Escolar Documentos
Profissional Documentos
Cultura Documentos
APRESENTAÇÃO
Projeto em Consulta Nacional
04.02.2020 15.04.2020
a) é previsto para ser idêntico ao ISO/IEC 29151:2017, que foi elaborada pelo c;
2) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta
informação em seus comentários, com documentação comprobatória.
© ABNT 2020
Todos os direitos reservados. Salvo disposição em contrário, nenhuma parte desta publicação pode ser modificada
ou utilizada de outra forma que altere seu conteúdo. Esta publicação não é um documento normativo e tem
apenas a incumbência de permitir uma consulta prévia ao assunto tratado. Não é autorizado postar na internet
ou intranet sem prévia permissão por escrito. A permissão pode ser solicitada aos meios de comunicação da ABNT.
Prefácio Nacional
A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais
direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados
à ABNT a qualquer momento (Lei nº 9.279, de 14 de maio de 1996).
Os Documentos Técnicos ABNT, assim como as Normas Internacionais (ISO e IEC), são voluntários
e não incluem requisitos contratuais, legais ou estatutários. Os Documentos Técnicos ABNT não
substituem Leis, Decretos ou Regulamentos, aos quais os usuários devem atender, tendo precedência
sobre qualquer Documento Técnico ABNT.
Ressalta-se que os Documentos Técnicos ABNT podem ser objeto de citação em Regulamentos
Técnicos. Nestes casos, os órgãos responsáveis pelos Regulamentos Técnicos podem determinar
as datas para exigência dos requisitos de quaisquer Documentos Técnicos ABNT.
A ABNT NBR ISO/IEC 29151 foi elaborada no Comitê Brasileiro de Computadores e Processamento
de Dados (ABNT/CB-021), pela Comissão de Estudo de Segurança da Informação, segurança
cibernética e proteção da privacidade (CE-021:000.027). O Projeto circulou em Consulta Nacional
conforme Edital nº XX, de XX.XX.XXXX a XX.XX.XXXX.
A ABNT NBR ISO/IEC 29151 é uma adoção idêntica, em conteúdo técnico, estrutura e redação,
à ISO/IEC 29151:2017, que foi elaborada pelo Joint Technical Committee Information Technology
(ISO/IEC JTC 1), Subcommittee Information security, cybersecurity and privacy protection (SC 27).
Scope
This Recommendation |Standard establishes control objectives, controls and guidelines for
implementing controls, to meet the requirements identified by a risk and impact assessment related
to the protection of personally identifiable information (PII).
This Recommendation | Standard is applicable to all types and sizes of organizations acting
as PII controllers (as defined in ABNT NBR ISO/IEC 29100), including public and private
Projeto em Consulta Nacional
Introdução
O número de organizações tratando dados pessoais (DP) está crescendo, assim como o volume de
DP com que essas organizações lidam. Ao mesmo tempo, as expectativas da sociedade em relação
à proteção de DP e à segurança de dados relacionados a indivíduos também estão aumentando.
Projeto em Consulta Nacional
Vários países estão incrementando suas leis para lidar com o aumento do número de significativas
violações de dados.
Este documento oferece orientações aos controladores de DP em uma ampla variedade de controles
de segurança da informação e de proteção de DP que são comumente aplicados em diferentes
organizações que lidam com a proteção de DP. As demais partes da família de normas ISO/IEC,
listadas aqui, fornecem orientações ou requisitos sobre outros aspectos do processo geral de
proteção de DP:
— A ABNT NBR ISO/IEC 27002 fornece diretrizes para os padrões organizacionais de segurança
da informação e práticas de gestão da segurança da informação, incluindo a seleção,
implementação e gestão de controles, considerando o(s) ambiente(s) de risco(s) de segurança
da informação da organização.
— A ISO/IEC 27009 especifica os requisitos para o uso da ABNT NBR ISO/IEC 27001 em qualquer
setor específico (campo, área de aplicação ou setor de mercado). Explica como incluir requisitos
adicionais aos da ABNT NBR ISO/IEC 27001, como refinar qualquer um dos requisitos da
ABNT NBR ISO/IEC 27001 e como incluir controles ou conjuntos de controles além do Anexo A
da ABNT NBR ISO/IEC 27001.
— A ABNT NBR ISO/IEC 27018 oferece orientações para organizações que atuam como operadores
de DP ao oferecer recursos de tratamento por meio de serviços em nuvem.
— A ABNT NBR ISO/IEC 29134 fornece diretrizes para identificar, analisar e avaliar
riscos de privacidade, enquanto a ABNT NBR ISO/IEC 27001, juntamente com a
ABNT NBR ISO/IEC 27005, fornece uma metodologia para identificar, analisar e avaliar
riscos de segurança.
Convém que os controles sejam escolhidos com base nos riscos identificados como resultado
de uma análise de risco para desenvolver um sistema abrangente e consistente de controles.
Convém que os controles sejam adaptados ao contexto do tratamento específico de DP.
Este documento contém duas partes: 1) o corpo principal que consiste nas seções 1 a 18 e 2)
um anexo normativo. Esta estrutura reflete a prática normal para o desenvolvimento de extensões
setoriais da ABNT NBR ISO/IEC 27002.
A estrutura do corpo principal deste documento, incluindo os títulos das seções, reflete o corpo
principal da ABNT NBR ISO/IEC 27002. A introdução e as seções 1 a 4 fornecem informações
sobre o uso deste documento. Os títulos das seções 5 a 18 refletem os da NBR ISO/IEC 27002,
refletindo o fato de que este documento se baseia nas diretrizes da ABNT NBR ISO/IEC 27002,
adicionando novos controles específicos para a proteção de DP. Muitos dos controles da
ABNT NBR ISO/IEC 27002 não precisam de extensão no contexto dos controladores de DP.
No entanto, em alguns casos, são necessárias diretrizes adicionais de implementação, que são
fornecidas no cabeçalho apropriado (e no número da seção) da ABNT NBR ISO/IEC 27002.
Projeto em Consulta Nacional
— consentimento e escolha;
— limitação de coleta;
— minimização de dados;
— precisão e qualidade;
— responsabilização;
— segurança da informação; e
Este documento inclui diretrizes baseadas na ABNT NBR ISO/IEC 27002 e as adapta conforme
necessário para atender aos requisitos de proteção à privacidade que surgem do tratamento de DP:
— pesquisa, análise;
— nas redes de transporte e coleta de dados (por exemplo, onde os dados de localização
do celular são criados operacionalmente pelo processamento da rede, que podem ser
considerados DP em algumas jurisdições);
NOTA A coleta de dados contínua pode conter ou produzir tipos de DP comportamentais, locais e outros.
Nesses casos, o uso de controles de proteção de DP que permitam gerenciar o acesso e a coleta com base
no consentimento e que permitem que o titular de DP exerça controle apropriado sobre esse acesso e coleta,
precisa ser considerado.
1 Escopo
Projeto em Consulta Nacional
Esta Recomendação | Norma se aplica a todos os tipos e tamanhos de organizações que atuam como
controladores de DP (conforme estabelecido na ABNT NBR ISO/IEC 29100), incluindo empresas
públicas e privadas, entidades governamentais e organizações sem fins lucrativos que tratam DP.
2 Referências normativas
Os documentos a seguir são citados no texto de tal forma que seus conteúdos, totais ou parciais,
constituem requisitos para este Documento. Para referências datadas, aplicam-se somente as edições
citadas. Para referências não datadas, aplicam-se as edições mais recentes do referido documento
(incluindo emendas).
Para os efeitos deste documento, aplicam-se os termos e definições das ISO/IEC 27000:2016 e
ABNT NBR ISO/IEC 29100, e os seguintes.
A ISO e a IEC mantêm bases de dados terminológicos para uso na padronização nos seguintes
endereços:
3.1.1
chief privacy officer (CPO)
membro da Alta Direção, que tem responsabilização pela proteção dos dados pessoais (DP) em uma
organização
3.1.2
processo de desidentificação
processo de remoção da associação entre um conjunto de dados de identificação e o titular de DP,
usando técnicas de desidentificação
DP Dados Pessoais
4 Visão geral
4.1 Objetivo da proteção de DP
Este documento fornece um conjunto de controles para proteção de DP. O objetivo da proteção de DP
é permitir que as organizações implementem um conjunto de controles como parte de seu programa
geral de proteção de DP. Estes controles podem ser usados em uma estrutura para manter e melhorar
o compliance com leis e regulamentos relacionados à privacidade, gestão de riscos de privacidade
e para atender às expectativas de titulares de DP, reguladores ou clientes de DP, de acordo com os
princípios de privacidade descritos na ABNT NBR ISO/IEC 29100.
Convém que a organização identifique seus requisitos de proteção de DP. Os princípios de privacidade
da ABNT NBR ISO/IEC 29100 se aplicam à identificação de requisitos. Existem três fontes principais
de requisitos de proteção de DP:
— avaliação de riscos (ou seja, riscos de segurança e riscos de privacidade) para a organização
e o titular de DP, considerando a estratégia e os objetivos gerais de negócios da organização,
por meio de uma avaliação de riscos;
— políticas corporativas: uma organização também pode optar voluntariamente por ir além dos
critérios derivados de requisitos anteriores.
Também convém que as organizações considerem os princípios (ou seja, princípios de privacidade
estabelecidos na ABNT NBR ISO/IEC 29100), objetivos e requisitos de negócios para o tratamento
de DP que foram desenvolvidos para apoiar suas operações.
Projeto em Consulta Nacional
Um documento de AIP como a ABNT NBR ISO/IEC 29134 pode fornecer orientações para AIP,
incluindo recomendações sobre avaliação de riscos, plano de tratamento de riscos, aceitação de risco
e análise crítica de risco.
4.3 Controles
Controles podem ser selecionados a partir deste documento (que inclui por referência os controles
da ABNT NBR ISO/IEC 27002, criando um conjunto de controles de referência combinados).
Se necessário, os controles também podem ser selecionados de outros conjuntos de controles ou
novos controles podem ser projetados para atender a necessidades específicas, conforme apropriado.
A seleção dos controles depende de decisões organizacionais com base nos critérios para opções de
tratamento de riscos e na abordagem geral de gestão de riscos aplicada à organização e, por meio
de acordos contratuais, a seus clientes e fornecedores, e convém que também esteja sujeita a todas
às legislações e aos regulamentos nacionais e internacionais aplicáveis.
Os controles neste documento podem ser usados como referência para organizações que tratam
DP e destinam-se a ser aplicáveis a todas as organizações que atuam como controladores de DP.
Convém que as organizações que atuam como operadores de DP o façam, de acordo com as instruções
do controlador de DP. Convém que os controladores de DP assegurem que seus operadores de DP
Os controles neste documento são explicados em mais detalhes nas Seções 5 a 18, juntamente
Projeto em Consulta Nacional
Este documento pode ser considerado como um ponto de partida para o desenvolvimento de diretrizes
específicas da organização. Nem todos os controles e orientações neste documento são aplicáveis
a todas as organizações.
Além disso, controles e diretrizes adicionais não incluídos neste documento podem ser necessários.
Quando documentos são desenvolvidos contendo diretrizes ou controles adicionais, pode ser útil
incluir referências cruzadas às seções neste documento, quando aplicável, para facilitar a verificação
de conformidade por auditores e parceiros de negócios.
Os DP têm um ciclo de vida natural, desde a criação ou originação, coleta, armazenamento, uso e
transferência até seu descarte eventual (por exemplo, destruição segura). O valor dos, e os riscos
para, DP podem variar durante o seu ciclo de vida, mas a proteção de DP permanece importante em
certa medida em todos os estágios e em todos os contextos do seu ciclo de vida.
Os sistemas de informação também têm ciclos de vida dentro dos quais são concebidos, especificados,
projetados, desenvolvidos, testados, implementados, usados, mantidos e eventualmente retirados de
serviço e descartados. Convém que a proteção de DP também seja considerada em cada um desses
estágios. Novos desenvolvimentos de sistema e alterações nos sistemas existentes apresentam
oportunidades para as organizações atualizarem e melhorarem os controles de segurança, bem como
os controles para a proteção de DP, considerando os incidentes reais e, os atuais e projetados riscos
de segurança da informação e privacidade.
A primeira parte deste documento, composta das Seções 5 a 18, contém diretrizes adicionais de
implementação e outras informações para determinados controles existentes pertinentes descritos na
ABNT NBR ISO/IEC 27002. O formato desta Parte usa os títulos de seção e numeração pertinentes
da ABNT NBR ISO/IEC 27002 para permitir referência cruzada a esta Norma.
Controle
O texto sob este cabeçalho estabelece a declaração de controle específica para cumprir o objetivo
de controle.
O texto sob este cabeçalho fornece informações mais detalhadas para apoiar a implementação do
controle e atender aos objetivos do controle. As orientações fornecidas neste documento podem
não ser inteiramente adequadas ou suficientes em todas as situações e podem não atender aos
requisitos de controle específicos da organização. Controles alternativos ou adicionais, ou outras
formas de tratamento de riscos (evitar ou transferir riscos), podem, portanto, ser apropriados.
O texto deste cabeçalho fornece informações adicionais que podem precisar ser consideradas,
como considerações legais e referências a outras normas.
5.1.1 Introdução
6.1.1 Introdução
Projeto em Consulta Nacional
a) convém que um indivíduo sênior claramente identificado [às vezes referido como chief privacy
officer (CPO)] dentro da organização receba a responsabilização pela proteção de DP;
b) convém que um indivíduo ou indivíduos claramente identificados (por exemplo, função de proteção
de DP) receba(m) a responsabilidade por coordenar as funções de segurança da informação
dentro da organização; e
Convém que o cargo de proteção de DP estabelecido trabalhe em estreita colaboração com outros
cargos que tratem DP, o cargo de segurança da informação, que implementa os requisitos de segurança
que incluem aqueles decorrentes das leis de proteção de DP, assim como o cargo jurídico, que auxilia
na interpretação de leis, regulamentos e termos de contrato, e no tratamento de violações de dados.
no interesse da proteção de DP, convém que seja facilitada a coordenação e cooperação entre os
responsáveis pela segurança da informação e pela proteção de DP.
Convém que o acesso aos DP que estejam sendo tratados e o acesso aos arquivos de log concernentes
a esses tratamentos sejam funções separadas.
Onde aplicável, convém que as organizações tenham procedimentos para especificar quando
e quais autoridades (incluindo autoridades de proteção de dados) convém que sejam contatadas,
por exemplo, para reportar violações de privacidade ou para reportar detalhes de tratamento.
Convém que qualquer nova iniciação de projeto acione pelo menos uma análise preliminar para
determinar se uma AIP precisa ser conduzida. Observar que o termo projeto abrange todos os
incidentes em que uma organização implementa ou modifica tecnologia, produto, serviço, programa,
sistema de informação, processo ou projeto novo ou existente.
Mais orientações podem ser encontradas na AIP especificada na ABNT NBR ISO/IEC 29134.
Convém que as organizações limitem estritamente o acesso remoto aos DP e, nos casos em
que o acesso remoto for inevitável, assegurar que as comunicações para acesso remoto sejam
criptografadas, tenham mensagens autenticadas e integridade protegida.
7.1.1 Introdução
7.1.2 Seleção
7.2.1 Introdução
Convém que sejam tomadas medidas para conscientizar a equipe pertinente das possíveis
consequências para o controlador de DP (por exemplo, consequências legais, perda de negócios ou
danos à marca ou à reputação), para o membro da equipe (por exemplo, consequências disciplinares)
e para o titular de DP (por exemplo, consequências físicas, materiais e emocionais) em violar regras e
procedimentos de privacidade ou segurança, especialmente aqueles referentes ao tratamento de DP.
Convém que as organizações estabeleçam uma política disciplinar formal. Convém que esta política,
em caso de violações de privacidade, seja claramente comunicada às pessoas afetadas. Convém que
as organizações façam cumprir essa política em todos os casos de violação de privacidade.
7.3.1 Introdução
8 Gestão de ativos
8.1 Responsabilidade pelos ativos
8.1.1 Introdução
c) classificação (ver 8.2.2) de todos os tipos de DP, tanto como elementos de informação individuais
quanto combinados nesses sistemas de informação;
d) nível de impacto potencial, para o titular de DP e para a organização, de qualquer violação de DP;
Convém que as organizações protejam os ativos que oferecem suporte a DP contra acesso não
autorizado, modificação não autorizada, remoção não autorizada, perda ou destruição ou tratamento
incorreto e não autorizado por lei e assim por diante.
8.2.1 Introdução
Convém que as organizações classifiquem todas as informações contendo DP, usando uma categoria
de classificação existente (denominada grupo de informação na ABNT NBR ISO/IEC 27002) ou
categorias de classificação recém-criadas. Convém que novas categorias de classificação incluam,
não estando limitadas a, categorias gerais, como DP sensíveis e não sensíveis. Um esquema de
classificação também pode incluir categorias mais específicas, como dados pessoais de saúde
(DPS), dados pessoais financeiros (DPF). Se as organizações criarem categorias de classificação,
convém que os níveis de proteção para elas também sejam definidos. Convém que as categorias
reais usadas também dependam, por exemplo, dos requisitos estabelecidos na legislação e
regulamentos pertinentes de proteção de dados, outras obrigações legais (por exemplo, contratuais),
a natureza das informações, quão sensíveis são e, o risco de danos que possam surgir na eventualidade
de uma violação.
Alguns DP que podem ser classificados como não sensíveis em um país podem ser tratados como
sensíveis em outros lugares, dependendo das leis de proteção de dados aplicáveis.
NOTA BRASILEIRA O motivo para a tradução dos termos “personal health information (PHI)” e
“personal financial information (PFI)” respectivamente por “dados pessoais de saúde (DPS)” e “dados
pessoais financeiros (DPF)” é o uso corrente da expressão “dados pessoais” no Brasil e sua adoção
pela lei brasileira que trata de privacidade e proteção de dados pessoais (Lei 13.709/2018 – Lei Geral de
Proteção de Dados Pessoais – LGPD).
Nos casos em que uma organização não classifique DP em uma categoria de classificação, convém
que a organização assegure que as pessoas sob seu controle estejam cientes da definição de DP e
de como reconhecer se as informações são DP.
Se as organizações permitirem que as pessoas sob seu controle possam omitir a rotulagem de
informações da categoria de classificação relacionada a DP, convém que as organizações façam
com que as pessoas sob seu controle tratem todas as informações contendo DP como a informação
da categoria de classificação atribuída.
8.3.1 Introdução
Algumas jurisdições podem exigir que a mídia removível que contém DP seja criptografada. Seja ou
não exigido por lei, a criptografia é recomendada para reduzir o risco de divulgação não autorizada
de DP.
Convém que os procedimentos para descarte seguro de mídia contendo DP sejam proporcionais à
sensibilidade das informações, bem como ao nível de impacto do tratamento inadequado dessas
informações. Algumas jurisdições podem impor critérios aos procedimentos usados para descartar
mídia contendo DP ou tipos específicos de DP (por exemplo, dados de saúde, dados financeiros).
Sempre que a mídia física for usada para transferência de informações, convém que uma medida
seja adotada para registrar a mídia física de entrada e saída contendo DP, incluindo o tipo de mídia
física, quaisquer números de identificação (por exemplo, números de série ou números de etiqueta
de inventário), o remetente e os destinatários autorizados, a data e hora, o número de mídias físicas
Projeto em Consulta Nacional
e os tipos de DP que elas contêm e para detectar a perda de mídias físicas. Convém que a finalidade
e a extensão da transferência, a pessoa responsável por sua autorização e a base legal/contratual
para a transferência também sejam documentados. Convém que seja considerado, adicionalmente,
referências explícitas ao princípio de minimização de dados.
9 Controle de acesso
9.1 Requisitos do negócio para controle de acesso
9.1.1 Introdução
9.2.1 Introdução
Convém que os procedimentos para registro e cancelamento de registro do usuário, bem como o
gerenciamento do ciclo de vida do usuário, forneçam medidas para solucionar um comprometimento
do controle de acesso do usuário, como alteração indevida ou comprometimento de senhas ou
outros dados de registro do usuário (por exemplo, como resultado de divulgação inadvertida).
Convém que as organizações forneçam aos usuários um direito de acesso adequado aos sistemas
de informações que tratam DP, de acordo com o princípio de minimização de dados descrito na
ABNT NBR ISO/IEC 29100.
Projeto em Consulta Nacional
Convém que as organizações restrinjam o acesso aos sistemas de informações que tratam DP ao
número mínimo de indivíduos necessários para realizar as finalidades especificadas para aquele
tratamento, de acordo com o princípio de minimização de dados descrito na ABNT NBR ISO/IEC 29100.
O tratamento em larga escala de DP (por exemplo, consultas em lote, modificação em lote, exportação
em lote, exclusão em lote) aumenta o risco de uma violação em grande escala. Convém que as
organizações tenham cuidado especial ao atribuir direitos de acesso a essas operações privilegiadas.
Para evitar o abuso de DP, os direitos de acesso privilegiado ao tratamento de DP (especialmente
o tratamento de DP de alto risco) sejam atribuídos de modo estritamente limitado. Convém também
que eles sejam assinalados de maneira a ajudar a reduzir o risco de conluio entre dois ou mais
indivíduos. Convém que a concessão e o uso destes direitos sejam registrados nos arquivos de
log pertinentes. Convém que todas as aprovações de acesso sejam por um período específico.
Convém que as organizações analisem criticamente todas essas aprovações regularmente e,
apropriadamente, renovem, revoguem ou expirem as aprovações, conforme apropriado.
9.3.1 Introdução
9.4.1 Introdução
Antes de permitir que indivíduos como operadores e administradores usem linguagens de consulta
que permitam recuperação massiva automatizada de DP de bancos de dados que contêm DP,
convém que as organizações analisem criticamente a necessidade de usar essas linguagens ao tratar DP.
Onde o uso de linguagens de consulta for consistente com o requisito de proteção, convém que as
organizações forneçam medidas técnicas para limitar o uso destas linguagens ao mínimo necessário
para cumprir a(s) finalidade(s) especificada(s).
Isso pode, por exemplo, significar que as restrições de acesso limitem o uso da linguagem de consulta
a poucos campos sensíveis predefinidos dos registros.
Onde os indivíduos exigem acesso a áreas para as quais normalmente não são autorizados
(por exemplo, a área operacional), convém que mecanismos robustos de aprovação sejam
implementados. Convém que as organizações mantenham um registro de todas essas aprovações.
Nos casos em que os titulares DP possam solicitar contas de um controlador de DP, convém que
o controlador de DP forneça procedimentos seguros de log-on para essas contas, dependendo
dos resultados de uma análise de risco.
10 Criptografia
10.1 Controles criptográficos
10.1.1 Introdução
11.1.1 Introdução
11.2 Equipamento
11.2.1 Introdução
11.2.3 Utilidades
Para fins de descarte ou reutilização segura, convém que o equipamento que contenha mídia de
armazenamento que possa conter DP seja fisicamente destruído ou os DP sejam destruídos,
excluídos ou sobrescritos por técnicas aprovadas, de acordo com procedimentos bem definidos e
documentados, para tornar os DP originais irrecuperáveis em vez de simplesmente usar a função
Projeto em Consulta Nacional
padrão de excluir ou formatar. Para equipamentos que contenham mídia de armazenamento que
possa conter DP criptografado, a destruição controlada de chaves de descriptografia ou porta-chaves
(como cartões inteligentes) pode ser suficiente.
12.1.1 Introdução
Convém que a organização avalie o risco de usar mídia removível e dispositivos contendo DP
com recursos sem fio, independentemente do ambiente em que serão usados.
Onde não for permitido por lei ou por consentimento explícito do titular, convém que o DP não seja
usado para fins de desenvolvimento e teste sem prévia anonimização.
12.2.1 Introdução
12.3.1 Introdução
NOTA Passa algum tempo entre as operações de cópia de segurança e recuperação. Os DP armazenados
em uma cópia de segurança podem não estar mais atualizados quando acessados para serem restaurados.
Quaisquer operações baseadas em DP desatualizados podem levar a resultados incorretos e representar
um risco de privacidade.
12.4.1 Introdução
Sempre que possível, convém que o registro de eventos (log) registre quais DP foram acessados,
o que foi feito quanto aos DP (por exemplo, ler, imprimir, adicionar, modificar, excluir), quando e por
quem, especialmente para certos tipos de DP (por exemplo, dados de saúde). Onde vários prestadores
de serviços estiverem envolvidos na prestação de um serviço, pode haver funções variadas ou
compartilhadas na implementação desta diretriz.
Convém que um processo seja implementado para analisar criticamente o registro de eventos (log)
com uma periodicidade especificada e documentada para identificar irregularidades e propor esforços
de correção.
Convém que o controlador de DP defina procedimentos sobre se, quando e como as informações de
log podem ser disponibilizadas ou utilizadas pelo administrador para fins tais como monitoramento
de segurança e diagnóstico operacional.
Convém que as organizações monitorem o acesso privilegiado (por exemplo, pelos administradores
e operadores do sistema) aos DP e qualquer tratamento subsequente destes. Convém que esse
monitoramento faça parte do monitoramento geral dos sistemas de informações que tratam DP.
Convém que as organizações especifiquem o que consideram uma atividade anômala e convém
que sejam implementados procedimentos automatizados para relatar essa atividade aos indivíduos
pertinentes dentro da organização.
12.5.1 Introdução
12.6.1 Introdução
12.7.1 Introdução
13.1.1 Introdução
13.2.1 Introdução
Convém que medidas apropriadas sejam adotadas para reduzir o risco de divulgação não autorizada
de DP durante a transferência de informações. Isso geralmente é resolvido com a implementação
da criptografia e outras medidas preliminares podem incluir a desidentificação, mascaramento ou
ofuscação.
14.1.1 Introdução
Projeto em Consulta Nacional
Ao desenvolver ou fazer alterações significativas nos sistemas de informação que tratam DP,
convém que uma AIP seja conduzida. As orientações sobre a condução das AIP podem ser encontradas
na ABNT NBR ISO/IEC 29134. Convém que os resultados da AIP sejam usados para determinar
os controles para tratar os riscos identificados durante o processo da AIP.
14.2.1 Introdução
14.2.4 Análise crítica técnica das aplicações após mudanças nas plataformas operacionais
Convém que o teste de aceitação de sistemas também inclua o teste de requisitos de salvaguarda
de privacidade.
14.3.1 Introdução
Convém que os dados operacionais contendo DP normalmente não sejam usados para
desenvolvimento e teste. O uso de DP reais nesses ambientes aumenta o risco de comprometimento
das informações. Em vez disso, convém que as organizações usem dados sintéticos ou tomem
medidas para ‘’ ocultar ‘’ (por exemplo, mascarar, ofuscar, desidentificar) quaisquer DP reais em uso.
15.1.1 Introdução
Projeto em Consulta Nacional
No caso de uma organização precisar fazer uso dos serviços de um operador de DP, convém que
os operadores de DP sejam avaliados com base na experiência, confiabilidade e capacidade de atender
aos requisitos de proteção de DP, conforme estipulado pela legislação aplicável, regulamentação
ou nos contratos ou outros acordos legais.
Convém que a organização que atua como controlador de DP tenha um contrato por escrito com
qualquer fornecedor que atue como operador de DP. Convém que o contrato distribua claramente
funções e responsabilidades entre o controlador de DP e o operador de DP, e convém que contenha
seções apropriadas relacionadas à proteção de DP, a fim de responsabilizar o operador de DP
pelo tratamento realizado.
— outras medidas organizacionais a serem adotadas para atender aos requisitos legais ou
regulamentares;
— obrigações de reporte em casos de violação de dados, tratamento não autorizado ou outro não
cumprimento de termos e condições contratuais, incluindo a identificação dos pontos de contato
de ambas as partes;
Convém que o controlador de DP assegure que seus operadores DP não realizem nenhuma
subcontratação adicional de tratamento (isto é, faça uso de suboperadores) sem a aprovação prévia
do controlador de DP. Convém que o controlador de DP cumpra toda a legislação e regulamentação
pertinentes sobre isto.
Convém que o controlador de DP assegure que seus operadores de DP não tratem os DP para
quaisquer outros fins que não aqueles especificados no contrato ou em outro contrato legal.
Convém que o controlador de DP assegure que seus operadores de DP descartem com segurança
os DP, de acordo com as políticas do controlador de DP ou outros requisitos (por exemplo, requisitos
específicos da agência).
Projeto em Consulta Nacional
15.2.1 Introdução
16.1.1 Introdução
Convém que as organizações sejam capazes de fornecer (e estejam preparadas para fornecer)
uma resposta organizada e eficaz a um incidente de privacidade. Convém que as organizações,
portanto, desenvolvam e implementem um plano de resposta a incidentes de privacidade.
e) procedimentos para assegurar a pronta notificação por todos os indivíduos sujeitos à política de
privacidade interna (por exemplo, funcionários, contratados) de qualquer incidente de privacidade
aos funcionários de segurança da informação e ao indivíduo responsabilizado pela proteção de DP
(às vezes referido como CPO), de acordo com a direção de gestão de incidentes organizacionais;
g) um processo para identificar medidas que precisam ser tomadas para mitigar os danos identificados
acima e reduzir a probabilidade de sua recorrência; e
As organizações podem optar por integrar seus planos de resposta a incidentes de privacidade
com seus planos de resposta a incidentes de segurança ou mantê-los separados. Convém que
um incidente de segurança da informação desencadeie uma análise crítica pelo controlador de DP,
como parte de seu processo de gestão de incidentes de segurança da informação, para determinar
se ocorreu uma violação de dados envolvendo DP.
Um evento de segurança da informação pode não desencadear essa análise crítica. Um evento de
segurança da informação pode incluir, sem limitação, pings e outros ataques de broadcast em firewalls
ou servidores de borda, verificações de portas, tentativas malsucedidas de logon, ataques de negação
de serviço e captura de pacotes. Um evento de segurança da informação não resulta necessariamente
em comprometimento provável ou real de DP ou equipamento ou instalações tratando DP.
As jurisdições podem impor requisitos específicos (por exemplo, na legislação ou nos regulamentos)
relacionados ao reporte ou notificação de incidentes de segurança envolvendo DP (por exemplo,
tratamento não autorizado, violação). Quando ocorre um incidente de segurança relacionado
aos DP, convém que os detalhes do incidente, incluindo a resposta proposta pelas organizações
(cuja divulgação pode estar sujeita a certas limitações), sejam notificados o mais rápido possível
às autoridades pertinentes. Isso pode incluir autoridades de proteção de dados, órgãos policiais e
Projeto em Consulta Nacional
Convém que as organizações forneçam aos titulares de DP afetados acesso às soluções apropriadas
e eficazes, como correção ou exclusão de informações incorretas, se ocorrer uma violação de
privacidade.
17.1.1 Introdução
17.2 Redundâncias
17.2.1 Introdução
18 Compliance
18.1 Compliance com requisitos legais e contratuais
18.1.1 Introdução
a) Quando for necessária proteção adicional para determinadas categorias de DP (por exemplo,
identificador nacional, número do passaporte ou número do cartão de crédito), convém que sejam
utilizadas técnicas criptográficas, como criptografia. Convém que o tipo, robustez e qualidade
do algoritmo criptográfico necessário sejam adotados. Convém que os algoritmos criptográficos
só sejam selecionados a partir de listas de algoritmos aprovados.
As auditorias podem ser conduzidas pela organização (por exemplo, através de um componente
da auditoria interna) ou podem ser realizadas por um terceiro independente qualificado.
18.2.1 Introdução
Anexo A
A.1 Geral
Este Anexo fornece definições para novos objetivos, novos controles e novas orientações de
implementação que compõem um conjunto de controles estendidos para atender aos requisitos
específicos para a proteção de DP.
As orientações neste documento se baseiam nas fornecidas na ABNT NBR ISO/IEC 29100:2020
e pressupõem que as orientações na ABNT NBR ISO/IEC 29100:2020 foram implementadas.
A Seção A.2 descreve políticas gerais para a proteção de DP, enquanto as seções subsequentes
refletem os princípios de privacidade descritos na ABNT NBR ISO/IEC 29100:2020.
A.2.1 Controle
Convém que as organizações envolvidas no tratamento de DP estabeleçam uma política para o uso
e proteção de DP.
Convém que a política de privacidade inclua declarações apropriadas (em políticas de privacidade
separadas ou como adições às políticas existentes) sobre suporte e compromisso com a gestão do
compliance com a legislação de proteção de DP aplicável, requisitos contratuais e outras políticas
internas.
As políticas de privacidade e segurança podem não abranger os mesmos tópicos, embora estejam
intimamente relacionados. Convém que as políticas de segurança da informação e as políticas
de privacidade abordem a confidencialidade, a integridade e a disponibilidade das informações e,
além disso, convém que as políticas de privacidade abordem tópicos como consentimento e acesso
individual.
A ABNT NBR ISO/IEC 29100:2020 fornece orientações sobre a implementação de uma estrutura
de privacidade. Convém que a política de proteção de DP:
A.3.1 Consentimento
Controle
Convém que as organizações forneçam os meios necessários para que os titulares de DP exerçam
consentimento significativo, informado, inequívoco e dado livremente, exceto quando não for possível
que o titular de DP recuse livremente o consentimento ou quando a lei aplicável permitir especificamente
o tratamento de DP sem o consentimento do titular.
a) determinem os meios práticos a serem implementados para obter o consentimento dos titulares
de DP e analisem os casos em que os meios práticos escolhidos não estão mais operacionais,
e determinem soluções alternativas, se necessário, para assegurar que o consentimento seja
obtido antes do início de qualquer tratamento;
b) forneçam meios, quando possível e apropriado ou quando legalmente exigido, para que os
titulares de DP forneçam consentimento, a fim de assegurar que o consentimento seja obtido
antes do início de qualquer tratamento - o tratamento inclui coleta, armazenamento, alteração,
recuperação, consulta, divulgação, desidentificação, anonimização, disseminação ou disponibilização,
exclusão ou destruição de DP;
c) quando o consentimento estiver sendo fornecido por um agente legal (por exemplo, em nome
de crianças ou pessoas incapacitadas por lei), armazenem o registro do consentimento;
g) alcancem conscientização e consentimento, por exemplo, por meio de avisos públicos atualizados;
convém que qualquer modificação do consentimento seja realizada em tempo hábil e convém que
o tratamento seja modificado ou cessado, de acordo com o consentimento revisado;
Sujeitas à lei aplicável, convém que as organizações obtenham consentimento por meios de
consentimento explícito ou implícito. O consentimento de aceitação (opt-in) é o método preferido,
mas nem sempre é viável. A aceitação requer que os titulares de DP adotem ações afirmativas para
permitir que as organizações coletem ou usem DP. Se o consentimento for coletado usando mídia
eletrônica, convém que organização determine se a aceitação simples é adequada ou se a aceitação
dupla é necessária.
O consentimento implícito é geralmente inferido pelas ações de um indivíduo ou sua falta, ou suas
circunstâncias particulares. Exemplo de consentimento implícito: o cliente fornece o endereço de
entrega ao varejista on-line e o varejista usa as informações estritamente para fins de entrega das
mercadorias que o cliente comprou.
Convém que as organizações forneçam meios práticos a serem implementados para obter o
consentimento separado dos titulares de DP quando forem coletados números de identificação nacional
(por exemplo, número de seguro social, número de registro de residente, número de passaporte).
As organizações podem fornecer, por exemplo, as escolhas detalhadas dos titulares de DP sobre se
desejam ser contatadas para diversos fins. Nessa situação, as organizações constroem mecanismos
de consentimento para assegurar que as operações organizacionais cumpram as escolhas do titular
de DP, tanto quanto possível.
com outras organizações. Convém que as organizações analisem criticamente, periodicamente, seus
processos para assegurar que nenhum DP desnecessário esteja sendo tratado.
A.3.2 Escolha
Objetivo: Apresentar aos titulares de DP, quando apropriado e viável, a opção de não permitir o
tratamento de seus DP, recusar ou retirar o consentimento ou se opor a um tipo específico de
tratamento, e explicar aos titulares de DP as implicações da concessão ou recusa do consentimento.
Controle
a) assegurem que os titulares de DP que exercem uma escolha em relação ao tratamento de seus
DP possam fazê-lo antes de qualquer tratamento;
b) não retenham o serviço de um titular de DP que se recuse a fornecer DP que não seja relevante
para esse serviço;
d) reconheçam a declaração de objeção dentro dos prazos especificados na lei aplicável ou conforme
estabelecido na política organizacional;
e) analisem os casos em que os meios práticos escolhidos não estão mais operacionais e identifiquem
soluções de backup, se necessário, para permitir que os titulares de DP continuem a exercer
seu direito de rejeitar em tempo hábil;
f) assegurem que os DP sejam classificados, rotulados e armazenados de uma maneira que facilite
o exercício do direito de rejeitar e assegurem que os titulares de DP possam exercer seu direito
de rejeitar em tempo hábil e sem custo;
h) assegurem que, se for exigido fundamento legal para exercer o direito de objeção, os titulares
de DP que exercem seu direito de objeção forneçam motivos razoáveis para a objeção –
convém que qualquer recusa em cumpri-la detalhe as razões pelas quais o controlador de DP
não considera essas objeções motivos legítimos;
i) assegurem que todas as organizações com as quais os DP foram compartilhados estejam cientes
Projeto em Consulta Nacional
Em muitas situações, dependendo das leis aplicáveis, pode não ser necessário ou praticável
fornecer um mecanismo para exercer a escolha ao coletar informações publicamente disponíveis.
Por exemplo, não seria necessário fornecer um mecanismo para oferecer uma opção aos titulares
de DP ao coletar seu nome e endereço em um registro público ou jornal.
Controle
Convém que as organizações implementem medidas apropriadas para assegurar que o tratamento de
DP cumpra a lei aplicável e se baseie em um fundamento legal permitido.
a) determinem se o tratamento proposto pode ser realizado com base em um fundamento legal
que não seja o consentimento (por exemplo, aplicação da lei, segurança pública, obrigação legal
ou interesse legítimo do controlador de DP);
b) determinem se o tratamento proposto é regido por um fundamento legal (por exemplo, aplicação
da lei, segurança pública ou obrigação legal) que proíbe que os titulares de DP exerçam sua
escolha em relação ao tratamento de suas DP;
c) determinem a autoridade legal (local) que permite o tratamento de DP, geralmente ou em apoio
a um programa ou sistema de informação específico; e
d) incorporem procedimentos que assegurem que o tratamento esteja em conformidade com toda
a regulamentação aplicável e sua interpretação pelas autoridades competentes. Convém que o
contexto geral do tratamento seja considerado ao determinar a legitimidade de sua finalidade.
Isso incluirá a natureza do relacionamento subjacente entre o controlador de DP e os titulares
de DP, desenvolvimentos científicos e tecnológicos e mudanças nas atitudes sociais e culturais.
Projeto em Consulta Nacional
Se a organização tiver um conselho de empresa ou sindicato, as leis aplicáveis podem exigir consulta
a esses órgãos ao estabelecer a legitimidade de um objetivo no caso de funcionários.
Objetivo: Especificar os objetivos para os quais DP são coletados o mais tardar no momento da
coleta e limitar o uso subsequente ao cumprimento das finalidades originais.
Controle
Convém que as organizações comuniquem o(s) objetivo(s) ao titular de DP antes que as informações
sejam coletadas ou usadas pela primeira vez para um novo objetivo, usem linguagem para esta
especificação que seja clara e adequadamente adaptada às circunstâncias e forneçam explicações
suficientes para a necessidade de tratar DP sensíveis.
Depois que os objetivos específicos forem identificados, convém que eles sejam claramente descritos
na documentação de compliance de privacidade relacionada ou nos formulários que as organizações
usam para coletar DP. Além disso, para evitar coleções ou usos não autorizados de DP, convém que
o pessoal que lida com DP receba treinamento das autoridades organizacionais para coleta.
Controle
Convém que as organizações implementem medidas apropriadas para limitar a coleta do tipo e
quantidade de DP aos elementos mínimos para os objetivos descritos no aviso (ver A.9.1) e aqueles
dentro dos limites das leis e regulamentos aplicáveis.
d) limitem a coleta de DP aos elementos mínimos identificados para os objetivos descritos no aviso
(ver A.9.1) e para os quais o titular de DP tenha dado consentimento;
e) não coletem DP sensível, a menos que a coleta de DP sensível seja legalmente autorizada
ou seja obtido consentimento; e
Convém que as organizações considerem cuidadosamente quais DP precisam ser coletados para
atingir um objetivo específico antes de prosseguir com a coleta. Convém que as organizações
não coletem DP indiscriminadamente.
Convém que as organizações analisem criticamente regularmente o(s) objetivo(s) para o qual(ais)
estão coletando DP para assegurar que ainda sejam válidos. Convém também que eles analisem
criticamente regularmente os DP que estão coletando para assegurar que ainda seja apenas o mínimo
essencial para o(s) objetivo(s).
Não convém que as organizações coletem DP sensíveis, por exemplo, número de identificação
nacional, a menos que a coleta dessas informações seja legalmente autorizada ou seja obtido
consentimento explícito.
Algumas jurisdições podem definir determinadas categorias de DP (por exemplo, origem racial,
opiniões políticas ou crenças religiosas ou outras crenças, dados pessoais sobre saúde, vida sexual ou
condenações criminais etc.) como sensíveis. Essas jurisdições podem impor restrições ou condições
à coleta desse tipo de DP e convém que as organizações considerem essas restrições e condições
Projeto em Consulta Nacional
Controle
b) usem ou ofereçam como opções-padrão, sempre que possível, interações e transações que
não envolvam a identificação de titulares de DP;
d) realizem uma avaliação inicial dos DP retidos pela organização e, estabeleçam e sigam um
cronograma para analisa-los criticamente regularmente, para assegurar que apenas os DP
identificados no aviso sejam coletados e que os DP continuem sendo necessários para cumprir
os objetivos comerciais atuais;
f) determinem quais DP convém que sejam anonimizados ou desidentificados com base no contexto,
a forma na qual o DP é armazenado (por exemplo, campos do banco de dados ou trechos de
textos) e os riscos identificados;
g) desidentifiquem os dados que exigem essa desidentificação com base na forma dos dados a serem
desidentificados (por exemplo, bancos de dados e registros textuais) e os riscos identificados;
h) excluam e descartem DP sempre que o objetivo do tratamento de DP expirar, quando não houver
requisitos legais para mantê-los ou sempre que for praticável; e
i) considerem se, e quais, tecnologias de aprimoramento da privacidade (TAP) podem ser usadas.
Convém que as organizações não se recusem a prestar serviço quando os titulares de DP se recusam
a fornecer DP opcionais.
Convém que o CPO e o consultor jurídico contestem os funcionários do programa para justificarem o
tratamento de DP proposto para assegurar que seja o mínimo necessário para o sistema de informação
ou atividade atingir o objetivo legalmente autorizado.
NOTA 1 A anonimização, conforme definido na ABNT NBR ISO/IEC 29100, é um processo pelo qual
os DP são irreversivelmente alterados de tal maneira que não é mais possível que um titular de DP seja
identificado direta ou indiretamente, seja apenas pelo controlador de DP ou em colaboração com qualquer
outra parte. Esse processo envolve necessariamente uma perda (irreversível) de informações. Em alguns
casos, simplesmente excluir parte dos dados pode atingir o objetivo desejado.
NOTA 2 Uma descrição das técnicas de desidentificação de dados que aumentam a privacidade, a serem
usadas para descrever e projetar medidas de desidentificação, de acordo com os princípios de privacidade
da ABNT NBR ISO/IEC 29100, está planejada para formar o assunto de uma futura norma internacional.
Como regra geral, para concluir que um processo de desidentificação está em conformidade com a lei,
a desidentificação é realizada por, por exemplo, exclusão ou generalização de atributos, juntamente com
robustas medidas organizacionais e técnicas.
NOTA 3 Quando DP são tratados para uma finalidade, a extensão de DP tratados é minimizada de modo
a servir apenas à finalidade pretendida, sem revelar informações excessivas sobre o titular, por exemplo,
se a área geográfica de um respondente a um tráfego relacionado a pesquisa for necessária, considere
coletar apenas pontos de referência próximos em vez de um endereço preciso.
NOTA 4 Frequentemente, durante a análise de dados anonimizados, quando a saída for um pequeno conjunto
de dados, a identidade dos titulares de DP pode ser revelada. Portanto, é uma boa prática impedir a saída
quando o número de registros for menor que um número limite – digamos dez registros. O limite precisa ser
cuidadosamente definido, com base em um padrão de distribuição de dados.
Convém que as organizações reduzam seus riscos de privacidade e segurança, reduzindo também
seu inventário de DP, quando apropriado. Convém que as organizações realizem uma análise inicial
e análises subsequentes de suas propriedades de DP para assegurar, na extensão máxima possível,
que essas pilhas de dados sejam precisas, pertinentes, oportunas e completas.
Convém que as organizações também sejam orientadas a reduzir suas participações de DP ao mínimo
necessário para o desempenho adequado de um objetivo comercial documentado da organização.
Convém que as organizações desenvolvam e divulguem um cronograma para análises críticas
periódicas de sua pilha de dados para complementar a análise crítica inicial.
Ao realizar avaliações periódicas, as organizações reduzem o risco, asseguram que estão coletando
apenas os dados especificados no aviso e asseguram que os dados coletados ainda sejam relevantes
e necessários.
Objetivo: Limiar o uso e a divulgação de DP para fins específicos, explícitos e legítimos e manter
DP não mais do que o necessário para cumprir os fins declarados ou para cumprir as leis aplicáveis
Projeto em Consulta Nacional
Controle
Convém que as organizações implementem medidas apropriadas para limitar o tratamento de DP para
objetivos legítimos e pretendidos e retê-los apenas pelo tempo necessário para cumprir os objetivos
declarados ou para cumprir as leis aplicáveis.
b) configurem seus sistemas de informação para registrar a data em que os DP são coletados,
criados ou atualizados e quando convém que os DP sejam excluídos ou arquivados sob um
cronograma aprovado de retenção de registros.
a) bloqueiem (ou seja, arquivem, protejam e isentem de tratamento adicional) qualquer DP quando
os objetivos declarados expirarem, mas a retenção for exigida pelas leis aplicáveis;
e) confirmem que os sistemas externos que têm permissão para se conectar aos sistemas
organizacionais implementem salvaguardas apropriadas antes de poderem se conectar;
h) forneçam aviso para informar o público sobre quaisquer alterações nas propriedades de DP
coletadas durante o processo de monitoramento de segurança.
Pode haver circunstâncias em que um requisito legal para reter DP resulte na retenção de DP além
Projeto em Consulta Nacional
b) quando necessário para reter DP por mais tempo do que o necessário para fins comerciais
especificados, implementem medidas como a desidentificação para proteger os DP;
g) determinem o que convém que seja desidentificado com base no contexto, na forma em que os
DP são armazenados (incluindo campos do banco de dados ou trechos de textos) e os riscos
identificados;
h) desidentifiquem os dados que exigem essa desidentificação com base na forma dos dados a
serem desidentificados (incluindo bancos de dados e registros textuais) e os riscos identificados;
e
i) escolham ferramentas (incluindo exclusão parcial, hash, hash de chave e índice) para a proteção
de DP se não for possível desidentificar esses dados.
Convém que os DP dos funcionários sejam descartados (ou seja, excluídos ou arquivados com
segurança) de acordo com a legislação e os regulamentos aplicáveis, bem como de acordo com as
políticas de descarte organizacional e, quando apropriado, com o consentimento dos funcionários.
Objetivo: Fornecer medidas técnicas para que arquivos temporários sejam excluídos dentro do
período específico.
Controle
Projeto em Consulta Nacional
Convém que arquivos e documentos temporários que possam conter DP sejam descartados dentro
de um período especificado e documentado.
Os sistemas de informação podem criar arquivos temporários que contenham DP no curso normal
de sua operação. Esses arquivos são específicos do sistema e do aplicativo, mas podem incluir um
sistema de arquivos com capacidade de reversão e arquivos temporários associados à atualização dos
bancos de dados e à operação de outro software de aplicativo. Os arquivos temporários geralmente
não são necessários após a conclusão da tarefa de tratamento de informações relacionadas, mas
há circunstâncias em que não é possível que eles sejam excluídos automaticamente. O período
de tempo em que esses arquivos permanecem em uso nem sempre é determinístico, mas convém
que um procedimento de ‘liberação de espaço ocioso (garbage collection)’ indentifique os arquivos
temporários relevantes e determine quanto tempo desde que foram usados pela última vez.
Controle
Convém que as organizações implementem medidas (por exemplo, obrigações contratuais) para
assegurar que:
Controle
Projeto em Consulta Nacional
Convém que as divulgações de DP a terceiros sejam registradas, incluindo quais DP foram divulgados,
a quem, a que horas e com que finalidade.
Os DP podem ser divulgados durante o curso das operações normais. Convém que essas divulgações
sejam registradas. Quaisquer divulgações adicionais a terceiros, como as decorrentes de investigações
legais ou auditorias externas, convém que também sejam registradas. Convém que os registros
incluam a fonte da divulgação e a fonte da autoridade para fazer a divulgação.
Controle
Convém que o uso de subcontratados pelo operador de DP para tratar DP seja divulgado ao controlador
de DP antes de qualquer uso.
Convém que as disposições para o uso de subcontratados para tratar DP sejam especificadas no
contrato entre o operador de DP e o controlador de DP. Convém que o contrato especifique que os
subcontratados só podem ser contratados com a autorização prévia do controlador de DP. Convém que
o operador de DP informe o controlador de DP em tempo hábil sobre quaisquer alterações pretendidas
sobre isso, para que o controlador de DP tenha a capacidade de se opor a essas alterações ou de
rescindir o consentimento.
Convém que as informações divulgadas abranjam o fato de que a subcontratação é usada e os nomes
dos subcontratados são pertinentes, mas não os detalhes específicos de negócios. Convém que as
informações divulgadas também incluam os países nos quais os subcontratados podem tratar dados
e os meios pelos quais os subcontratados são obrigados a cumprir ou exceder as obrigações do
operador de DP.
Controle
Atingir a qualidade dos dados significa que os DP que estão sendo tratados são corretos, de precisão
adequada, completos, atualizados, adequados e pertinentes para o objetivo de uso.
b) coletem DP de uma maneira que quaisquer modificações sejam detectáveis após a saída da fonte
autorizada;
d) assegurem a confiabilidade dos DP coletados de uma fonte que não seja o titular de DP antes
de serem tratados;
e) verifiquem, por meios apropriados, a validade e a correção dos pedidos de correção feitos pelo
titular de DP antes de fazer alterações nos DP, onde for apropriado;
Quando os DP são de natureza suficientemente sensível (por exemplo, quando são usados para
reconfirmação anual da renda de um contribuinte para um benefício recorrente), convém que as
organizações incorporem mecanismos nos sistemas de informação e desenvolvam procedimentos
correspondentes para a frequência e o método de como as informações serão atualizadas.
Para minimizar o escopo da imprecisão dos dados, na medida do possível, convém que os DP sejam
inseridos nos sistemas de informação diretamente pelo titular de DP, sem a necessidade de outra
pessoa para transcrever os dados. No entanto, no caso de a transcrição dos DP ser inevitável, convém
que as organizações considerem permitir que o titular de DP valide os DP transcritos. Isso ajuda
a corrigir erros antes que qualquer dano consequente resulte do tratamento de DP imprecisos.
Os tipos de medidas adotadas para proteger a qualidade dos dados podem ser baseados na natureza e
contexto dos DP, como eles devem ser usados e como foram obtidos. Convém que as medidas tomadas
para validar a precisão de qualquer DP sensível sejam mais abrangentes do que aquelas usadas para
validar DP menos sensíveis. Podem ser necessárias etapas adicionais para validar os DP obtidos de
outras fontes que não os titulares de DP ou os representantes autorizados dos titulares de DP.
Controle
Convém que as organizações implementem medidas apropriadas para fornecer aos titulares de DP
notificações apropriadas dos objetivos do tratamento dos DP.
1) suas atividades que impactam a privacidade, incluindo, mas não se limitando à sua coleta,
uso, compartilhamento, salvaguarda e descarte seguro de DP,
c) revisem suas notificações para refletir mudanças na prática ou política que afetam os DP ou
mudanças em suas atividades que afetam a privacidade, antes ou assim que possível após
a mudança;
d) assegurem que a notificação seja completa e apropriada ao público-alvo com base na natureza
dos DP, nos meios práticos escolhidos para fornecer a notificação e na natureza do relacionamento
entre o controlador de DP e o titular de DP;
e) apresentem as informações de maneira clara que possa ser entendida por uma pessoa que não
esteja familiarizada com as tecnologias da informação, a Internet ou o jargão jurídico;
g) assegurem que não seja possível que as DP sejam coletadas sem aviso prévio;
h) determinem soluções alternativas caso os meios práticos não estejam mais operacionais;
j) quando uma notificação de privacidade for fornecida por meios físicos, publiquem essas
informações em um sinal de que convém que os titulares de DP vejam ou exijam que uma
notificação ou documento seja assinado ou rubricado; e
k) forneçam uma política para o fornecimento de etiquetas e sinais necessários para informar aos
titulares de DP sobre o uso pertinente da tecnologia [isto é, sistemas de televisão em circuito
fechado (CCTV), WiFi e identificação por radiofrequência (RFID)].
Na medida do possível, convém que a notificação seja exibida com destaque no ponto de coleta
(por exemplo, no site da organização ou em um local físico), sem a necessidade do titular de DP
Projeto em Consulta Nacional
solicitá-lo especificamente.
Objetivo: Proporcionar aos titulares de DP informações claras e de fácil acesso sobre políticas,
procedimentos e práticas do controlador de DP relacionados ao manuseio de DP.
Controle
Convém que as organizações implementem medidas apropriadas para fornecer aos titulares de
DP informações apropriadas sobre suas políticas, procedimentos e práticas de tratamento de DP
relacionados ao manuseio de DP.
a) os DP que a organização coleta e o(s) objetivo(s) para o qual coleta essas informações;
g) como os titulares de DP podem obter acesso aos DP com o objetivo de alterá-los ou corrigi-los,
quando apropriado;
i) garantia de que o titular de DP tenha acesso a informações sobre suas atividades de privacidade
e seja capaz de se comunicar com seu CPO;
Convém que as organizações também empreguem mecanismos diferentes para informar o público
Projeto em Consulta Nacional
sobre suas práticas de privacidade, incluindo, entre outros, relatórios da PIA, relatórios de privacidade,
páginas da web publicamente disponíveis, distribuições de e-mail, blogs e publicações periódicas
(por exemplo, boletins trimestrais). Convém que as organizações também empreguem endereços
de e-mail ou linhas telefônicas voltadas ao público que permitam ao público fornecer feedback ou
direcionar perguntas aos escritórios de privacidade sobre práticas de privacidade.
Controle
Convém que medidas apropriadas sejam implementadas pelas organizações para fornecer aos
titulares de DP a capacidade de ter acesso aos seus DP e obter retificação ou exclusão de DP.
a) determinem os meios práticos que serão implementados para permitir que os titulares de DP
exerçam seu direito de acesso (quando permitido pela legislação aplicável). Convém que os
indivíduos sejam capazes de exercer esse direito em tempo hábil, de forma compreensível
e acessível ao titular de DP e similar aos meios usados para coletar os DP originalmente
(por exemplo, por correio normal ou por e-mail);
b) analisem os casos em que os meios práticos escolhidos não estão mais operacionais e identifiquem
soluções de backup, se necessário;
h) estabeleçam um processo para informar aos titulares de DP que enviam solicitações sobre o
status de sua solicitação e o processamento necessário (por exemplo, por correio ou e-mail,
Projeto em Consulta Nacional
observando que a solicitação foi recebida e a data em que eles esperam receber uma resposta) –
no caso de arquivos armazenados, pode haver alguma margem de manobra em relação à
data de resposta se o controlador de DP informar ao titular de DP responsável pela solicitação
do prazo para o processamento da solicitação e tenha fornecido um tempo de resposta razoável;
i) na medida permitida por lei, assegurem que o direito de acesso sempre possa ser exercido;
j) assegurem que os DP sejam acessados apenas pelo indivíduo a quem essas informações se
relacionam ou por um agente autorizado dessa pessoa - isso pode exigir que os indivíduos que
solicitam acesso se identifiquem e se autentiquem de maneira satisfatória – os requisitos para
essa identificação e autenticação podem ser definidos na legislação aplicável ou regulamento;
k) onde a identificação e a autenticação dos solicitantes forem necessárias e, a menos que de outra
forma prescrito por legislação ou regulamento, determinem a forma apropriada de identificação e
autenticação – convém que as organizações solicitem apenas as informações mínimas necessárias
para assegurar a identificação correta – convém que essas informações sejam adequadamente
protegidas e convém que sejam retidas somente pelo tempo que for necessário;
l) assegurem que os DP sejam enviados apenas ao titular de DP pertinente e que sejam enviados
de maneira segura;
m) assegurem que todas as informações solicitadas pelos titulares de DP possam ser fornecidas,
enquanto ainda esses DP são protegidos de outros titulares;
o) exijam que qualquer operador de DP suporte o controlador de DP, facilitando o exercício dos
direitos do titular de DP de acessar, corrigir ou excluir seus dados.
Controle
A menos que proibido pela legislação ou regulamentação pertinente, convém que as organizações
implementem medidas apropriadas para fornecer aos titulares de DP a capacidade de corrigir, alterar
ou excluir os DP mantidos pelas organizações. Convém também que a organização estabeleça um
mecanismo pelo qual quaisquer correções, alterações ou exclusões são notificadas aos operadores
de DP e, na medida do possível, a terceiros a quem os DP tenham sido divulgados.
b) analisem os casos em que os meios práticos escolhidos não estão mais operacionais e identifiquem
Projeto em Consulta Nacional
f) assegurem que os terceiros a quem os DP possam ter sido enviados sejam informados das
correções efetuadas; e
g) forneçam aos titulares de DP acesso apenas aos DP necessários para corrigir, alterar e excluir.
Controle
Convém que as organizações implementem medidas apropriadas para lidar eficientemente com
as reclamações recebidas dos titulares de DP.
Reclamações, preocupações e perguntas dos titulares de DP podem servir como uma fonte valiosa
de informações externas que, em última análise, aprimora modelos operacionais, usos da tecnologia,
práticas de tratamento de dados e salvaguardas de privacidade e segurança.
A.11 Responsabilização
A.11.1 Governança
Controle
Convém que as organizações implementem medidas apropriadas para estabelecer uma governança
eficiente relacionada ao tratamento de DP.
e) forneçam um processo para monitorar leis e políticas de privacidade quanto a alterações que
afetem o programa de proteção de DP;
Controle
Se uma organização estiver tratando DP, convém que ela estabeleça os procedimentos necessários
para realizar uma AIP.
Uma avaliação de risco de privacidade geralmente é conduzida por uma organização que
leva a sério sua responsabilidade e trata adequadamente os titulares de DP. Em algumas
jurisdições, uma AIP pode ser necessária para atender aos requisitos legais e regulamentares.
A ABNT NBR ISO/IEC 29134 pode ser usada como orientação para a AIP.
a) os resultados de uma AIP incluindo, mas não limitado aos, DP sendo tratados;
Objetivo: Assegurar, por meios contratuais ou outros, como políticas internas obrigatórias, que o
destinatários terceiros forneçam pelo menos níveis equivalentes de proteção de DP.
Controle
Convém que as organizações implementem medidas apropriadas para assegurar que contratados e
operadores de DP implementem níveis adequados de proteção de DP.
d) determinem por contrato o objeto e o prazo do serviço a ser fornecido, a extensão, a maneira e a
finalidade do tratamento de DP pelo operador de DP, bem como os tipos de DP tratados;
g) assegurem que o provedor de serviços não comunique os DP a terceiros, mesmo para fins de
preservação, a menos que seja especificamente permitido no contrato;
i) fixem por contrato que convém que o provedor de serviços notifique o controlador de DP de
quaisquer alterações relevantes relacionadas ao serviço, como a implementação de funções
adicionais; e
Controle
d) se estiverem realizando auditorias usando recursos internos, periodicamente peçam a uma parte
externa para realizar uma auditoria para uma avaliação independente.
Controle
Projeto em Consulta Nacional
Convém que as organizações implementem medidas apropriadas para fornecer treinamento adequado
ao pessoal do controlador de DP.
Controle
Por meio de relatórios de proteção de DP externos e internos, convém que as organizações promovam
responsabilização e transparência nas operações de proteção de DP da organização. Os relatórios
também ajudam as organizações a determinar o progresso no cumprimento dos requisitos de
compliance de proteção de DP e dos controles de proteção de DP, comparar o desempenho em toda
a organização, identificar vulnerabilidades e lacunas na política e na implementação, e identificar
modelos de sucesso.
Controle
Projeto em Consulta Nacional
Convém que DP sob cuidado e custódia da organização sejam protegidos por controles apropriados,
de acordo com os resultados de uma avaliação de risco de ameaça ou AIP.
a) protejam os DP com controles apropriados nos níveis operacional, funcional e estratégico para
assegurar a integridade, confidencialidade e disponibilidade dos DP e protegê-los contra riscos
como acesso não autorizado, destruição, uso, modificação, divulgação ou perda durante todo
o seu ciclo de vida;
c) baseiem os controles de segurança nos requisitos legais aplicáveis, nas normas de segurança,
nos resultados de avaliações sistemáticas de riscos à segurança, conforme descrito na
ABNT NBR ISO 31000, e nos resultados de uma análise de custo-benefício;
d) limitem o acesso aos DP às pessoas que necessitam desse acesso para desempenhar suas
funções e limitem o acesso desses indivíduos apenas aos DP aos quais precisam acessar para
desempenhar suas funções;
Às vezes, os requisitos de segurança são prescritos por certas leis de privacidade de dados. Nesse
caso, convém que elas sejam comunicadas à função de segurança de dados para implementação.
Convém que a due diligence seja adotada ao projetar e implementar controles de segurança.
A.13.1 Compliance
Controle
Convém que as organizações implementem medidas apropriadas para assegurar que o tratamento
de DP atenda aos requisitos de compliance.
b) sigam processos bem definidos de resposta a violações que podem, em algumas jurisdições,
incluir o requisito de notificar os titulares de DP e outras autoridades (por exemplo, autoridades
de proteção de dados).
Controle
Convém que a organização implemente medidas apropriadas para assegurar que qualquer
transferência transfronteiriça de DP atenda aos requisitos de compliance pertinentes.
Quando DP precisam ser transferidos para um país que não seja o território em que os DP atualmente
residem, os regulamentos de privacidade de dados de certas jurisdições podem impor restrições,
que normalmente podem ser um ou mais dos seguintes:
c) realizar a due diligence para assegurar que DP transferidos através de uma fronteira recebam
proteção equivalente à exigida no país de origem; e
Bibliografia
[2] European Commission, Evaluation report on the data retention directive (Directive 2006/24/EC),
2011
[4] ABNT NBR ISO/IEC 27001, Tecnologia da informação – Técnicas de segurança – Sistemas de
gestão da segurança da informação – Requisitos
[5] ABNT NBR ISO/IEC 27005, Tecnologia da informação – Técnicas de segurança – Gestão de
riscos de segurança da informação
[7] ABNT NBR ISO/IEC 27018, Tecnologia da informação – Técnicas de segurança – Código de
prática para proteção de informações de identificação pessoal (PII) em nuvens públicas que
atuam como processadores de PII
[8] Projeto ABNT NBR ISO/IEC 29134, Tecnologia da informação – Técnicas de segurança –
Diretrizes para avaliação do impacto da privacidade
[10] ISO Online browsing platform. Available (viewed 2017-07-06) at: http://www.iso.org/obp
[13] NIST Special Publication 800-53 Appendix J, Security and privacy controls for federal information
systems and organizations, July, 2011
[14] NIST Special Publication 800-122, Guide to protecting the confidentiality of personally identifiable
information (PII), April 2010