dados
Proteção de dados desde a concepção e por padrão
"Princípios fundamentais"
1. Proativo não reativo
2. Proteção de dados como configuração padrão
3. Proteção de dados incorporada ao design
4. Funcionalidade completa
5. Segurança de ponta a ponta
6. Visibilidade e transparência
7. Respeito pela privacidade do usuário
Treinamentos
Práticas de proteção de dados
Proteção de dados desde a concepção e por padrão
Outras medidas
Treinamentos
Práticas de proteção de dados
Proteção de dados desde a concepção e por padrão
Outras medidas
Antivírus atualizados;
Treinamentos
Práticas de proteção de dados
Relatório de impacto sobre a proteção de dados (RIPD)
Data Protection Impact Assessment (DPIA)
Treinamentos
Práticas de proteção de dados
Relatório de impacto sobre a proteção de dados (RIPD)
Data Protection Impact Assessment (DPIA)
Artigo 35.º
Avaliação de Impacto sobre a Proteção de Dados
1. Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e
finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo
tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção
de dados pessoais. Se um conjunto de operações de tratamento que apresentar riscos elevados semelhantes, pode ser analisado numa
única avaliação.
.......
Treinamentos
Práticas de proteção de dados
Relatório de impacto sobre a proteção de dados (RIPD)
Data Protection Impact Assessment (DPIA)
Além das já citadas, existem ainda outras razões para se conduzir um RIPD ou AIPD (DPIA), sendo:
A ideia de prevenção como um dos princípios da Proteção de Dados por projeto, a obrigação de documentar a conformidade, etc.
Em detalhes:
• evitar mudanças dispendiosas nos processos, redesenho de sistemas ou encerramento de projetos;
• reduzir as consequências da supervisão e fiscalização;
• melhorar a qualidade dos dados;
• melhorar a prestação de serviços;
• melhorar a tomada de decisão;
• aumentar a conscientização sobre privacidade em uma organização;
• melhorar a viabilidade do projeto;
• melhorar a comunicação em relação à privacidade e proteção de dados pessoais;
• reforçar a confiança dos titulares de dados na forma como os dados pessoais são processados e a privacidade é respeitada.
Treinamentos
Práticas de proteção de dados
Relatório de impacto sobre a proteção de dados (RIPD)
Data Protection Impact Assessment (DPIA)
• uma avaliação sistemática e abrangente de aspectos pessoais relacionados a pessoas físicas (incluindo perfis);
• processamento em larga escala de categorias especiais de dados (dados confidenciais);
• um monitoramento sistemático de uma área acessível ao público em larga escala;
• Principais mudanças em um sistema ou processo que inclui o processamento de dados pessoais;
• Novos projetos.
Treinamentos
Práticas de proteção de dados
Relatório de impacto sobre a proteção de dados (RIPD)
Data Protection Impact Assessment (DPIA)
Treinamentos
Práticas de proteção de dados
Aplicações práticas relacionadas ao uso de dados, marketing e mídias sociais
Treinamentos
Práticas de proteção de dados
Gerenciamento do Ciclo de Vida dos Dados (GCVD)
• O artigo 5 do GDPR descreve os princípios relacionados ao processamento de dados pessoais, da criação à minimização. Esse
processo pode ser visto como um ciclo de vida dos dados.
• O gerenciamento do ciclo de vida dos dados (DLM) é uma abordagem baseada em políticas para o gerenciamento do fluxo de dados
em um sistema de informações. Ele cobre todo o ciclo de vida: desde a geração de dados e o primeiro armazenamento até o momento
em que está desatualizado e excluído.
Treinamentos
Práticas de proteção de dados
Gerenciamento do Ciclo de Vida dos Dados (GCVD)
Um titular de dados tem o direito de retificar dados pessoais a seu respeito e um 'direito a ser esquecido' quando a retenção desses dados
viola o presente regulamento ou a lei da União ou do Estado-Membro a que o responsável pelo tratamento está sujeito.
Este direito é relevante, principalmente quando o titular dos dados deu seu consentimento quando criança. Mesmo depois de deixar de ser
criança, esse direito pode ser aplicado.
• Por exemplo, muitas crianças publicam qualquer coisa na internet e nas mídias sociais sem considerar as consequências futuras.
Treinamentos
Práticas de proteção de dados
Gerenciamento do Ciclo de Vida dos Dados (GCVD)
"O Gerenciamento do Ciclo de Vida do Dado (GCVD) é um processo que ajuda as organizações a gerenciar o fluxo de dados em todo o seu
ciclo de vida - da criação, uso, compartilhamento, arquivamento e exclusão. Rastrear dados com precisão em todo o ciclo de vida da
informação é a base de uma estratégia de proteção de dados confidencial e ajuda a determinar onde aplicar os controles de segurança."
Treinamentos
Práticas de proteção de dados
Gerenciamento do Ciclo de Vida dos Dados (GCVD)
Minimização de Dados
Treinamentos
Práticas de proteção de dados
Gerenciamento do Ciclo de Vida dos Dados (GCVD)
Um titular de dados tem o direito de retificar dados pessoais a seu respeito e um 'direito a ser esquecido' quando a retenção desses dados
viola o presente regulamento ou a lei.
Este direito é relevante, principalmente quando o titular dos dados deu seu consentimento quando criança. Mesmo depois de deixar de ser
criança, esse direito pode ser aplicado.
Por exemplo, muitas crianças publicam qualquer coisa na internet e nas mídias sociais sem considerar as consequências futuras.
Treinamentos
Práticas de proteção de dados
Cookies e privacidade
Tipos:
Cookie técnico; por exemplo. Usado para o seu carrinho de compras online.
Cookie de rastreamento; Usado para monitorar o comportamento online (navegação) para criar um perfil do usuário da Internet.
Treinamentos
Práticas de proteção de dados
Marketing e os titulares de dados
Marketing é o processo de manter uma relação direta com um Titular dos dados por razões comerciais ou de caridade.
Isso significa:
• Reunir dados pessoais, criar perfis e enviar (todos os tipos de) mala direta;
• Compra de dados pessoais de terceiros;
• Contrate terceiros para organizar suas correspondências.
Treinamentos
Práticas de proteção de dados
Marketing e os titulares de dados
• Quando os dados pessoais são processados para fins de marketing direto, o titular dos dados tem o direito de se opor a qualquer
momento ao processamento de dados pessoais que lhe dizem respeito para esse marketing, o que inclui a criação de perfil na medida
em que esteja relacionado a esse marketing direto.
• As organizações são obrigadas a notificar os titulares dos dados da possibilidade de registrar objeções.
• Quando o titular dos dados se opuser ao processamento para fins de marketing direto, os dados pessoais não serão mais processados
para esses fins.
Treinamentos
Práticas de proteção de dados
Dados de mídias sociais para uso de para marketing
Características (principais)
• Interação e diálogo;
Assuntos chave
• Reputação, segredos da empresa, propriedade da conta (e conteúdo), discriminação e racismo, faça e não faça nas mídias sociais,
conscientização, sanções, etc.
Treinamentos
Fim do Treinamento
Exercício simulado:
https://ead.unirede.net
Agende seu exame de certificação Privacy & Data Protection Foundation e seja um profissional certificado em GDPR!
Treinamentos
Treinamentos
Bons estudos!