SlideShare uma empresa Scribd logo
1 de 87
Baixar para ler offline
Módulo 1 - Introdução
PDPP
▪ PDPF - Privacy & Data Protection Foundation
▪ ISFS - ISO 27001 Foundation
Boas-Vindas
PDPP - EXIN Privacy & Data Protection
Practitioner
Para se tornar um Data Protection Officers (DPO), precisa
ser aprovado em:
Este curso faz parte do programa de qualificação EXIN
Privacy & Data Protection
FOUNDATION
ESSENTIALS
PRATICTIONER
PDPP - Módulo 1: Introdução
• Certificação baseada na LGPD – Lei totalmente Brasileira.
• “Essentials” é mais genérico e é voltado exclusivamente para
conscientização de todo mundo na empresa.
GDPR e LGPD
PDPE - EXIN Privacy & Data Protection Essentials
• Foco exclusivamente no GDPR – Lei Europeia
• Neste mundo globalizado, vai ser raro não fazer negócios
com empresas da União Europeia.
PDPF - EXIN Privacy & Data Protection Foundation
e PDPP - EXIN Privacy & Data Protection Practitioner
PDPP - Módulo 1: Introdução
• Explosão cada vez maior de informações na internet, apps e
redes sociais gerenciar e proteger a privacidade das pessoas e
seus dados
• Novas leis na UE, assim como nos EUA e em muitas outras
regiões
• Implementação de políticas e procedimentos para o
cumprimento da legislação
• Estabelecimento de um Sistema de Gestão de Proteção de
Dados (SGPD)
• Norma ISO/IEC 27701:2019 Técnicas de Segurança – Extensão
da ISO/IEC 27001 e 27002 para Gestão de Informações de
Privacidade – Requisitos e Diretrizes
Visão Geral do Curso PDPP
PDPP - Módulo 1: Introdução
Objetivos e Público-alvo da Certificação PDPP
Público-Alvo
A certificação EXIN Privacy & Data Protection Practitioner (PDPP) visa
• Valida o conhecimento e a compreensão de um profissional em relação à legislação de privacidade e
proteção de dados europeia e sua relevância internacional.
• Aplicar esse conhecimento e compreensão à sua prática profissional diária.
PDPP - Módulo 1: Introdução
• Data Protection Officers (DPOs)
• Escritório de Privacidade (Privacy Office)
• Legal / Compliance officers
• Security officers
• Gerentes de Continuidade de Negócios
• Controladores de Dados
• Auditores de Proteção de Dados (internos e externos)
• Analistas de Privacidade
• Gerentes de RH
Atividades Práticas
A realização das atividades práticas faz parte dos requisitos da
certificação para EXIN Privacy & Data Protection Practitioner
(PDPP).:
✔Ao final do treinamento serão propostas três atividades
práticas, a serem desenvolvidas e avaliadas por instrutor
credenciado.
✔Caso tenham sido cumpridos um mínimo de 9 dos 14 (65%)
critérios, o candidato terá concluído com sucesso os trabalhos
práticos.
✔As atividades práticas e instruções aparecem ao final deste
curso.
PDPP - Módulo 1: Introdução
test
Sobre o Exame PDPP
Tipo de exame:
Número de questões:
Pontos para aprovação:
Duração do exame:
Anotações :
Equipamentos eletrônicos:
Consulta:
40 - Questões de múltipla escolha
65% (26 questões)
90 minutos
Não
Não
Exige compreensão dos conceitos, aplicação do conhecimento e análise de situações.
O texto do GDPR pode ser consultado durante todo o exame;
Será fornecido como um apêndice no exame digital.
PDPP - Módulo 1: Introdução
Módulo 2: Políticas de proteção de dados
PDPP
Relembrando as Principais Definições
PPDP – Módulo 02: Políticas de proteção de dados
• Dados Pessoais: qualquer informação relativa a uma pessoa física
identificada ou identificável
• Processamento: qualquer operação ou conjunto de operações
efetuadas em dados pessoais, ou em conjuntos de dados pessoais, por
meios automatizados ou não
• Controlador: pessoa física ou jurídica, autoridade pública, agência ou
outro organismo que, individualmente ou em conjunto com outros,
determina os fins e os meios de processamento de dados pessoais
• Processador: pessoa física ou jurídica, autoridade pública, agência ou
outro organismo que processa dados pessoais em nome do controlador
• Autoridade Supervisora: representa uma organização governamental
que será responsável por reforçar a aplicação do GPDR
O propósito geral do GDPR é, através de uma lei unificada, proteger
os direitos, a privacidade e as liberdades das pessoas físicas na UE
O Regulamento indica várias práticas e documentos que
qualquer organização deve ser capaz de oferecer.
O controlador deve adotar políticas internas e aplicar medidas
que respeitem os princípios da proteção de dados. Esses
princípios são aqueles referentes à proteção desde a concepção
(by design) e por padrão (by default)
Por políticas internas devemos entender que a organização
declara de forma transparente e consistente de que forma ela
atende aos requisitos do regulamento.
Políticas e GDPR
PPDP – Módulo 02: Políticas de proteção de dados
Políticas e Conformidade
• Uma política formal e auditável de privacidade e proteção de dados
pessoais é de total interesse de potenciais parceiros e clientes.
• Tornar pública indica transparência, permite que os parceiros e clientes
avaliem a política e oferece para as autoridades supervisoras e outros
reguladores uma posição clara que pode ser avaliada por eles.
PPDP – Módulo 02: Políticas de proteção de dados
• O Controlador deve desenvolver uma política explícita, documentada, de proteção de dados pessoais
totalmente aderente à conformidade da organização ao GDPR.
• Os DPOs devem monitorar de perto a aderência às políticas como parte da garantia de conformidade da
organização às leis e regulamentações apropriadas.
Elementos da Política
• Identidade e detalhes de contato do DPO e do Controlador, e se o
Controlador pretende transferir dados para outro país ou outra empresa
internacional, entre outros.
• Informações adicionais sobre como o processamento é transparente e
justo, como prazo de retenção e os direitos dos titulares dos dados.
• Texto mais específico ou genérico como “o período de armazenamento
dos dados pessoais será determinado pelo contrato celebrado com o
titular dos dados”.
Uma política deve incluir certas informações logo na coleta dos dados (Artigo 13 do GDPR):
PPDP – Módulo 02: Políticas de proteção de dados
Disponibilização da Política
A sua política deve estar acessível, no mesmo lugar onde os
dados pessoais são coletados:
LOJA FÍSICA QUALQUER OUTRO
MECANISMO
WEBSITE
PPDP – Módulo 02: Políticas de proteção de dados
1. Propósito
2. Compromisso
3. Oportunidade de recusa
4. Coleta de informações pessoais
5. Uso da informação
6. Verificação de referências de crédito
7. Divulgação da informação
8. Proteção da informação
9. Acesso à Internet
Exemplo de Tópicos de Política
de Proteção de Dados
10. Monitoração das comunicações
11. Solicitação de acesso do titular dos dados
12. Violações de proteção de dados
13. Contato
PPDP – Módulo 02: Políticas de proteção de dados
Política de Segurança da Informação
A política de segurança da informação pode
ser um único documento, ou aparecer na
forma de um conjunto de políticas de
segurança (Normas ISO 27000)
• Controle de acesso
• Classificação da informação
• Backup
• Transferência de informação
• Antivírus e anti-malware
• Gerenciamento de vulnerabilidade
• Criptografia
• Comunicações
• Relações com fornecedores
PPDP – Módulo 02: Políticas de proteção de dados
• Esclarecer por que a política é necessária
• Descrever o escopo, ou o que é coberto pela política
• Definir contatos e responsabilidades
• Incluir pelo menos um objetivo
• Explicar como as violações serão tratadas
Conteúdo de Políticas de
Segurança da Informação
Uma boa política reflete os objetivos da organização e,
ao mesmo tempo, direciona as ações.
Além disso, elas deveriam também:
PPDP – Módulo 02: Políticas de proteção de dados
Políticas Efetivas
• Para que uma política realmente funcione, é
necessário que ela seja suportada por
processos e procedimentos aderentes aos
parâmetros definidos dentro da própria
política.
• Os processos e procedimentos devem ser
criados com a visão de produzir evidência de
que foram implementados de forma correta.
• Suítes de ferramentas de suporte à
documentação, com seus vários modelos e
templates, podem ser muito práticas e efetivas
em custo como ponto de partida para o
desenvolvimento da documentação de
conformidade ao GDPR da forma mais
apropriada.
PPDP – Módulo 02: Políticas de proteção de dados
Abordagem que garante que você vai considerar as
questões de privacidade e proteção de dados durante a
fase de desenho ou de projeto de qualquer sistema,
serviço, produto ou processo, e ao longo de todo o ciclo de
vida.
Proteção de Dados Desde a
Concepção (by design)
Proteção de dados desde a concepção (by design)
O GDPR estabelece que o Controlador deve adotar
políticas e implementar medidas que atendam, em
especial, aos princípios de proteção de dados desde a
concepção (by design) e por padrão (by default).
PPDP – Módulo 02: Políticas de proteção de dados
Quer dizer que você integrou ou “embutiu” a proteção de dados
nas suas atividades de processamento e práticas de trabalho:
Aplicação da Proteção de Dados
Desde a Concepção (by design)
• Desenvolver novos sistemas de TI, serviços, produtos e processos
que envolvem dados pessoais
• Desenvolver políticas e processos organizacionais, e práticas de
negócio ou estratégias que possuem implicações de privacidade
• Executar projetos físicos
• Se envolver em iniciativas de compartilhamento de dados
• Utilizar dados pessoais para novos propósitos.
PPDP – Módulo 02: Políticas de proteção de dados
• Exige de você a garantia de apenas
processar os dados necessários para
atingir um propósito específico.
• Especificar que dados são esses antes do
início do processamento.
O princípio de proteção de dados desde a
concepção foi expandido no GDPR para incluir
a proteção de dados por padrão (by default)
Proteção de Dados por Padrão (by default)
PPDP – Módulo 02: Políticas de proteção de dados
Aplicação da Proteção de Dados
por Padrão (by default)
Depende das circunstâncias de seu
processamento e dos riscos aos indivíduos.
De uma forma geral, no entanto, você deve
considerar coisas como:
• Abordagem de privacidade em primeiro lugar com
quaisquer configurações de sistemas e aplicativos;
• Não forneça uma escolha ilusória ou enganosa aos
indivíduos em relação aos dados que você vai processar;
• Não processar dados adicionais, a menos que a pessoa
decida que você pode;
• Dados pessoais não sejam automaticamente
disponibilizados publicamente a terceiros;
• Fornecer às pessoas controles e opções suficientes para
exercer seus direitos.
PPDP – Módulo 02: Políticas de proteção de dados
Responsáveis Pela Proteção Desde a
Concepção e Por Padrão
• Altos executivos, por exemplo, atuando no desenvolvimento de
uma cultura de “consciência de privacidade”
• Engenheiros de software, arquitetos de sistema e
desenvolvedores de aplicativos, e todos aqueles que projetam
sistemas, produtos e serviços, devem levar em conta os
requisitos de proteção de dados;
• Nas suas Práticas comerciais e de negócio, você deve garantir
que elas incorporem a proteção de dados desde a concepção
em todos os seus processos e procedimentos internos;
O Artigo 25 do GDPR especifica que, como controlador, você
tem a responsabilidade pela conformidade com a proteção
de dados desde a concepção e por padrão.
É isso que o Regulamento ordena: que as medidas para garantir
que os direitos e liberdades dos titulares dos dados sejam
preservados, funcionem.
PPDP – Módulo 02: Políticas de proteção de dados
O Artigo 28 menciona os cuidados que você deve ter sempre que
estiver selecionando um processador. Por exemplo, você só deve
usar processadores que oferecem garantias suficientes para
implementar medidas técnicas e organizacionais adequadas, para
que o processo cumpra os requisitos do regulamento e assegure
a proteção dos direitos do titular dos dados.
Processadores e a Proteção de Dados
Desde a Concepção (by design) e por Padrão (by default)
PPDP – Módulo 02: Políticas de proteção de dados
Seu Processador não pode, necessariamente, ajudar você nas
obrigações de proteção de dados desde a concepção (by design)
ao contrário das medidas de segurança.
Organizações Terceiras e a
Proteção de Dados
Desde a Concepção (by design) e por Padrão (by default)
O Preâmbulo 78 estende os conceitos de proteção de dados
desde a concepção a outras organizações. Mas atenção! Não há
imposição para que essas outras empresas cumpram os
princípios.
PPDP – Módulo 02: Políticas de proteção de dados
Empresas terceiras que desenvolvem produtos, serviços e
aplicativos devem ser incentivadas a levar em consideração o
direito de proteção de dados nos seus desenvolvimentos e
projetos e na aplicação das técnicas.
Deve-se considerar os princípios e técnicas aplicáveis da
proteção de dados desde a concepção e por padrão, conforme
aparece no Artigo 47 (2d).
O Que Deve Ser Feito na Prática
• Minimizar o processamento dos dados pessoais
• “Pseudonimização” de dados pessoais assim que possível
• Garantir a transparência com relação aos papéis e processamento
de dados pessoais
• Permitir que os indivíduos monitorem o processamento
• Criação e aperfeiçoamento de recursos da segurança
Considere as questões de proteção de dados desde o início de
qualquer atividade de processamento, e adote as políticas e ações
apropriadas que atendam aos requisitos da proteção de dados
desde a concepção e por padrão.
PPDP – Módulo 02: Políticas de proteção de dados
• Envolver o que existir de melhor, o
estado da arte em termos de medidas
• Custos envolvidos
• Natureza, escopo, contexto e propósitos
do seu processamento
• Riscos que o seu processamento impõe
aos direitos e liberdades das pessoas
Você deve começar com as ações de
proteção de dados na fase inicial de qualquer
sistema, serviço, produto ou processo.
Considerações:
Quando As Ações Devem Ser Tomadas
“No momento da determinação dos meios de processamento”.
“No momento do processamento em si”, ou seja, durante todo o ciclo de vida.
PPDP – Módulo 02: Políticas de proteção de dados
Framework de Proteção de
Dados by Design
PPDP – Módulo 02: Políticas de proteção de dados
• Foram desenvolvidos por Ann Cavoukian, Ph.D, como Information and
Privacy Commissioner de Ontario, na década de 1990, e atualizados
desde então.
• O futuro da privacidade não pode ser garantido apenas pela
conformidade com marcos regulatórios; em vez disso, a garantia de
privacidade deve, idealmente, se tornar o padrão
• Se estende aos elementos de sistemas de TI (inclusive no uso de
algoritmos, big data e inteligência artificial), práticas responsáveis de
negócio, projeto físico e infraestrutura de rede
• Podem ser aplicados a todos os tipos de informações pessoais, mas
com maior força para dados confidenciais
• A força das medidas de privacidade tendem a ser proporcionais à
sensibilidade dos dados.
Os 7 Princípios Fundamentais
da Proteção de Dados
PPDP – Módulo 02: Políticas de proteção de dados
• Comprometimento por parte dos níveis mais altos da empresa
• Compartilhar o comprometimento com a privacidade abertamente
entre as comunidades de usuários e acionistas
• Estabelecimento de métodos para reconhecer desenhos não tão bons
com relação à privacidade, antecipar práticas não adequadas de
privacidade e suas consequências
1: Proativo, não reativo;
preventivo, não corretivo
Os objetivos da privacidade desde a concepção ou by design são
garantir a privacidade e controle sobre as informações pessoais; e
para as organizações, garantir uma vantagem competitiva sustentável
• Liderança e mudança cultural
• Introdução de arquitetura corporativa
Desafio e Implementação
PPDP – Módulo 02: Políticas de proteção de dados
2: Privacidade como Configuração Padrão
Nenhuma ação é necessária por parte da pessoa para proteger sua
privacidade – a proteção está integrada ao sistema, por padrão.
• Especificação do propósito
• Limitação da coleta
• Minimização dos dados
• Limitação no uso, retenção e divulgação de informações pessoais
PPDP – Módulo 02: Políticas de proteção de dados
Desafio e Implementação
Publicação de políticas especializadas como "privilégio de
acesso mínimo", "necessidade de saber”, “menor confiança”.
• Holística, pois contextos adicionais e mais amplos devem sempre ser
considerados
• Integrada, porque todas as partes interessadas precisam ser consultadas
• Criativa, pois incorporar privacidade pode significar reiventar as suas
escolhas
3: Privacidade Incorporada ao Desenho
Proteção de Dados desde a concepção está incorporada ao projeto, à
arquitetura de sistemas de TI e práticas de negócio. Mas não pendurada
como um complemento, depois que alguma coisa acontece.
Desafio e Implementação
PPDP – Módulo 02: Políticas de proteção de dados
(Trusted Platform Module): um chip microcontrolador que pode armazenar com segurança artefatos
usados para autenticar uma plataforma.
TPM
CLASP (Comprehensive, Lightweight Application Security Process), uma metodologia de desenvolvimento
seguro de software orientada a atividades e papéis.
SAMM (Software Assurance Maturity Model), um framework aberto que auxilia as organizações a formular
e implementar uma estratégia de segurança de software sob medida para os riscos específicos.
• Evitar a pretensão de falsos conflitos como privacidade versus segurança,
demonstrando que é possível usufruir dos benefícios de ambas.
• Deve ser feito de uma forma que não comprometa a plena funcionalidade e que
permita que todas as exigências sejam otimizadas tanto quanto possível.
4: Funcionalidade Total - Soma
Positiva, Não Soma Zero
A Proteção de Dados “by design” busca acomodar todos os interesses e
objetivos legítimos de uma maneira positiva para todos.
• Facilidade de acesso versus acesso seguro
• Conveniência do usuário versus segurança
• Simples para implementar versus simples para usar.
Desafio e Implementação
Os conflitos a serem resolvidos:
PPDP – Módulo 02: Políticas de proteção de dados
• A Proteção de Dados “by design” tendo sido incorporada ao sistema
antes que o primeiro elemento da informação seja coletado, se estende
com segurança durante todo o ciclo de vida dos dados envolvidos;
• Garante que todos os dados sejam retidos com segurança e, depois,
destruídos com segurança no final do processo, em tempo hábil.
• Garantir a confidencialidade, integridade e a disponibilidade dos dados
pessoais ao longo de todo o ciclo de vida, incluindo métodos seguros e
fortes de destruição, criptografia e controle de acesso.
5: Segurança de Ponta a Ponta e Proteção
Durante Todo o Ciclo de Vida dos Dados
• DBSec – conferência anual internacional que cobre pesquisas abrangentes em segurança e privacidade de dados
e de aplicações.
• IAM (Gerenciamento de Gestão e Acesso) - framework desenvolvido para processo de negócios que garante
maior controle para o registro e segurança de identidades digitais ou eletrônicas.
Desafio e Implementação
PPDP – Módulo 02: Políticas de proteção de dados
• Componentes e operações permanecem visíveis e transparentes
• Políticas e procedimentos relacionados à privacidade devem ser documentados e
comunicados conforme for apropriado, e então, designados a um indivíduo específico
• Ao transferir informações pessoais para terceiros, devem ser asseguradas medidas
equivalentes de proteção à privacidade
• Monitorar, avaliar e verificar a conformidade com as políticas e procedimentos de
privacidade
6: Visibilidade e Transparência
Assegurar a todas as partes interessadas que, seja qual for a prática ou
tecnologia de negócio envolvida, ela está, de fato, operando de acordo com as
promessas e objetivos declarados, sujeito a verificação independente.
• Utilização de padrões abertos
• Avaliação e validação externas como auditorias ISO/IEC 27001
• Publicação de políticas de segurança
Desafio e Implementação
PPDP – Módulo 02: Políticas de proteção de dados
7: Respeito à Privacidade do Usuário
• Consentimento específico, dado livre e espontâneo para a coleta, uso e
divulgação de seus dados pessoais, exceto em casos permitidos pela lei.
• Quanto maior for a sensibilidade do dado, mais claro e específico deve ser o
consentimento exigido
• Acurácia ou precisão das informações pessoais
• Os indivíduos precisam ter acesso a seus dados pessoais, e serem informados
de seus usos e divulgações
• Pedir e conseguir as correções
• Mecanismo para reclamações e remediações sobre privacidade
Exige que as empresas prezem ao máximo pelos interesses do indivíduo.
Isso é feito por meio de medidas.
Equilíbrio entre proteção dos dados da empresa e os direitos do titular de dados
Desafio e Implementação
PPDP – Módulo 02: Políticas de proteção de dados
Framework de Governança Corporativa
Visão e Missão
Desenvolvimento dos
Produtos/Serviços
Desenvolvidos seguindo o que
é preconizado pelos Sete
Princípios da Proteção de
Dados By Design
Gestão da Privacidade
Fonte: J.Kyriazolou
PPDP – Módulo 02: Políticas de proteção de dados
PDPP
Módulo 3: Gerenciando e organizando a proteção de dados
PDPP
Data Protection Management System (DPMS)
Objetivo: gerenciar os dados corporativos da melhor forma e
mitigar os riscos mais usuais à proteção de dados e privacidade
durante a coleta e processamento.
• Riscos são causados por invasores mal-intencionados, sejam
entidades ou pessoas internas, ou externas.
• Os dados corporativos também estão em risco devido a empregados
descuidados e negligentes.
• Riscos de multas muito elevadas se não cumprirem os vários
regulamentos de proteção de dados e privacidade em todo o mundo.
Fundamental para a empresa projetar, desenvolver e implementar
seus próprios sistemas integrados de gestão de proteção de
dados e privacidade
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Introdução ao Sistema de Gestão
de Proteção de Dados (SGPD)
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Sistema de Gestão de
Proteção de Dados (SGPD)
Preparação
Sistema de Gestão
de Proteção de
Dados
Fase 2:
Fase 3:
Fase 4:
Fase 5:
Fase 1:
Avaliação e Melhoria
Governança
Organização
Desenvolvimento e
Implementação
Preparar a sua empresa ou
organização para a privacidade.
• Analisar os requisitos e as necessidades de
proteção de dados e privacidade que impactam
sua empresa
• Buscar e reunir as leis, padrões e regulamentos
relacionados à proteção de dados e privacidade
• Estabelecer um plano de ação com os recursos
necessários para que você prepare sua
empresa para gerenciar dados pessoais,
atividades, transações e operações
Objetivos:
Propósito:
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 1: Preparação da Proteção
de Dados e Privacidade
Sistema de Gestão
de Proteção de
Dados
Fase 1:
• Quem envia informações pessoais sensíveis para sua empresa
• Como sua empresa ou organização recebe dados pessoais
• Que tipo de dados pessoais você coleta em cada ponto de entrada
• Onde você mantém os dados coletados em cada ponto de entrada
• Quem tem, ou poderia ter acesso aos dados pessoais coletados
Resultados da análise em um relatório, que você pode chamar
de Relatório de Análise da Proteção de Dados e Privacidade.
Lista do que deve ser analisado:
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 1: Preparação da Proteção
de Dados e Privacidade
Conduzir uma Análise de Privacidade
Análise do cenário da sua empresa com relação à proteção de dados e
privacidade, os estatutos, leis e regulamentos que afetam todas as funções do
negócio envolvidas, e os países ou estados membros.
ETAPA
• Princípio 1: Processamento legal
• Princípio 2: Especificação do objetivo
• Princípio 3: Relevância dos dados
• Princípio 4: Precisão dos dados
• Princípio 5: Retenção limitada de dados
• Princípio 6: Processamento justo
• Princípio 7: Responsabilização
• Princípio 8: Transferência de dados pessoais para o exterior
Precisa revisar, estudar e compreender o GDPR dando maior atenção aos seguintes princípios:
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 1: Preparação da Proteção
de Dados e Privacidade
Coletar as Leis de Privacidade
Recolher todas as regras, regulamentos e normas de proteção de
dados e privacidade que afetam a sua empresa ou organização,
em termos locais, nacionais e internacionais.
ETAPA
Registros de acordo com os procedimentos corporativos (Manual das Leis da Privacidade)
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 1: Preparação da Proteção
de Dados e Privacidade
Analisar o impacto da privacidade
Revisão, estudo e compreensão do impacto de todas as regras,
regulamentos e normas de proteção de dados e privacidade,
coletadas na etapa anterior.
ETAPA
• Elaborar e publicar o seu Relatório de Auditoria
de dados pessoais.
• Identificar quaisquer riscos de proteção de
dados e privacidade para indivíduos, riscos de
conformidade e quaisquer outros.
• Consultar os padrões da indústria e orientação
produzida por órgãos de comércio, reguladores
ou outras organizações que atuam no seu setor.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 1: Preparação da Proteção
de Dados e Privacidade
Realizar Auditorias e Avaliações de Dados Iniciais
Execução de uma auditoria inicial de dados pessoais e uma
avaliação de proteção de dados na sua empresa.
ETAPA
Designar os papéis de governança de dados e desenvolver as responsabilidades
• DPO, para atribuir e manter a responsabilidade
sobre a proteção de dados e privacidade
• Gerente de segurança da informação
• Gerentes e pessoal de TI, diretores de qualidade
de dados, pessoal administrativo, Administrador
de Dados, etc.
Os papéis envolvidos na governança são:
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 1: Preparação da Proteção
de Dados e Privacidade
Estabelecer Organização de Governança de Dados
Comitê de supervisão de governança de dados. O papel deste comitê
é revisar os impactos e riscos potenciais e garantir medidas e controles
apropriados para mitigar os problemas e riscos identificados.
ETAPA
• Conhecer os fluxos de dados dentro da organização vai te ajudar a implementar e monitorar a proteção de
dados e a privacidade de uma forma muito mais efetiva. Com esse objetivo em mente, a organização vai
desenvolver e implementar um sistema para documentar e manter gráficos e quadros sobre os fluxos de dados.
A empresa precisa estabelecer um processo para garantir
que o inventário de dados seja atualizado regularmente.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 1: Preparação da Proteção
de Dados e Privacidade
Estabelecer fluxos de dados e
inventário de dados pessoais
ETAPA
Sistema de Fluxos de Dados:
Inventário de Dados Pessoais:
• O Escritório de Privacidade cria e mantém um inventário de dados pessoais que estão nos vários
departamentos e sistemas de TI da empresa. E quais são as atividades para tratar esse inventário?
• Localizar todos os tipos de dados (estruturados e não estruturados) e em qualquer meio.
• Identificar quais empregados em todos os níveis da organização, tem a posse desses dados.
• Análise dos aspectos de comunicação e treinamento necessários para o pessoal da empresa com relação à
proteção de dados e privacidade;
• A estratégia de proteção de dados e privacidade deve se basear na Avaliação do Risco à Proteção de Dados
e deverá refletir a natureza da organização e sua missão, desenvolver visão para o programa de proteção de
dados e privacidade;
• Definir o escopo do programa, estabelecer o papel de DPO;
• Detalhar as estratégias para atingir o que for prioritário para a empresa em termos de proteção e privacidade.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 1: Preparação da Proteção
de Dados e Privacidade
Estabelecer Programa de Proteção de Dados e Privacidade
Implementam proteção de dados e privacidade por meio de um
plano de treinamento, um programa e uma estratégia de proteção
de dados e privacidade.
ETAPA
• A missão deve enfatizar o valor que a organização dá para a proteção de dados e a
privacidade, além de identificar os principais objetivos do programa e detalhar as estratégias e
controles de governança necessários.
• Relatório deve ser aprovado o relatório para que os recursos
e o pessoal sejam utilizados para desenho, desenvolvimento
e operação do programa.
• Sua empresa estará pronta para ir em frente e implementar
planos de proteção de dados e privacidade para os dados
pessoais que a sua empresa coleta, utiliza, processa e
mantém.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 1: Preparação da Proteção
de Dados e Privacidade
Elaborar Planos de Implementação de Ações
de Proteção de Dados e Privacidade
Elaborar e submeter aos executivos um relatório contendo a análise e os resultados
das ações das etapas anteriores de Preparação, um orçamento para financiar
recursos, sistemas, ferramentas e outros, e um conjunto de planos de ação específicos
para execução completa do processo de proteção de dados e privacidade.
ETAPA
✓ Relatório da Análises de Proteção de Dados e Privacidade (Etapa 1)
✓ Manual de Leis de Privacidade (Etapas 2 e 3)
✓ Relatório de Auditoria de Dados Pessoais (Etapa 4)
✓ Sistema de Fluxo de Dados por Processo (Etapa 6)
✓ Inventário de Dados Pessoais (Etapa 6)
✓ Política de Proteção de Dados (Etapa 6)
✓ Plano de Treinamento em Privacidade (Etapa 7)
✓ Programa de Proteção de Dados & Privacidade (Etapa 7)
✓ Orçamento da estruturação da Gestão de Proteção de Dados (Etapas 1 a 8)
✓ Planos de Implementação de Ações de Proteção de Dados e Privacidade – Etapas 1 a 8)
Produtos:
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 1: Preparação da Proteção
de Dados e Privacidade
Estabelecer as estruturas e mecanismos
organizacionais responsáveis por atender às
necessidades de privacidade de dados
pessoais da empresa.
Objetivos:
Propósito
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 2: Organização da Proteção
de Dados e Privacidade
Sistema de Gestão
de Proteção de
Dados
Fase 2:
• Desenhar e estabelecer o programa de proteção
de dados e privacidade;
• Designar um DPO
• Engajar e comprometer todas as partes
envolvidas com a proteção de dados e
privacidade
• A política de privacidade deve estar baseada em requisitos legais, regulamentares, de negócio e dos
titulares de dados. Ela contém orientações abrangentes para a empresa alcançar a conformidade com
as leis, regulamentos e contratos relevantes.
• Criar e implementar procedimentos de atualização da política e do programa para lidar com as
mudanças nas leis ou regulamentos de privacidade, ou mudanças nos próprios processos de negócio.
• Também se apoia na declaração de missão que enfatiza a importância que a empresa dá para a
proteção de dados e privacidade.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 2: Organização da Proteção
de Dados e Privacidade
Manter o Programa de Privacidade de Dados,
Política e Controles de Governança
Definir e implementar o “como manter” o programa, as políticas e os
controles de Governança de Privacidade de Dados.
ETAPA
• Empresas e organizações precisam atribuir as
responsabilidades pelos aspectos operacionais de
um dado programa de proteção e privacidade para
um indivíduo.
• As tarefas, papéis e responsabilidades do DPO
finalmente nomeado precisam ser desenhadas.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 2: Organização da Proteção
de Dados e Privacidade
Designar e Manter as Responsabilidades de
Proteção de Dados e Privacidade
Definindo e mantendo a matriz de responsabilidades pela Proteção de Dados e
Privacidade, utilizando o conhecido recurso da matriz RACI.
ETAPA
• Você deve se certificar que esse DPO
precisa conseguir desempenhar suas
funções de forma eficaz.
• Patrocínio de todas as questões relacionadas à proteção de dados e privacidade
• Comunicação da importância da proteção de dados e privacidade
• Participação das iniciativas de proteção de dados e privacidade
• Garantia de financiamento adequado para apoiar a função de proteção de dados e privacidade
O suporte desejado da alta administração e nível sênior de gestão pode incluir:
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 2: Organização da Proteção
de Dados e Privacidade
Manter o Envolvimento da Alta Administração
na Proteção de Dados e Privacidade
Definir e implementar, ou seja, o “como manter” o envolvimento
dos níveis táticos e estratégicos da organização, executivos e
Gerência Sênior, na Proteção de Dados e Privacidade.
ETAPA
• Gerenciar, continuamente, a proteção de dados e privacidade requer a contribuição e participação de
muitos membros da organização, de diferentes departamentos ou grupos funcionais de negócio.
• Os indivíduos responsáveis precisam ter seus papéis e responsabilidades claramente definidos, que
podem aparecer na descrição de cargo ou outros documentos como o contrato de trabalho.
• Cada membro da equipe, seja gerente ou empregado, deve reconhecer e concordar em aderir às políticas
de proteção de dados e privacidade. Este reconhecimento, compromisso e acordo compõem um
documento separado, de papel ou eletrônico, ou pode fazer parte de um documento já existente.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 2: Organização da Proteção
de Dados e Privacidade
Manter Comprometimento com a
Proteção de Dados e Privacidade
Estabelecer e manter a continuidade do compromisso de todos os níveis
hierárquicos da organização com a Proteção de Dados e Privacidade.
ETAPA
• Saber mais sobre a utilização de dados pessoais no contexto da empresa
• Auxiliar de forma proativa na construção da proteção de dados e privacidade em todos os sistemas,
serviços, produtos e projetos em andamento
• Compreender as diferentes perspectivas da proteção de dados e privacidade em toda a empresa
• Capacitar, facilitar e apoiar as pessoas a cumprir seus objetivos e metas na implementação da
proteção de dados e privacidade
• Integrar a mentalidade de proteção de dados e privacidade em toda a empresa
Comunicação está relacionada com:
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 2: Organização da Proteção
de Dados e Privacidade
Manter Comunicação Regular para Questões
de Proteção de Dados e Privacidade
Estabelecer e manter um plano de comunicação corporativa regular, constante,
para direcionamentos, questões e problemas de Proteção de Dados e
Privacidade.
ETAPA
• Conduzir comunicações informais ou ad hoc com
indivíduos cujas responsabilidades podem não incluir
proteção de dados e privacidade
• Participar de vários comitês corporativos para funções de
negócios ou unidades cujas atividades podem ter impacto
na proteção de dados e privacidade
• Conduzir discussões formais, por exemplo em reuniões
mensais, entre parceiros fora da organização
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 2: Organização da Proteção
de Dados e Privacidade
Manter o Envolvimento das Partes Interessadas nas
Questões de Proteção de Dados e Privacidade
Estabelecer e manter processos e procedimentos que garantam
o envolvimento das partes interessadas, os stakeholders, nas
questões de Proteção de Dados e Privacidade.
ETAPA
• Verificação de arquivos originais e de backup por meio de
algoritmos de hash
• Criptografia de dados em trânsito e estáticos
• Gerenciamento da conformidade de dados centralizada
• Relatórios de sucessos e falhas de backup
• Gerenciamento de todos os aspectos do processo de Regras
Corporativas Vinculantes (BCR)
• Medição e relato sobre conformidade com as leis nacionais
A proteção de dados corporativos é
uma das prioridades mais críticas
que as organizações enfrentam hoje.
Com tantas ameaças potenciais e
pontos de entrada, as soluções de
proteção de dados devem considerar
uma abordagem abrangente.
Um sistema computadorizado garante a integridade
dos dados por vários métodos:
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 2: Organização da Proteção
de Dados e Privacidade
Implementar e Operar o Sistema Informatizado
de Proteção de Dados e Privacidade
Implementar e operar sistemas para permitir a sustentação
da Proteção de Dados e Privacidade corporativa.
ETAPA
Resultados:
✓ Estratégia de Proteção de Dados e Privacidade atualizada – Etapa 1
✓ Programa de Proteção de Dados e Privacidade atualizado – Etapa 1
✓ Controles de Governança de Dados atualizados – Etapa 1
✓ Nomeação do DPO – Etapa 2
✓ Plano de Comunicação – Etapas 3, 4, 5 e 6
✓ Rede corporativa de proteção de Dados e Privacidade – Etapa 4
✓ Papel de Proteção de Dados e Privacidade incluído nas descrições de cargo – Etapa 4
✓ Plano atualizado de conscientização, comunicação e treinamento em privacidade – Etapa 5.
✓ Sistema Informatizado de Proteção de Dados e Privacidade – Etapa 7.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 2: Organização da Proteção
de Dados e Privacidade
Desenvolver e implementar medidas e controles
específicos de proteção de dados e privacidade
para a sua empresa ou organização.
Objetivos:
Propósito
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Sistema de Gestão
de Proteção de
Dados
• Projetar um sistema de classificação de dados
• Desenvolver e implementar todas as políticas,
procedimentos e controles necessários para
cumprir as leis e requisitos de proteção de
dados e privacidade
Fase 3: Desenvolvimento e Implementação
da Proteção de Dados e Privacidade
Fase 3:
• Analisar e definir as necessidades e requisitos da sua empresa
• Selecionar as estratégias, planos, políticas e controles que você vai implementar
• Designar as responsabilidades para esta implementação
Estratégias, planos e políticas:
Sistema de Classificação de Dados:
• Desenvolver um sistema que permite que a sua empresa diminua o escopo do que precisa ser
protegido e como.
• Criar procedimentos para implementar o esquema de classificação de dados da organização,
juntamente com os detalhes de propriedade, requisitos de retenção e uso adequado, e requisitos
de proteção, com base no nível de classificação e requisitos legais.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 3: Desenvolvimento e Implementação
da Proteção de Dados e Privacidade
Desenvolver e Implementar
Estratégias, Planos e Políticas de
Proteção de Dados e Privacidade
ETAPA
• Aprovação dos órgãos reguladores
antes da coleta e do
processamento de dados pessoais.
• Coleta e processamento em
grandes volumes como Big Data.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 3: Desenvolvimento e Implementação
da Proteção de Dados e Privacidade
Implementar procedimento de Aprovação para
Processamento de Dados Pessoais
Desenvolver procedimentos para determinar as situações em que a aprovação é
necessária, para consultar o regulador nacional ou Europeu, se não estiver muito
claro se a aprovação é requerida ou não, e para documentar todo o processo.
ETAPA
• Notificar os órgãos reguladores de proteção de dados e
privacidade, Europeu ou nacionais, sobre essas bases
que contêm dados pessoais e sobre a intenção de
processamento e registro desses dados.
• A empresa precisa desenvolver procedimentos para
determinar quando ela deve registrar as suas bases de
dados, qual informação deve ser incluída nesses registros,
como fazer o registro e documentar todo o processo.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 3: Desenvolvimento e Implementação
da Proteção de Dados e Privacidade
Bases de Dados de Registro de Dados Pessoais
Na fase de desenvolvimento e implementação, você precisa
de bases de dados para registro dos dados pessoais.
ETAPA
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
• Documentação relacionada a todos os fluxos
transfronteiriços, rastreamento do seu uso e conformidade com
os mecanismos de transferência
• Governos e órgãos reguladores criam modelos de cláusulas
para facilitar as transferências de dados pessoais
• Quando não existirem mecanismos de transferência, nem
BCRs, nem modelos de contrato disponíveis, a empresa pode
buscar a aprovação do regulador de proteção de dados e
privacidade para legitimar a transferência dos dados
ETAPA Desenvolver e Implementar um Sistema de Transferência de
Dados Transfronteiriço
Desenvolver e implementar um sistema para manter o registro dos mecanismos de
transferência usados nos fluxos de dados entre fronteiras.
Fase 3: Desenvolvimento e Implementação
da Proteção de Dados e Privacidade
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
• Retenção de dados corporativos
• Contratação de pessoal corporativo
• Acesso ao website
• Marketing digital
• Mídias sociais
• Dispositivos móveis e smartphones
• Saúde e segurança
• Desenvolvimento de serviços e produtos
ETAPA Executar Atividades de Integração de Proteção de Dados e Privacidade
Incluir a proteção de dados e privacidade em todas as suas operações pela execução de
um conjunto específico de atividades integradas que incorporam essa proteção de dados.
Fase 3: Desenvolvimento e Implementação
da Proteção de Dados e Privacidade
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
• Realizar treinamento contínuo de privacidade de dados para o Privacy Office
• Realizar treinamento básico de privacidade para a equipe
• Realizar treinamento adicional de privacidade para novas necessidades
• Incluir treinamento de privacidade em outros treinamentos corporativos
• Manter a conscientização sobre privacidade
ETAPA Executar o Plano de Treinamento Proteção de Dados e Privacidade
Organizações treinam o seu pessoal para melhor implementar a proteção de dados e
privacidade em todos os seus programas, sistemas, projetos e funções.
• Manter a certificação profissional de privacidade
de dados para o pessoal de privacidade
• Avaliar a conscientização sobre a privacidade de
dados e as atividades de treinamento
Fase 3: Desenvolvimento e Implementação
da Proteção de Dados e Privacidade
• Incluir privacidade de dados na Política de Segurança Corporativa e na Política
de Segurança da Informação
• Incluir privacidade de dados na Política de Uso Aceitável.
• Incluir privacidade de dados nas atividades de avaliação de risco de segurança
• Implementar controles técnicos de segurança de TI
• Implementar controles de segurança para Recursos Humanos
• Incluir privacidade de dados no planejamento de continuidade de negócio
• Desenvolver e implementar uma estratégia de prevenção contra perda de dados
• Realizar testes regulares de segurança de dados
• Manter a certificação de segurança
Isso é feito de forma eficaz por meio de um plano de segurança de dados:
ETAPA Implementar Controles de Segurança de Dados
As empresas implementam um conjunto de controles de segurança de dados para
proteger de forma melhor os dados pessoais mantidos nos sistemas de TI e bancos de
dados.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 3: Desenvolvimento e Implementação
da Proteção de Dados e Privacidade
✓ Sistema de classificação de dados pessoais – Etapa 1
✓ Procedimento para aprovação do processamento de dados pessoais - Etapa 2
✓ Documento de registro de bases de dados pessoais Etapa 3
✓ Sistema de transferência de dados transfronteiriço – Etapa 4
✓ Operações e Proteção e Privacidade de Dados integradas – Etapa 5
✓ Atividades de treinamento em Proteção e Privacidade de Dados executadas – Etapa 6
✓ Controles de segurança de dados implementados – Etapa 7
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Resultados:
Fase 3: Desenvolvimento e Implementação
da Proteção de Dados e Privacidade
Estabelecer mecanismos de governança de
privacidade para sua empresa ou organização.
Objetivos:
Propósito
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Sistema de Gestão
de Proteção de
Dados
• Os objetivos mais específicos incluem projetar e
configurar as estruturas de governança como
programa de proteção de dados e privacidade.
Essas estruturas contam com o próprio DPO e
muitas vezes um comitê de proteção de dados e
privacidade.
Fase 4: Governança de Proteção
de Dados e Privacidade
Fase 4:
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Tomada de Decisão Automatizada:
• As empresas e organizações devem ter mecanismos, ou seja, práticas, políticas e procedimentos, para
avaliar a importância de qualquer decisão automatizada que elas tomarem
• Permitir ações para inclusão de um processo de revisão manual dessas decisões significativas
• DPO é quem garante que essas práticas sejam implementadas integralmente para evitar os riscos potenciais
• Garantir que sua empresa mantenha e práticas que incluem políticas e procedimentos para coleta e uso
de dados pessoais sensíveis
• O DPO precisa assegurar que essas práticas sejam implementadas de forma completa
Dados Sensíveis:
Usos Secundários dos Dados Pessoais são usos com os quais a organização vai além do propósito primário
ETAPA Implementar Práticas de Governança para o
Gerenciamento do Uso dos Dados Pessoais
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 4: Governança de Proteção
de Dados e Privacidade
Você deve considerar os seguintes aspectos:
• O indivíduo em questão precisa ter a oportunidade de revisar o aviso de privacidade de dados da empresa ou
receber informações sobre as práticas de privacidade de dados da organização antes de fornecer dados
pessoais (aviso "just in time");
• A organização precisa fornecer ao público informações simplificadas relacionadas às suas políticas e práticas
de privacidade
• Disponibilizar avisos sobre os pedidos de serviço, recibos e contas, contratos e termos de serviço.
• Fornecer instruções para empregados da linha de frente, para que eles deem as explicações básicas sobre as
políticas e práticas de privacidade da organização
• Garantir que os selos de privacidade ou marcas de confiança, como são chamados, sejam exibidos no site
ETAPA Manter Avisos sobre Privacidades de Dados
Manter avisos ou comunicações para os indivíduos que sejam consistentes com a
política de privacidade dos dados com os requisitos legais e dentro da tolerância do
risco operacional.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 4: Governança de Proteção
de Dados e Privacidade
• Acesso a dados pessoais e para reclamações
• Retificação, portabilidade, objeção de dados e
eliminação de dados pessoais
• Informação sobre tratamento de dados pessoais
A empresa deve executar as atividades relacionadas ao tratamento de
reclamações, ao gerenciamento de solicitações para acesso e
atualização das informações, feitas pelos titulares de dados.
Este plano deve incluir procedimentos para:
ETAPA
Executar um Plano de Requisições,
Reclamações e Retificações
Fase 4: Governança de Proteção
de Dados e Privacidade
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
• Essa avaliação de risco é um pré-requisito para um Programa
Organizacional de Proteção de Dados e Privacidade
• Permite que o DPO identifique e priorize as lacunas, ou seja, os gaps na
privacidade e na segurança, por toda a organização, além de gerenciar a
mitigação do risco e conformidade. Além disso, permite aumentar a
reputação da marca e a confiança do cliente.
• O DPO também deve garantir que os riscos das partes terceiras
também sejam gerenciados.
• Essas funções de risco também precisam considerar os riscos da
privacidade que podem aparecer durante essa análise (Avaliação de
Risco da Privacidade e Negócio)
ETAPA Executar uma Avaliação de Risco de Proteção de Dados
O DPO deve ter um procedimento para condução de uma avaliação de risco sobre a
proteção de dados, de amplitude organizacional, envolvendo as unidades de negócios.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 4: Governança de Proteção
de Dados e Privacidade
Emitir um relatório, que foi gerado internamente como resultado
de auditorias, por exemplo, para partes interessadas externas
O status do programa de proteção de dados e privacidade
deve ser comunicado internamente.
Essas comunicações visam:
• alinhar a função de proteção de dados e privacidade com os
objetivos da empresa
• como a privacidade oferece suporte aos resultados financeiros
• status de conformidade com os requisitos legais e regulamentares
ETAPA Emitir Relatório de Proteção de Dados e Privacidade
Emitir um relatório para as partes interessadas internas sobre o status da gestão da
proteção de dados e privacidade.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 4: Governança de Proteção
de Dados e Privacidade
• Esta documentação deve estar disponível para demonstrar
aos reguladores e autoridades como a empresa está em
conformidade com as leis de proteção de dados e
privacidade, e como é responsável pelo funcionamento do
programa
• A documentação também serve como evidência para
obter "marcas de confianças", selos, BCRs,
certificações e participação em outros programas de
autorregulação.
ETAPA Manter Documentação sobre Privacidade de Dados
Desenvolver, implementar e manter a documentação atualizada com o status do
programa de proteção de dados e privacidade da organização.
Fase 4: Governança de Proteção
de Dados e Privacidade
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
As funções deste plano de resposta a violação ou a incidente de privacidade de dados precisam incluir:
• Procedimentos de notificação da infração às pessoas afetadas
• Relatar todos os incidentes ou violações de privacidade de dados aos reguladores, agências de crédito,
autoridades responsáveis pela aplicação da lei e outros
• Manter registros de certos detalhes dos incidentes ou violações
• Garantir que as notificações e relatórios de violação estejam alinhados com os requisitos e melhores práticas.
• Monitorar, documentar e reportar métricas de incidentes e violações de privacidade
• Realizar testes periódicos do plano de resposta a incidentes
• Contratar serviços de um provedor de remediação de resposta à violação de privacidade
• Obter cobertura adequada de seguro para os custos associados com uma violação
ETAPA Estabelecer e Manter um Plano de Resposta a Violações de Privacidade
Projetar, desenvolver, implementar e manter um plano de resposta a incidente de
segurança de dados ou a violações de privacidade de dados que seja coerente,
sistemático e proativo
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 4: Governança de Proteção
de Dados e Privacidade
Resultados:
✓ Estratégia de proteção de dados e privacidade atualizada - Etapa 1
✓ Política de proteção de dados - Etapa 1
✓ Procedimento para manter avisos de privacidade de dados - Etapa 2
✓ Requisições, Reclamações e Plano de Retificação - Etapa 3
✓ Processo de avaliação de risco de proteção de dados - Etapa 4
✓ Plano de gerenciamento de riscos de terceiros - Etapa 4
✓ Relatório de proteção de dados e privacidade - Etapa 5
✓ Documentação de privacidade de dados - Etapa 6
✓ Plano de resposta a incidentes ou violação de privacidade de dados – Etapa 7
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 4: Governança de Proteção
de Dados e Privacidade
Fase 5: Avaliação e Melhoria da
Proteção de Dados e Privacidade
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Revisar e aperfeiçoar todos os aspectos
específicos de proteção de dados e
privacidade do seu ambiente corporativo.
Objetivos:
Propósito
Sistema de Gestão
de Proteção de
Dados
• Avaliar regularmente se a sua empresa ou organização
segue as políticas e os processos operacionais internos
de proteção de dados e privacidade
• Melhorar as medições e controles com base em
auditorias e revisões internas e externas.
Fase 5:
• Monitorar a operação e resolução de todas as
questões relacionadas à privacidade
• Os resultados dessas auditorias e avaliações de privacidade
informam e orientam as decisões Privacy Office
• O escopo desta atividade de auditoria de privacidade
abrange o papel do escritório de privacidade na participação
em auditorias de privacidade, na resposta às descobertas e
na realização de auditorias em todos os dados pessoais
ETAPA Realizar Auditorias Internas de Proteção de Dados e Privacidade
Avaliar regularmente se a organização cumpre com as políticas internas e processos
operacionais de proteção de dados e privacidade, para informar e orientar o Privacy Office.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 5: Avaliação e Melhoria da
Proteção de Dados e Privacidade
Da mesma forma que as auditorias internas, os resultados
dessas avaliações informam, habilitam e orientam decisões do
escritório de proteção de dados e privacidade na criação ou
atualização de políticas de privacidade, no desenho ou
adaptação de procedimentos de proteção de dados e
privacidade, na condução de treinamentos de privacidade, ou
no engajamento de outras atividades
ETAPA Envolver uma Parte Externa para Avaliações de Proteção de Dados e Privacidade
Solicitar uma avaliação de um provedor de serviço externo para validar a conformidade
com as políticas de privacidade internas e requisitos legais aplicáveis.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 5: Avaliação e Melhoria da
Proteção de Dados e Privacidade
Avaliações ad-hoc de privacidade:
Benchmarks: Processo de avaliação da empresa em relação a outras empresas, por meio do qual é
possível incorporar os melhores desempenhos de outras firmas e ou aperfeiçoar os seus próprios métodos.
Autoavaliações de privacidade: pode ser executado pelo escritório de
privacidade ou pela própria unidade de negócio.
• Avaliações de conformidade da unidade de negócio com as
políticas de privacidade periódicas ou sem aviso
• Depois de um evento de privacidade
• Unidade de negócio, produto, serviço, sistema ou processo
• Identificar os gaps, as lacunas, que devem serem remediadas
ETAPA Realizar Avaliações e
“Benchmarks” (Comparações)
Fase 5: Avaliação e Melhoria da
Proteção de Dados e Privacidade
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
• Determinar quando as Avaliações de Impacto de Privacidade (AIP) ou
Avaliações de Impacto de Proteção de Dados (AIPD) são necessárias.
• Ter políticas e procedimentos a seguir quando as unidades operacionais
propõem mudanças nos programas, sistemas ou processos já existentes,
para garantir que os riscos de proteção de dados e privacidade sejam
medidos, analisados e que, sejam consideradas alternativas que protejam a
privacidade. Este processo depende dos Princípios da Privacidade by-Design
• Recomenda-se que as organizações mantenham orientações e templates
detalhando como conduzir Avaliações de Impacto de Privacidade (AIP) ou
Avaliações de Impacto de Proteção de Dados (AIPD)
ETAPA Executar Avaliações de Impacto
de Proteção de Dados
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 5: Avaliação e Melhoria da
Proteção de Dados e Privacidade
Etapa 5:
• Implementar um procedimento para avaliar os
problemas identificados nas avaliações
• Levantar possíveis proteções ou processos
alternativos para mitigar os riscos identificados
• Monitorar como as ações de mitigação de
risco são implementadas.
As empresas e organizações precisam:
ETAPA Resolver Riscos de Proteção
de Dados e Privacidade
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 5: Avaliação e Melhoria da
Proteção de Dados e Privacidade
• Existem razões para isso, que incluem casos onde existem
riscos de privacidade que não podem ser mitigados por meios
razoáveis pela empresa, ou podem levar mais tempo, e outras.
• Relatórios são emitidos para o regulador ou partes interessadas
relevantes para que esses grupos fiquem informados dos riscos
associados à privacidade de dados antes do lançamento de um
novo produto, programa, sistema, processo, transferência de
dados pessoais para outra jurisdição etc.
ETAPA Relatar a Análise de Riscos de Proteção de Dados e Privacidade
Os resultados das análises de risco devem ser reportados para os reguladores, quando
requeridos, e para as partes interessadas, os stakeholders clientes, empregados,
advogados, conforme apropriado.
Fase 5: Avaliação e Melhoria da
Proteção de Dados e Privacidade
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Uma vez ciente de uma nova proposta de norma, lei ou regulamento de proteção de dados ou
privacidade, é necessário:
• Acompanhar o seguimento e os relatórios para as partes interessadas apropriadas sobre o impacto
• Buscar a opinião do consultor jurídico da organização (interno ou externo) sobre o impacto que
essas novas mudanças terão no programa de privacidade da empresa ou nas atividades de negócio
• Manter o controle de como os novos desenvolvimentos nestas leis e regulamentos têm sido tratados
• Documentar as decisões quando não ficar implementando qualquer mudança, e a justificativa por
trás dessas decisões.
ETAPA Monitorar as Leis e Regulamentos de Proteção de Dados
Monitorar todas as normas, leis e regulamentações
relacionadas a proteção de dados e privacidade.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 5: Avaliação e Melhoria da
Proteção de Dados e Privacidade
✓ Relatório de Auditoria Interna sobre Proteção de Dados e Privacidade – Etapa 1
✓ Relatório de auditoria externa sobre Proteção de Dados e Privacidade – Etapa 2
✓ Relatório de Avaliação de Privacidade ad-hoc – Etapa 3
✓ Relatório de Autoavaliação de Privacidade – Etapa 3
✓ Relatório de Benchmark (comparação) de Privacidade – Etapa 3
✓ Relatório de Avaliação de Impacto sobre a Proteção de Dados – AIPD – Etapa 4
✓ Relatório de Riscos Resolvidos para Proteção de Dados e Privacidade – Etapa 5
✓ Relatório de Análise de Risco e Resultados de Proteção de Dados e Privacidade – Etapa 6
✓ Relatório de Monitoramento das Leis de Privacidade – Etapa 7
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 5: Avaliação e Melhoria da
Proteção de Dados e Privacidade
Resultados:
Preparação
Sistema de Gestão
de Proteção de
Dados
Fase 2:
Fase 3:
Fase 4:
Fase 5:
Fase 1:
Avaliação e Melhoria
Governança
Organização
Desenvolvimento e
Implementação
Slides PDPP curso oficial Exin - Formação DPO

Mais conteúdo relacionado

Mais procurados

ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
PECB
 
ISO 27701
ISO 27701ISO 27701
ISO 27701
UtkarshDhiman4
 

Mais procurados (20)

LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
 
How to handle data breach incidents under GDPR
How to handle data breach incidents under GDPRHow to handle data breach incidents under GDPR
How to handle data breach incidents under GDPR
 
Workshop (LGPD)
Workshop (LGPD)Workshop (LGPD)
Workshop (LGPD)
 
LGPD e Segurança da Informação
LGPD e Segurança da InformaçãoLGPD e Segurança da Informação
LGPD e Segurança da Informação
 
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEILGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
 
Privacy-ready Data Protection Program Implementation
Privacy-ready Data Protection Program ImplementationPrivacy-ready Data Protection Program Implementation
Privacy-ready Data Protection Program Implementation
 
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
 
Privacidade By Design
Privacidade By DesignPrivacidade By Design
Privacidade By Design
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
 
GDPR and Security.pdf
GDPR and Security.pdfGDPR and Security.pdf
GDPR and Security.pdf
 
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD - SISTEMA DE GESTÃO ...LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävät
 
Common Practice in Data Privacy Program Management
Common Practice in Data Privacy Program ManagementCommon Practice in Data Privacy Program Management
Common Practice in Data Privacy Program Management
 
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva  e Ricardo Navarro (Pise4)Lei geral de proteção de dados por Kleber Silva  e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
 
Privacy by Design and by Default + General Data Protection Regulation with Si...
Privacy by Design and by Default + General Data Protection Regulation with Si...Privacy by Design and by Default + General Data Protection Regulation with Si...
Privacy by Design and by Default + General Data Protection Regulation with Si...
 
ISO 27701
ISO 27701ISO 27701
ISO 27701
 
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...
 
Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössä
 
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesCMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
 
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
 

Semelhante a Slides PDPP curso oficial Exin - Formação DPO

Apresentação da P e B Compliance para Adequação de cartórios à LGPD.docx
Apresentação da P e B Compliance para Adequação de cartórios à LGPD.docxApresentação da P e B Compliance para Adequação de cartórios à LGPD.docx
Apresentação da P e B Compliance para Adequação de cartórios à LGPD.docx
PauloFilho489457
 

Semelhante a Slides PDPP curso oficial Exin - Formação DPO (20)

TDC Recife 2020 - LGPD para Desenvolvedores
TDC Recife 2020 - LGPD para DesenvolvedoresTDC Recife 2020 - LGPD para Desenvolvedores
TDC Recife 2020 - LGPD para Desenvolvedores
 
tdc-recife-2020-lgpd-para-desenvolvedores
tdc-recife-2020-lgpd-para-desenvolvedorestdc-recife-2020-lgpd-para-desenvolvedores
tdc-recife-2020-lgpd-para-desenvolvedores
 
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD - SISTEMA DE GESTÃO...LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD - SISTEMA DE GESTÃO...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO...
 
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA IIA PORTUGAL - IPAI 25 ANOS A ...
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA  IIA PORTUGAL - IPAI 25 ANOS A ...2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA  IIA PORTUGAL - IPAI 25 ANOS A ...
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA IIA PORTUGAL - IPAI 25 ANOS A ...
 
Implementar LGPD em centro espirita.pptx
Implementar LGPD em centro espirita.pptxImplementar LGPD em centro espirita.pptx
Implementar LGPD em centro espirita.pptx
 
Apresentação da P e B Compliance para Adequação de cartórios à LGPD.docx
Apresentação da P e B Compliance para Adequação de cartórios à LGPD.docxApresentação da P e B Compliance para Adequação de cartórios à LGPD.docx
Apresentação da P e B Compliance para Adequação de cartórios à LGPD.docx
 
Jornada IBM rumo à GDPR.pptx
Jornada IBM rumo à GDPR.pptxJornada IBM rumo à GDPR.pptx
Jornada IBM rumo à GDPR.pptx
 
GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...
GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...
GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...
 
Frameworks_Privacidade.pdf
Frameworks_Privacidade.pdfFrameworks_Privacidade.pdf
Frameworks_Privacidade.pdf
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
 
LGPD - 2020.06.03 lgpd
LGPD - 2020.06.03 lgpdLGPD - 2020.06.03 lgpd
LGPD - 2020.06.03 lgpd
 
Você está preparado para o GDPR?
Você está preparado para o GDPR?Você está preparado para o GDPR?
Você está preparado para o GDPR?
 
Biz miz o1 m4_u4.1_r3_pt
Biz miz o1 m4_u4.1_r3_ptBiz miz o1 m4_u4.1_r3_pt
Biz miz o1 m4_u4.1_r3_pt
 
boas-praticas-ii.pdf
boas-praticas-ii.pdfboas-praticas-ii.pdf
boas-praticas-ii.pdf
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
 
TDC Future 2021 - Privacy After Design
TDC Future 2021 - Privacy After DesignTDC Future 2021 - Privacy After Design
TDC Future 2021 - Privacy After Design
 
EXIN Privacy, Data e Protection.pdf
EXIN Privacy, Data e Protection.pdfEXIN Privacy, Data e Protection.pdf
EXIN Privacy, Data e Protection.pdf
 
14 passos para o RGPD - It insight Outubro 2016
14 passos para o RGPD - It insight Outubro 201614 passos para o RGPD - It insight Outubro 2016
14 passos para o RGPD - It insight Outubro 2016
 
RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...
RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...
RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...
 
Sendit | GDPR - Regulamento Geral de Proteção de Dados
Sendit | GDPR - Regulamento Geral de Proteção de DadosSendit | GDPR - Regulamento Geral de Proteção de Dados
Sendit | GDPR - Regulamento Geral de Proteção de Dados
 

Mais de Adriano Martins Antonio

Mais de Adriano Martins Antonio (8)

Curso completo veri sm foundation (1)
Curso completo veri sm foundation (1)Curso completo veri sm foundation (1)
Curso completo veri sm foundation (1)
 
Slide do curso upgrade itil v3 - 2011
Slide do curso upgrade itil v3  - 2011Slide do curso upgrade itil v3  - 2011
Slide do curso upgrade itil v3 - 2011
 
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
 
Cloud computing foundation
Cloud computing foundationCloud computing foundation
Cloud computing foundation
 
Material Oficial Completo do Curso ITMP - EXIN
Material Oficial Completo do Curso ITMP - EXINMaterial Oficial Completo do Curso ITMP - EXIN
Material Oficial Completo do Curso ITMP - EXIN
 
Curso Completo Online preparatório do COBIT 4.1 Foundation
Curso Completo Online preparatório do COBIT 4.1 FoundationCurso Completo Online preparatório do COBIT 4.1 Foundation
Curso Completo Online preparatório do COBIT 4.1 Foundation
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002   versão 2013 foundationCurso oficial iso 27002   versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundation
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
 

Último

atividade para 3ª serie do ensino medi sobrw biotecnologia( transgenicos, clo...
atividade para 3ª serie do ensino medi sobrw biotecnologia( transgenicos, clo...atividade para 3ª serie do ensino medi sobrw biotecnologia( transgenicos, clo...
atividade para 3ª serie do ensino medi sobrw biotecnologia( transgenicos, clo...
WelitaDiaz1
 
Gramática - Texto - análise e construção de sentido - Moderna.pdf
Gramática - Texto - análise e construção de sentido - Moderna.pdfGramática - Texto - análise e construção de sentido - Moderna.pdf
Gramática - Texto - análise e construção de sentido - Moderna.pdf
Kelly Mendes
 

Último (20)

Histogramas.pptx...............................
Histogramas.pptx...............................Histogramas.pptx...............................
Histogramas.pptx...............................
 
Testes de avaliação português 6º ano .pdf
Testes de avaliação português 6º ano .pdfTestes de avaliação português 6º ano .pdf
Testes de avaliação português 6º ano .pdf
 
425416820-Testes-7º-Ano-Leandro-Rei-Da-Heliria-Com-Solucoes.pdf
425416820-Testes-7º-Ano-Leandro-Rei-Da-Heliria-Com-Solucoes.pdf425416820-Testes-7º-Ano-Leandro-Rei-Da-Heliria-Com-Solucoes.pdf
425416820-Testes-7º-Ano-Leandro-Rei-Da-Heliria-Com-Solucoes.pdf
 
Acróstico - Maio Laranja
Acróstico  - Maio Laranja Acróstico  - Maio Laranja
Acróstico - Maio Laranja
 
O que é, de facto, a Educação de Infância
O que é, de facto, a Educação de InfânciaO que é, de facto, a Educação de Infância
O que é, de facto, a Educação de Infância
 
Poema - Maio Laranja
Poema - Maio Laranja Poema - Maio Laranja
Poema - Maio Laranja
 
EBPAL_Serta_Caminhos do Lixo final 9ºD (1).pptx
EBPAL_Serta_Caminhos do Lixo final 9ºD (1).pptxEBPAL_Serta_Caminhos do Lixo final 9ºD (1).pptx
EBPAL_Serta_Caminhos do Lixo final 9ºD (1).pptx
 
FUNDAMENTOS DA PSICOPEDAGOGIA - material
FUNDAMENTOS DA PSICOPEDAGOGIA - materialFUNDAMENTOS DA PSICOPEDAGOGIA - material
FUNDAMENTOS DA PSICOPEDAGOGIA - material
 
Nós Propomos! Canil/Gatil na Sertã - Amigos dos Animais
Nós Propomos! Canil/Gatil na Sertã - Amigos dos AnimaisNós Propomos! Canil/Gatil na Sertã - Amigos dos Animais
Nós Propomos! Canil/Gatil na Sertã - Amigos dos Animais
 
Maio Laranja - Combate à violência sexual contra crianças e adolescentes
Maio Laranja - Combate à violência sexual contra crianças e adolescentesMaio Laranja - Combate à violência sexual contra crianças e adolescentes
Maio Laranja - Combate à violência sexual contra crianças e adolescentes
 
Edital do processo seletivo para contratação de agentes de saúde em Floresta, PE
Edital do processo seletivo para contratação de agentes de saúde em Floresta, PEEdital do processo seletivo para contratação de agentes de saúde em Floresta, PE
Edital do processo seletivo para contratação de agentes de saúde em Floresta, PE
 
atividade para 3ª serie do ensino medi sobrw biotecnologia( transgenicos, clo...
atividade para 3ª serie do ensino medi sobrw biotecnologia( transgenicos, clo...atividade para 3ª serie do ensino medi sobrw biotecnologia( transgenicos, clo...
atividade para 3ª serie do ensino medi sobrw biotecnologia( transgenicos, clo...
 
Slides Lição 07, Central Gospel, As Duas Testemunhas Do Final Dos Tempos.pptx
Slides Lição 07, Central Gospel, As Duas Testemunhas Do Final Dos Tempos.pptxSlides Lição 07, Central Gospel, As Duas Testemunhas Do Final Dos Tempos.pptx
Slides Lição 07, Central Gospel, As Duas Testemunhas Do Final Dos Tempos.pptx
 
Apostila-Letramento-e-alfabetização-2.pdf
Apostila-Letramento-e-alfabetização-2.pdfApostila-Letramento-e-alfabetização-2.pdf
Apostila-Letramento-e-alfabetização-2.pdf
 
Modelos de Inteligencia Emocional segundo diversos autores
Modelos de Inteligencia Emocional segundo diversos autoresModelos de Inteligencia Emocional segundo diversos autores
Modelos de Inteligencia Emocional segundo diversos autores
 
Proposta de redação Soneto de texto do gênero poema para a,usos do 9 ano do e...
Proposta de redação Soneto de texto do gênero poema para a,usos do 9 ano do e...Proposta de redação Soneto de texto do gênero poema para a,usos do 9 ano do e...
Proposta de redação Soneto de texto do gênero poema para a,usos do 9 ano do e...
 
Slides Lição 7, CPAD, O Perigo Da Murmuração, 2Tr24.pptx
Slides Lição 7, CPAD, O Perigo Da Murmuração, 2Tr24.pptxSlides Lição 7, CPAD, O Perigo Da Murmuração, 2Tr24.pptx
Slides Lição 7, CPAD, O Perigo Da Murmuração, 2Tr24.pptx
 
Peça de teatro infantil: A cigarra e as formigas
Peça de teatro infantil: A cigarra e as formigasPeça de teatro infantil: A cigarra e as formigas
Peça de teatro infantil: A cigarra e as formigas
 
Gramática - Texto - análise e construção de sentido - Moderna.pdf
Gramática - Texto - análise e construção de sentido - Moderna.pdfGramática - Texto - análise e construção de sentido - Moderna.pdf
Gramática - Texto - análise e construção de sentido - Moderna.pdf
 
Tema de redação - A prática do catfish e seus perigos.pdf
Tema de redação - A prática do catfish e seus perigos.pdfTema de redação - A prática do catfish e seus perigos.pdf
Tema de redação - A prática do catfish e seus perigos.pdf
 

Slides PDPP curso oficial Exin - Formação DPO

  • 1. Módulo 1 - Introdução PDPP
  • 2. ▪ PDPF - Privacy & Data Protection Foundation ▪ ISFS - ISO 27001 Foundation Boas-Vindas PDPP - EXIN Privacy & Data Protection Practitioner Para se tornar um Data Protection Officers (DPO), precisa ser aprovado em: Este curso faz parte do programa de qualificação EXIN Privacy & Data Protection FOUNDATION ESSENTIALS PRATICTIONER PDPP - Módulo 1: Introdução
  • 3. • Certificação baseada na LGPD – Lei totalmente Brasileira. • “Essentials” é mais genérico e é voltado exclusivamente para conscientização de todo mundo na empresa. GDPR e LGPD PDPE - EXIN Privacy & Data Protection Essentials • Foco exclusivamente no GDPR – Lei Europeia • Neste mundo globalizado, vai ser raro não fazer negócios com empresas da União Europeia. PDPF - EXIN Privacy & Data Protection Foundation e PDPP - EXIN Privacy & Data Protection Practitioner PDPP - Módulo 1: Introdução
  • 4. • Explosão cada vez maior de informações na internet, apps e redes sociais gerenciar e proteger a privacidade das pessoas e seus dados • Novas leis na UE, assim como nos EUA e em muitas outras regiões • Implementação de políticas e procedimentos para o cumprimento da legislação • Estabelecimento de um Sistema de Gestão de Proteção de Dados (SGPD) • Norma ISO/IEC 27701:2019 Técnicas de Segurança – Extensão da ISO/IEC 27001 e 27002 para Gestão de Informações de Privacidade – Requisitos e Diretrizes Visão Geral do Curso PDPP PDPP - Módulo 1: Introdução
  • 5. Objetivos e Público-alvo da Certificação PDPP Público-Alvo A certificação EXIN Privacy & Data Protection Practitioner (PDPP) visa • Valida o conhecimento e a compreensão de um profissional em relação à legislação de privacidade e proteção de dados europeia e sua relevância internacional. • Aplicar esse conhecimento e compreensão à sua prática profissional diária. PDPP - Módulo 1: Introdução • Data Protection Officers (DPOs) • Escritório de Privacidade (Privacy Office) • Legal / Compliance officers • Security officers • Gerentes de Continuidade de Negócios • Controladores de Dados • Auditores de Proteção de Dados (internos e externos) • Analistas de Privacidade • Gerentes de RH
  • 6. Atividades Práticas A realização das atividades práticas faz parte dos requisitos da certificação para EXIN Privacy & Data Protection Practitioner (PDPP).: ✔Ao final do treinamento serão propostas três atividades práticas, a serem desenvolvidas e avaliadas por instrutor credenciado. ✔Caso tenham sido cumpridos um mínimo de 9 dos 14 (65%) critérios, o candidato terá concluído com sucesso os trabalhos práticos. ✔As atividades práticas e instruções aparecem ao final deste curso. PDPP - Módulo 1: Introdução test
  • 7. Sobre o Exame PDPP Tipo de exame: Número de questões: Pontos para aprovação: Duração do exame: Anotações : Equipamentos eletrônicos: Consulta: 40 - Questões de múltipla escolha 65% (26 questões) 90 minutos Não Não Exige compreensão dos conceitos, aplicação do conhecimento e análise de situações. O texto do GDPR pode ser consultado durante todo o exame; Será fornecido como um apêndice no exame digital. PDPP - Módulo 1: Introdução
  • 8. Módulo 2: Políticas de proteção de dados PDPP
  • 9. Relembrando as Principais Definições PPDP – Módulo 02: Políticas de proteção de dados • Dados Pessoais: qualquer informação relativa a uma pessoa física identificada ou identificável • Processamento: qualquer operação ou conjunto de operações efetuadas em dados pessoais, ou em conjuntos de dados pessoais, por meios automatizados ou não • Controlador: pessoa física ou jurídica, autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outros, determina os fins e os meios de processamento de dados pessoais • Processador: pessoa física ou jurídica, autoridade pública, agência ou outro organismo que processa dados pessoais em nome do controlador • Autoridade Supervisora: representa uma organização governamental que será responsável por reforçar a aplicação do GPDR O propósito geral do GDPR é, através de uma lei unificada, proteger os direitos, a privacidade e as liberdades das pessoas físicas na UE
  • 10. O Regulamento indica várias práticas e documentos que qualquer organização deve ser capaz de oferecer. O controlador deve adotar políticas internas e aplicar medidas que respeitem os princípios da proteção de dados. Esses princípios são aqueles referentes à proteção desde a concepção (by design) e por padrão (by default) Por políticas internas devemos entender que a organização declara de forma transparente e consistente de que forma ela atende aos requisitos do regulamento. Políticas e GDPR PPDP – Módulo 02: Políticas de proteção de dados
  • 11. Políticas e Conformidade • Uma política formal e auditável de privacidade e proteção de dados pessoais é de total interesse de potenciais parceiros e clientes. • Tornar pública indica transparência, permite que os parceiros e clientes avaliem a política e oferece para as autoridades supervisoras e outros reguladores uma posição clara que pode ser avaliada por eles. PPDP – Módulo 02: Políticas de proteção de dados • O Controlador deve desenvolver uma política explícita, documentada, de proteção de dados pessoais totalmente aderente à conformidade da organização ao GDPR. • Os DPOs devem monitorar de perto a aderência às políticas como parte da garantia de conformidade da organização às leis e regulamentações apropriadas.
  • 12. Elementos da Política • Identidade e detalhes de contato do DPO e do Controlador, e se o Controlador pretende transferir dados para outro país ou outra empresa internacional, entre outros. • Informações adicionais sobre como o processamento é transparente e justo, como prazo de retenção e os direitos dos titulares dos dados. • Texto mais específico ou genérico como “o período de armazenamento dos dados pessoais será determinado pelo contrato celebrado com o titular dos dados”. Uma política deve incluir certas informações logo na coleta dos dados (Artigo 13 do GDPR): PPDP – Módulo 02: Políticas de proteção de dados
  • 13. Disponibilização da Política A sua política deve estar acessível, no mesmo lugar onde os dados pessoais são coletados: LOJA FÍSICA QUALQUER OUTRO MECANISMO WEBSITE PPDP – Módulo 02: Políticas de proteção de dados
  • 14. 1. Propósito 2. Compromisso 3. Oportunidade de recusa 4. Coleta de informações pessoais 5. Uso da informação 6. Verificação de referências de crédito 7. Divulgação da informação 8. Proteção da informação 9. Acesso à Internet Exemplo de Tópicos de Política de Proteção de Dados 10. Monitoração das comunicações 11. Solicitação de acesso do titular dos dados 12. Violações de proteção de dados 13. Contato PPDP – Módulo 02: Políticas de proteção de dados
  • 15. Política de Segurança da Informação A política de segurança da informação pode ser um único documento, ou aparecer na forma de um conjunto de políticas de segurança (Normas ISO 27000) • Controle de acesso • Classificação da informação • Backup • Transferência de informação • Antivírus e anti-malware • Gerenciamento de vulnerabilidade • Criptografia • Comunicações • Relações com fornecedores PPDP – Módulo 02: Políticas de proteção de dados
  • 16. • Esclarecer por que a política é necessária • Descrever o escopo, ou o que é coberto pela política • Definir contatos e responsabilidades • Incluir pelo menos um objetivo • Explicar como as violações serão tratadas Conteúdo de Políticas de Segurança da Informação Uma boa política reflete os objetivos da organização e, ao mesmo tempo, direciona as ações. Além disso, elas deveriam também: PPDP – Módulo 02: Políticas de proteção de dados
  • 17. Políticas Efetivas • Para que uma política realmente funcione, é necessário que ela seja suportada por processos e procedimentos aderentes aos parâmetros definidos dentro da própria política. • Os processos e procedimentos devem ser criados com a visão de produzir evidência de que foram implementados de forma correta. • Suítes de ferramentas de suporte à documentação, com seus vários modelos e templates, podem ser muito práticas e efetivas em custo como ponto de partida para o desenvolvimento da documentação de conformidade ao GDPR da forma mais apropriada. PPDP – Módulo 02: Políticas de proteção de dados
  • 18. Abordagem que garante que você vai considerar as questões de privacidade e proteção de dados durante a fase de desenho ou de projeto de qualquer sistema, serviço, produto ou processo, e ao longo de todo o ciclo de vida. Proteção de Dados Desde a Concepção (by design) Proteção de dados desde a concepção (by design) O GDPR estabelece que o Controlador deve adotar políticas e implementar medidas que atendam, em especial, aos princípios de proteção de dados desde a concepção (by design) e por padrão (by default). PPDP – Módulo 02: Políticas de proteção de dados
  • 19. Quer dizer que você integrou ou “embutiu” a proteção de dados nas suas atividades de processamento e práticas de trabalho: Aplicação da Proteção de Dados Desde a Concepção (by design) • Desenvolver novos sistemas de TI, serviços, produtos e processos que envolvem dados pessoais • Desenvolver políticas e processos organizacionais, e práticas de negócio ou estratégias que possuem implicações de privacidade • Executar projetos físicos • Se envolver em iniciativas de compartilhamento de dados • Utilizar dados pessoais para novos propósitos. PPDP – Módulo 02: Políticas de proteção de dados
  • 20. • Exige de você a garantia de apenas processar os dados necessários para atingir um propósito específico. • Especificar que dados são esses antes do início do processamento. O princípio de proteção de dados desde a concepção foi expandido no GDPR para incluir a proteção de dados por padrão (by default) Proteção de Dados por Padrão (by default) PPDP – Módulo 02: Políticas de proteção de dados
  • 21. Aplicação da Proteção de Dados por Padrão (by default) Depende das circunstâncias de seu processamento e dos riscos aos indivíduos. De uma forma geral, no entanto, você deve considerar coisas como: • Abordagem de privacidade em primeiro lugar com quaisquer configurações de sistemas e aplicativos; • Não forneça uma escolha ilusória ou enganosa aos indivíduos em relação aos dados que você vai processar; • Não processar dados adicionais, a menos que a pessoa decida que você pode; • Dados pessoais não sejam automaticamente disponibilizados publicamente a terceiros; • Fornecer às pessoas controles e opções suficientes para exercer seus direitos. PPDP – Módulo 02: Políticas de proteção de dados
  • 22. Responsáveis Pela Proteção Desde a Concepção e Por Padrão • Altos executivos, por exemplo, atuando no desenvolvimento de uma cultura de “consciência de privacidade” • Engenheiros de software, arquitetos de sistema e desenvolvedores de aplicativos, e todos aqueles que projetam sistemas, produtos e serviços, devem levar em conta os requisitos de proteção de dados; • Nas suas Práticas comerciais e de negócio, você deve garantir que elas incorporem a proteção de dados desde a concepção em todos os seus processos e procedimentos internos; O Artigo 25 do GDPR especifica que, como controlador, você tem a responsabilidade pela conformidade com a proteção de dados desde a concepção e por padrão. É isso que o Regulamento ordena: que as medidas para garantir que os direitos e liberdades dos titulares dos dados sejam preservados, funcionem. PPDP – Módulo 02: Políticas de proteção de dados
  • 23. O Artigo 28 menciona os cuidados que você deve ter sempre que estiver selecionando um processador. Por exemplo, você só deve usar processadores que oferecem garantias suficientes para implementar medidas técnicas e organizacionais adequadas, para que o processo cumpra os requisitos do regulamento e assegure a proteção dos direitos do titular dos dados. Processadores e a Proteção de Dados Desde a Concepção (by design) e por Padrão (by default) PPDP – Módulo 02: Políticas de proteção de dados Seu Processador não pode, necessariamente, ajudar você nas obrigações de proteção de dados desde a concepção (by design) ao contrário das medidas de segurança.
  • 24. Organizações Terceiras e a Proteção de Dados Desde a Concepção (by design) e por Padrão (by default) O Preâmbulo 78 estende os conceitos de proteção de dados desde a concepção a outras organizações. Mas atenção! Não há imposição para que essas outras empresas cumpram os princípios. PPDP – Módulo 02: Políticas de proteção de dados Empresas terceiras que desenvolvem produtos, serviços e aplicativos devem ser incentivadas a levar em consideração o direito de proteção de dados nos seus desenvolvimentos e projetos e na aplicação das técnicas. Deve-se considerar os princípios e técnicas aplicáveis da proteção de dados desde a concepção e por padrão, conforme aparece no Artigo 47 (2d).
  • 25. O Que Deve Ser Feito na Prática • Minimizar o processamento dos dados pessoais • “Pseudonimização” de dados pessoais assim que possível • Garantir a transparência com relação aos papéis e processamento de dados pessoais • Permitir que os indivíduos monitorem o processamento • Criação e aperfeiçoamento de recursos da segurança Considere as questões de proteção de dados desde o início de qualquer atividade de processamento, e adote as políticas e ações apropriadas que atendam aos requisitos da proteção de dados desde a concepção e por padrão. PPDP – Módulo 02: Políticas de proteção de dados
  • 26. • Envolver o que existir de melhor, o estado da arte em termos de medidas • Custos envolvidos • Natureza, escopo, contexto e propósitos do seu processamento • Riscos que o seu processamento impõe aos direitos e liberdades das pessoas Você deve começar com as ações de proteção de dados na fase inicial de qualquer sistema, serviço, produto ou processo. Considerações: Quando As Ações Devem Ser Tomadas “No momento da determinação dos meios de processamento”. “No momento do processamento em si”, ou seja, durante todo o ciclo de vida. PPDP – Módulo 02: Políticas de proteção de dados
  • 27. Framework de Proteção de Dados by Design PPDP – Módulo 02: Políticas de proteção de dados
  • 28. • Foram desenvolvidos por Ann Cavoukian, Ph.D, como Information and Privacy Commissioner de Ontario, na década de 1990, e atualizados desde então. • O futuro da privacidade não pode ser garantido apenas pela conformidade com marcos regulatórios; em vez disso, a garantia de privacidade deve, idealmente, se tornar o padrão • Se estende aos elementos de sistemas de TI (inclusive no uso de algoritmos, big data e inteligência artificial), práticas responsáveis de negócio, projeto físico e infraestrutura de rede • Podem ser aplicados a todos os tipos de informações pessoais, mas com maior força para dados confidenciais • A força das medidas de privacidade tendem a ser proporcionais à sensibilidade dos dados. Os 7 Princípios Fundamentais da Proteção de Dados PPDP – Módulo 02: Políticas de proteção de dados
  • 29. • Comprometimento por parte dos níveis mais altos da empresa • Compartilhar o comprometimento com a privacidade abertamente entre as comunidades de usuários e acionistas • Estabelecimento de métodos para reconhecer desenhos não tão bons com relação à privacidade, antecipar práticas não adequadas de privacidade e suas consequências 1: Proativo, não reativo; preventivo, não corretivo Os objetivos da privacidade desde a concepção ou by design são garantir a privacidade e controle sobre as informações pessoais; e para as organizações, garantir uma vantagem competitiva sustentável • Liderança e mudança cultural • Introdução de arquitetura corporativa Desafio e Implementação PPDP – Módulo 02: Políticas de proteção de dados
  • 30. 2: Privacidade como Configuração Padrão Nenhuma ação é necessária por parte da pessoa para proteger sua privacidade – a proteção está integrada ao sistema, por padrão. • Especificação do propósito • Limitação da coleta • Minimização dos dados • Limitação no uso, retenção e divulgação de informações pessoais PPDP – Módulo 02: Políticas de proteção de dados Desafio e Implementação Publicação de políticas especializadas como "privilégio de acesso mínimo", "necessidade de saber”, “menor confiança”.
  • 31. • Holística, pois contextos adicionais e mais amplos devem sempre ser considerados • Integrada, porque todas as partes interessadas precisam ser consultadas • Criativa, pois incorporar privacidade pode significar reiventar as suas escolhas 3: Privacidade Incorporada ao Desenho Proteção de Dados desde a concepção está incorporada ao projeto, à arquitetura de sistemas de TI e práticas de negócio. Mas não pendurada como um complemento, depois que alguma coisa acontece. Desafio e Implementação PPDP – Módulo 02: Políticas de proteção de dados (Trusted Platform Module): um chip microcontrolador que pode armazenar com segurança artefatos usados para autenticar uma plataforma. TPM CLASP (Comprehensive, Lightweight Application Security Process), uma metodologia de desenvolvimento seguro de software orientada a atividades e papéis. SAMM (Software Assurance Maturity Model), um framework aberto que auxilia as organizações a formular e implementar uma estratégia de segurança de software sob medida para os riscos específicos.
  • 32. • Evitar a pretensão de falsos conflitos como privacidade versus segurança, demonstrando que é possível usufruir dos benefícios de ambas. • Deve ser feito de uma forma que não comprometa a plena funcionalidade e que permita que todas as exigências sejam otimizadas tanto quanto possível. 4: Funcionalidade Total - Soma Positiva, Não Soma Zero A Proteção de Dados “by design” busca acomodar todos os interesses e objetivos legítimos de uma maneira positiva para todos. • Facilidade de acesso versus acesso seguro • Conveniência do usuário versus segurança • Simples para implementar versus simples para usar. Desafio e Implementação Os conflitos a serem resolvidos: PPDP – Módulo 02: Políticas de proteção de dados
  • 33. • A Proteção de Dados “by design” tendo sido incorporada ao sistema antes que o primeiro elemento da informação seja coletado, se estende com segurança durante todo o ciclo de vida dos dados envolvidos; • Garante que todos os dados sejam retidos com segurança e, depois, destruídos com segurança no final do processo, em tempo hábil. • Garantir a confidencialidade, integridade e a disponibilidade dos dados pessoais ao longo de todo o ciclo de vida, incluindo métodos seguros e fortes de destruição, criptografia e controle de acesso. 5: Segurança de Ponta a Ponta e Proteção Durante Todo o Ciclo de Vida dos Dados • DBSec – conferência anual internacional que cobre pesquisas abrangentes em segurança e privacidade de dados e de aplicações. • IAM (Gerenciamento de Gestão e Acesso) - framework desenvolvido para processo de negócios que garante maior controle para o registro e segurança de identidades digitais ou eletrônicas. Desafio e Implementação PPDP – Módulo 02: Políticas de proteção de dados
  • 34. • Componentes e operações permanecem visíveis e transparentes • Políticas e procedimentos relacionados à privacidade devem ser documentados e comunicados conforme for apropriado, e então, designados a um indivíduo específico • Ao transferir informações pessoais para terceiros, devem ser asseguradas medidas equivalentes de proteção à privacidade • Monitorar, avaliar e verificar a conformidade com as políticas e procedimentos de privacidade 6: Visibilidade e Transparência Assegurar a todas as partes interessadas que, seja qual for a prática ou tecnologia de negócio envolvida, ela está, de fato, operando de acordo com as promessas e objetivos declarados, sujeito a verificação independente. • Utilização de padrões abertos • Avaliação e validação externas como auditorias ISO/IEC 27001 • Publicação de políticas de segurança Desafio e Implementação PPDP – Módulo 02: Políticas de proteção de dados
  • 35. 7: Respeito à Privacidade do Usuário • Consentimento específico, dado livre e espontâneo para a coleta, uso e divulgação de seus dados pessoais, exceto em casos permitidos pela lei. • Quanto maior for a sensibilidade do dado, mais claro e específico deve ser o consentimento exigido • Acurácia ou precisão das informações pessoais • Os indivíduos precisam ter acesso a seus dados pessoais, e serem informados de seus usos e divulgações • Pedir e conseguir as correções • Mecanismo para reclamações e remediações sobre privacidade Exige que as empresas prezem ao máximo pelos interesses do indivíduo. Isso é feito por meio de medidas. Equilíbrio entre proteção dos dados da empresa e os direitos do titular de dados Desafio e Implementação PPDP – Módulo 02: Políticas de proteção de dados
  • 36. Framework de Governança Corporativa Visão e Missão Desenvolvimento dos Produtos/Serviços Desenvolvidos seguindo o que é preconizado pelos Sete Princípios da Proteção de Dados By Design Gestão da Privacidade Fonte: J.Kyriazolou PPDP – Módulo 02: Políticas de proteção de dados
  • 37. PDPP Módulo 3: Gerenciando e organizando a proteção de dados PDPP
  • 38. Data Protection Management System (DPMS) Objetivo: gerenciar os dados corporativos da melhor forma e mitigar os riscos mais usuais à proteção de dados e privacidade durante a coleta e processamento. • Riscos são causados por invasores mal-intencionados, sejam entidades ou pessoas internas, ou externas. • Os dados corporativos também estão em risco devido a empregados descuidados e negligentes. • Riscos de multas muito elevadas se não cumprirem os vários regulamentos de proteção de dados e privacidade em todo o mundo. Fundamental para a empresa projetar, desenvolver e implementar seus próprios sistemas integrados de gestão de proteção de dados e privacidade PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Introdução ao Sistema de Gestão de Proteção de Dados (SGPD)
  • 39. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Sistema de Gestão de Proteção de Dados (SGPD) Preparação Sistema de Gestão de Proteção de Dados Fase 2: Fase 3: Fase 4: Fase 5: Fase 1: Avaliação e Melhoria Governança Organização Desenvolvimento e Implementação
  • 40. Preparar a sua empresa ou organização para a privacidade. • Analisar os requisitos e as necessidades de proteção de dados e privacidade que impactam sua empresa • Buscar e reunir as leis, padrões e regulamentos relacionados à proteção de dados e privacidade • Estabelecer um plano de ação com os recursos necessários para que você prepare sua empresa para gerenciar dados pessoais, atividades, transações e operações Objetivos: Propósito: PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 1: Preparação da Proteção de Dados e Privacidade Sistema de Gestão de Proteção de Dados Fase 1:
  • 41. • Quem envia informações pessoais sensíveis para sua empresa • Como sua empresa ou organização recebe dados pessoais • Que tipo de dados pessoais você coleta em cada ponto de entrada • Onde você mantém os dados coletados em cada ponto de entrada • Quem tem, ou poderia ter acesso aos dados pessoais coletados Resultados da análise em um relatório, que você pode chamar de Relatório de Análise da Proteção de Dados e Privacidade. Lista do que deve ser analisado: PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 1: Preparação da Proteção de Dados e Privacidade Conduzir uma Análise de Privacidade Análise do cenário da sua empresa com relação à proteção de dados e privacidade, os estatutos, leis e regulamentos que afetam todas as funções do negócio envolvidas, e os países ou estados membros. ETAPA
  • 42. • Princípio 1: Processamento legal • Princípio 2: Especificação do objetivo • Princípio 3: Relevância dos dados • Princípio 4: Precisão dos dados • Princípio 5: Retenção limitada de dados • Princípio 6: Processamento justo • Princípio 7: Responsabilização • Princípio 8: Transferência de dados pessoais para o exterior Precisa revisar, estudar e compreender o GDPR dando maior atenção aos seguintes princípios: PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 1: Preparação da Proteção de Dados e Privacidade Coletar as Leis de Privacidade Recolher todas as regras, regulamentos e normas de proteção de dados e privacidade que afetam a sua empresa ou organização, em termos locais, nacionais e internacionais. ETAPA
  • 43. Registros de acordo com os procedimentos corporativos (Manual das Leis da Privacidade) PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 1: Preparação da Proteção de Dados e Privacidade Analisar o impacto da privacidade Revisão, estudo e compreensão do impacto de todas as regras, regulamentos e normas de proteção de dados e privacidade, coletadas na etapa anterior. ETAPA
  • 44. • Elaborar e publicar o seu Relatório de Auditoria de dados pessoais. • Identificar quaisquer riscos de proteção de dados e privacidade para indivíduos, riscos de conformidade e quaisquer outros. • Consultar os padrões da indústria e orientação produzida por órgãos de comércio, reguladores ou outras organizações que atuam no seu setor. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 1: Preparação da Proteção de Dados e Privacidade Realizar Auditorias e Avaliações de Dados Iniciais Execução de uma auditoria inicial de dados pessoais e uma avaliação de proteção de dados na sua empresa. ETAPA
  • 45. Designar os papéis de governança de dados e desenvolver as responsabilidades • DPO, para atribuir e manter a responsabilidade sobre a proteção de dados e privacidade • Gerente de segurança da informação • Gerentes e pessoal de TI, diretores de qualidade de dados, pessoal administrativo, Administrador de Dados, etc. Os papéis envolvidos na governança são: PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 1: Preparação da Proteção de Dados e Privacidade Estabelecer Organização de Governança de Dados Comitê de supervisão de governança de dados. O papel deste comitê é revisar os impactos e riscos potenciais e garantir medidas e controles apropriados para mitigar os problemas e riscos identificados. ETAPA
  • 46. • Conhecer os fluxos de dados dentro da organização vai te ajudar a implementar e monitorar a proteção de dados e a privacidade de uma forma muito mais efetiva. Com esse objetivo em mente, a organização vai desenvolver e implementar um sistema para documentar e manter gráficos e quadros sobre os fluxos de dados. A empresa precisa estabelecer um processo para garantir que o inventário de dados seja atualizado regularmente. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 1: Preparação da Proteção de Dados e Privacidade Estabelecer fluxos de dados e inventário de dados pessoais ETAPA Sistema de Fluxos de Dados: Inventário de Dados Pessoais: • O Escritório de Privacidade cria e mantém um inventário de dados pessoais que estão nos vários departamentos e sistemas de TI da empresa. E quais são as atividades para tratar esse inventário? • Localizar todos os tipos de dados (estruturados e não estruturados) e em qualquer meio. • Identificar quais empregados em todos os níveis da organização, tem a posse desses dados.
  • 47. • Análise dos aspectos de comunicação e treinamento necessários para o pessoal da empresa com relação à proteção de dados e privacidade; • A estratégia de proteção de dados e privacidade deve se basear na Avaliação do Risco à Proteção de Dados e deverá refletir a natureza da organização e sua missão, desenvolver visão para o programa de proteção de dados e privacidade; • Definir o escopo do programa, estabelecer o papel de DPO; • Detalhar as estratégias para atingir o que for prioritário para a empresa em termos de proteção e privacidade. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 1: Preparação da Proteção de Dados e Privacidade Estabelecer Programa de Proteção de Dados e Privacidade Implementam proteção de dados e privacidade por meio de um plano de treinamento, um programa e uma estratégia de proteção de dados e privacidade. ETAPA • A missão deve enfatizar o valor que a organização dá para a proteção de dados e a privacidade, além de identificar os principais objetivos do programa e detalhar as estratégias e controles de governança necessários.
  • 48. • Relatório deve ser aprovado o relatório para que os recursos e o pessoal sejam utilizados para desenho, desenvolvimento e operação do programa. • Sua empresa estará pronta para ir em frente e implementar planos de proteção de dados e privacidade para os dados pessoais que a sua empresa coleta, utiliza, processa e mantém. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 1: Preparação da Proteção de Dados e Privacidade Elaborar Planos de Implementação de Ações de Proteção de Dados e Privacidade Elaborar e submeter aos executivos um relatório contendo a análise e os resultados das ações das etapas anteriores de Preparação, um orçamento para financiar recursos, sistemas, ferramentas e outros, e um conjunto de planos de ação específicos para execução completa do processo de proteção de dados e privacidade. ETAPA
  • 49. ✓ Relatório da Análises de Proteção de Dados e Privacidade (Etapa 1) ✓ Manual de Leis de Privacidade (Etapas 2 e 3) ✓ Relatório de Auditoria de Dados Pessoais (Etapa 4) ✓ Sistema de Fluxo de Dados por Processo (Etapa 6) ✓ Inventário de Dados Pessoais (Etapa 6) ✓ Política de Proteção de Dados (Etapa 6) ✓ Plano de Treinamento em Privacidade (Etapa 7) ✓ Programa de Proteção de Dados & Privacidade (Etapa 7) ✓ Orçamento da estruturação da Gestão de Proteção de Dados (Etapas 1 a 8) ✓ Planos de Implementação de Ações de Proteção de Dados e Privacidade – Etapas 1 a 8) Produtos: PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 1: Preparação da Proteção de Dados e Privacidade
  • 50. Estabelecer as estruturas e mecanismos organizacionais responsáveis por atender às necessidades de privacidade de dados pessoais da empresa. Objetivos: Propósito PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 2: Organização da Proteção de Dados e Privacidade Sistema de Gestão de Proteção de Dados Fase 2: • Desenhar e estabelecer o programa de proteção de dados e privacidade; • Designar um DPO • Engajar e comprometer todas as partes envolvidas com a proteção de dados e privacidade
  • 51. • A política de privacidade deve estar baseada em requisitos legais, regulamentares, de negócio e dos titulares de dados. Ela contém orientações abrangentes para a empresa alcançar a conformidade com as leis, regulamentos e contratos relevantes. • Criar e implementar procedimentos de atualização da política e do programa para lidar com as mudanças nas leis ou regulamentos de privacidade, ou mudanças nos próprios processos de negócio. • Também se apoia na declaração de missão que enfatiza a importância que a empresa dá para a proteção de dados e privacidade. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 2: Organização da Proteção de Dados e Privacidade Manter o Programa de Privacidade de Dados, Política e Controles de Governança Definir e implementar o “como manter” o programa, as políticas e os controles de Governança de Privacidade de Dados. ETAPA
  • 52. • Empresas e organizações precisam atribuir as responsabilidades pelos aspectos operacionais de um dado programa de proteção e privacidade para um indivíduo. • As tarefas, papéis e responsabilidades do DPO finalmente nomeado precisam ser desenhadas. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 2: Organização da Proteção de Dados e Privacidade Designar e Manter as Responsabilidades de Proteção de Dados e Privacidade Definindo e mantendo a matriz de responsabilidades pela Proteção de Dados e Privacidade, utilizando o conhecido recurso da matriz RACI. ETAPA • Você deve se certificar que esse DPO precisa conseguir desempenhar suas funções de forma eficaz.
  • 53. • Patrocínio de todas as questões relacionadas à proteção de dados e privacidade • Comunicação da importância da proteção de dados e privacidade • Participação das iniciativas de proteção de dados e privacidade • Garantia de financiamento adequado para apoiar a função de proteção de dados e privacidade O suporte desejado da alta administração e nível sênior de gestão pode incluir: PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 2: Organização da Proteção de Dados e Privacidade Manter o Envolvimento da Alta Administração na Proteção de Dados e Privacidade Definir e implementar, ou seja, o “como manter” o envolvimento dos níveis táticos e estratégicos da organização, executivos e Gerência Sênior, na Proteção de Dados e Privacidade. ETAPA
  • 54. • Gerenciar, continuamente, a proteção de dados e privacidade requer a contribuição e participação de muitos membros da organização, de diferentes departamentos ou grupos funcionais de negócio. • Os indivíduos responsáveis precisam ter seus papéis e responsabilidades claramente definidos, que podem aparecer na descrição de cargo ou outros documentos como o contrato de trabalho. • Cada membro da equipe, seja gerente ou empregado, deve reconhecer e concordar em aderir às políticas de proteção de dados e privacidade. Este reconhecimento, compromisso e acordo compõem um documento separado, de papel ou eletrônico, ou pode fazer parte de um documento já existente. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 2: Organização da Proteção de Dados e Privacidade Manter Comprometimento com a Proteção de Dados e Privacidade Estabelecer e manter a continuidade do compromisso de todos os níveis hierárquicos da organização com a Proteção de Dados e Privacidade. ETAPA
  • 55. • Saber mais sobre a utilização de dados pessoais no contexto da empresa • Auxiliar de forma proativa na construção da proteção de dados e privacidade em todos os sistemas, serviços, produtos e projetos em andamento • Compreender as diferentes perspectivas da proteção de dados e privacidade em toda a empresa • Capacitar, facilitar e apoiar as pessoas a cumprir seus objetivos e metas na implementação da proteção de dados e privacidade • Integrar a mentalidade de proteção de dados e privacidade em toda a empresa Comunicação está relacionada com: PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 2: Organização da Proteção de Dados e Privacidade Manter Comunicação Regular para Questões de Proteção de Dados e Privacidade Estabelecer e manter um plano de comunicação corporativa regular, constante, para direcionamentos, questões e problemas de Proteção de Dados e Privacidade. ETAPA
  • 56. • Conduzir comunicações informais ou ad hoc com indivíduos cujas responsabilidades podem não incluir proteção de dados e privacidade • Participar de vários comitês corporativos para funções de negócios ou unidades cujas atividades podem ter impacto na proteção de dados e privacidade • Conduzir discussões formais, por exemplo em reuniões mensais, entre parceiros fora da organização PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 2: Organização da Proteção de Dados e Privacidade Manter o Envolvimento das Partes Interessadas nas Questões de Proteção de Dados e Privacidade Estabelecer e manter processos e procedimentos que garantam o envolvimento das partes interessadas, os stakeholders, nas questões de Proteção de Dados e Privacidade. ETAPA
  • 57. • Verificação de arquivos originais e de backup por meio de algoritmos de hash • Criptografia de dados em trânsito e estáticos • Gerenciamento da conformidade de dados centralizada • Relatórios de sucessos e falhas de backup • Gerenciamento de todos os aspectos do processo de Regras Corporativas Vinculantes (BCR) • Medição e relato sobre conformidade com as leis nacionais A proteção de dados corporativos é uma das prioridades mais críticas que as organizações enfrentam hoje. Com tantas ameaças potenciais e pontos de entrada, as soluções de proteção de dados devem considerar uma abordagem abrangente. Um sistema computadorizado garante a integridade dos dados por vários métodos: PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 2: Organização da Proteção de Dados e Privacidade Implementar e Operar o Sistema Informatizado de Proteção de Dados e Privacidade Implementar e operar sistemas para permitir a sustentação da Proteção de Dados e Privacidade corporativa. ETAPA
  • 58. Resultados: ✓ Estratégia de Proteção de Dados e Privacidade atualizada – Etapa 1 ✓ Programa de Proteção de Dados e Privacidade atualizado – Etapa 1 ✓ Controles de Governança de Dados atualizados – Etapa 1 ✓ Nomeação do DPO – Etapa 2 ✓ Plano de Comunicação – Etapas 3, 4, 5 e 6 ✓ Rede corporativa de proteção de Dados e Privacidade – Etapa 4 ✓ Papel de Proteção de Dados e Privacidade incluído nas descrições de cargo – Etapa 4 ✓ Plano atualizado de conscientização, comunicação e treinamento em privacidade – Etapa 5. ✓ Sistema Informatizado de Proteção de Dados e Privacidade – Etapa 7. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 2: Organização da Proteção de Dados e Privacidade
  • 59. Desenvolver e implementar medidas e controles específicos de proteção de dados e privacidade para a sua empresa ou organização. Objetivos: Propósito PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Sistema de Gestão de Proteção de Dados • Projetar um sistema de classificação de dados • Desenvolver e implementar todas as políticas, procedimentos e controles necessários para cumprir as leis e requisitos de proteção de dados e privacidade Fase 3: Desenvolvimento e Implementação da Proteção de Dados e Privacidade Fase 3:
  • 60. • Analisar e definir as necessidades e requisitos da sua empresa • Selecionar as estratégias, planos, políticas e controles que você vai implementar • Designar as responsabilidades para esta implementação Estratégias, planos e políticas: Sistema de Classificação de Dados: • Desenvolver um sistema que permite que a sua empresa diminua o escopo do que precisa ser protegido e como. • Criar procedimentos para implementar o esquema de classificação de dados da organização, juntamente com os detalhes de propriedade, requisitos de retenção e uso adequado, e requisitos de proteção, com base no nível de classificação e requisitos legais. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 3: Desenvolvimento e Implementação da Proteção de Dados e Privacidade Desenvolver e Implementar Estratégias, Planos e Políticas de Proteção de Dados e Privacidade ETAPA
  • 61. • Aprovação dos órgãos reguladores antes da coleta e do processamento de dados pessoais. • Coleta e processamento em grandes volumes como Big Data. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 3: Desenvolvimento e Implementação da Proteção de Dados e Privacidade Implementar procedimento de Aprovação para Processamento de Dados Pessoais Desenvolver procedimentos para determinar as situações em que a aprovação é necessária, para consultar o regulador nacional ou Europeu, se não estiver muito claro se a aprovação é requerida ou não, e para documentar todo o processo. ETAPA
  • 62. • Notificar os órgãos reguladores de proteção de dados e privacidade, Europeu ou nacionais, sobre essas bases que contêm dados pessoais e sobre a intenção de processamento e registro desses dados. • A empresa precisa desenvolver procedimentos para determinar quando ela deve registrar as suas bases de dados, qual informação deve ser incluída nesses registros, como fazer o registro e documentar todo o processo. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 3: Desenvolvimento e Implementação da Proteção de Dados e Privacidade Bases de Dados de Registro de Dados Pessoais Na fase de desenvolvimento e implementação, você precisa de bases de dados para registro dos dados pessoais. ETAPA
  • 63. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados • Documentação relacionada a todos os fluxos transfronteiriços, rastreamento do seu uso e conformidade com os mecanismos de transferência • Governos e órgãos reguladores criam modelos de cláusulas para facilitar as transferências de dados pessoais • Quando não existirem mecanismos de transferência, nem BCRs, nem modelos de contrato disponíveis, a empresa pode buscar a aprovação do regulador de proteção de dados e privacidade para legitimar a transferência dos dados ETAPA Desenvolver e Implementar um Sistema de Transferência de Dados Transfronteiriço Desenvolver e implementar um sistema para manter o registro dos mecanismos de transferência usados nos fluxos de dados entre fronteiras. Fase 3: Desenvolvimento e Implementação da Proteção de Dados e Privacidade
  • 64. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados • Retenção de dados corporativos • Contratação de pessoal corporativo • Acesso ao website • Marketing digital • Mídias sociais • Dispositivos móveis e smartphones • Saúde e segurança • Desenvolvimento de serviços e produtos ETAPA Executar Atividades de Integração de Proteção de Dados e Privacidade Incluir a proteção de dados e privacidade em todas as suas operações pela execução de um conjunto específico de atividades integradas que incorporam essa proteção de dados. Fase 3: Desenvolvimento e Implementação da Proteção de Dados e Privacidade
  • 65. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados • Realizar treinamento contínuo de privacidade de dados para o Privacy Office • Realizar treinamento básico de privacidade para a equipe • Realizar treinamento adicional de privacidade para novas necessidades • Incluir treinamento de privacidade em outros treinamentos corporativos • Manter a conscientização sobre privacidade ETAPA Executar o Plano de Treinamento Proteção de Dados e Privacidade Organizações treinam o seu pessoal para melhor implementar a proteção de dados e privacidade em todos os seus programas, sistemas, projetos e funções. • Manter a certificação profissional de privacidade de dados para o pessoal de privacidade • Avaliar a conscientização sobre a privacidade de dados e as atividades de treinamento Fase 3: Desenvolvimento e Implementação da Proteção de Dados e Privacidade
  • 66. • Incluir privacidade de dados na Política de Segurança Corporativa e na Política de Segurança da Informação • Incluir privacidade de dados na Política de Uso Aceitável. • Incluir privacidade de dados nas atividades de avaliação de risco de segurança • Implementar controles técnicos de segurança de TI • Implementar controles de segurança para Recursos Humanos • Incluir privacidade de dados no planejamento de continuidade de negócio • Desenvolver e implementar uma estratégia de prevenção contra perda de dados • Realizar testes regulares de segurança de dados • Manter a certificação de segurança Isso é feito de forma eficaz por meio de um plano de segurança de dados: ETAPA Implementar Controles de Segurança de Dados As empresas implementam um conjunto de controles de segurança de dados para proteger de forma melhor os dados pessoais mantidos nos sistemas de TI e bancos de dados. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 3: Desenvolvimento e Implementação da Proteção de Dados e Privacidade
  • 67. ✓ Sistema de classificação de dados pessoais – Etapa 1 ✓ Procedimento para aprovação do processamento de dados pessoais - Etapa 2 ✓ Documento de registro de bases de dados pessoais Etapa 3 ✓ Sistema de transferência de dados transfronteiriço – Etapa 4 ✓ Operações e Proteção e Privacidade de Dados integradas – Etapa 5 ✓ Atividades de treinamento em Proteção e Privacidade de Dados executadas – Etapa 6 ✓ Controles de segurança de dados implementados – Etapa 7 PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Resultados: Fase 3: Desenvolvimento e Implementação da Proteção de Dados e Privacidade
  • 68. Estabelecer mecanismos de governança de privacidade para sua empresa ou organização. Objetivos: Propósito PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Sistema de Gestão de Proteção de Dados • Os objetivos mais específicos incluem projetar e configurar as estruturas de governança como programa de proteção de dados e privacidade. Essas estruturas contam com o próprio DPO e muitas vezes um comitê de proteção de dados e privacidade. Fase 4: Governança de Proteção de Dados e Privacidade Fase 4: PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
  • 69. Tomada de Decisão Automatizada: • As empresas e organizações devem ter mecanismos, ou seja, práticas, políticas e procedimentos, para avaliar a importância de qualquer decisão automatizada que elas tomarem • Permitir ações para inclusão de um processo de revisão manual dessas decisões significativas • DPO é quem garante que essas práticas sejam implementadas integralmente para evitar os riscos potenciais • Garantir que sua empresa mantenha e práticas que incluem políticas e procedimentos para coleta e uso de dados pessoais sensíveis • O DPO precisa assegurar que essas práticas sejam implementadas de forma completa Dados Sensíveis: Usos Secundários dos Dados Pessoais são usos com os quais a organização vai além do propósito primário ETAPA Implementar Práticas de Governança para o Gerenciamento do Uso dos Dados Pessoais PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 4: Governança de Proteção de Dados e Privacidade
  • 70. Você deve considerar os seguintes aspectos: • O indivíduo em questão precisa ter a oportunidade de revisar o aviso de privacidade de dados da empresa ou receber informações sobre as práticas de privacidade de dados da organização antes de fornecer dados pessoais (aviso "just in time"); • A organização precisa fornecer ao público informações simplificadas relacionadas às suas políticas e práticas de privacidade • Disponibilizar avisos sobre os pedidos de serviço, recibos e contas, contratos e termos de serviço. • Fornecer instruções para empregados da linha de frente, para que eles deem as explicações básicas sobre as políticas e práticas de privacidade da organização • Garantir que os selos de privacidade ou marcas de confiança, como são chamados, sejam exibidos no site ETAPA Manter Avisos sobre Privacidades de Dados Manter avisos ou comunicações para os indivíduos que sejam consistentes com a política de privacidade dos dados com os requisitos legais e dentro da tolerância do risco operacional. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 4: Governança de Proteção de Dados e Privacidade
  • 71. • Acesso a dados pessoais e para reclamações • Retificação, portabilidade, objeção de dados e eliminação de dados pessoais • Informação sobre tratamento de dados pessoais A empresa deve executar as atividades relacionadas ao tratamento de reclamações, ao gerenciamento de solicitações para acesso e atualização das informações, feitas pelos titulares de dados. Este plano deve incluir procedimentos para: ETAPA Executar um Plano de Requisições, Reclamações e Retificações Fase 4: Governança de Proteção de Dados e Privacidade PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
  • 72. • Essa avaliação de risco é um pré-requisito para um Programa Organizacional de Proteção de Dados e Privacidade • Permite que o DPO identifique e priorize as lacunas, ou seja, os gaps na privacidade e na segurança, por toda a organização, além de gerenciar a mitigação do risco e conformidade. Além disso, permite aumentar a reputação da marca e a confiança do cliente. • O DPO também deve garantir que os riscos das partes terceiras também sejam gerenciados. • Essas funções de risco também precisam considerar os riscos da privacidade que podem aparecer durante essa análise (Avaliação de Risco da Privacidade e Negócio) ETAPA Executar uma Avaliação de Risco de Proteção de Dados O DPO deve ter um procedimento para condução de uma avaliação de risco sobre a proteção de dados, de amplitude organizacional, envolvendo as unidades de negócios. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 4: Governança de Proteção de Dados e Privacidade
  • 73. Emitir um relatório, que foi gerado internamente como resultado de auditorias, por exemplo, para partes interessadas externas O status do programa de proteção de dados e privacidade deve ser comunicado internamente. Essas comunicações visam: • alinhar a função de proteção de dados e privacidade com os objetivos da empresa • como a privacidade oferece suporte aos resultados financeiros • status de conformidade com os requisitos legais e regulamentares ETAPA Emitir Relatório de Proteção de Dados e Privacidade Emitir um relatório para as partes interessadas internas sobre o status da gestão da proteção de dados e privacidade. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 4: Governança de Proteção de Dados e Privacidade
  • 74. • Esta documentação deve estar disponível para demonstrar aos reguladores e autoridades como a empresa está em conformidade com as leis de proteção de dados e privacidade, e como é responsável pelo funcionamento do programa • A documentação também serve como evidência para obter "marcas de confianças", selos, BCRs, certificações e participação em outros programas de autorregulação. ETAPA Manter Documentação sobre Privacidade de Dados Desenvolver, implementar e manter a documentação atualizada com o status do programa de proteção de dados e privacidade da organização. Fase 4: Governança de Proteção de Dados e Privacidade PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
  • 75. As funções deste plano de resposta a violação ou a incidente de privacidade de dados precisam incluir: • Procedimentos de notificação da infração às pessoas afetadas • Relatar todos os incidentes ou violações de privacidade de dados aos reguladores, agências de crédito, autoridades responsáveis pela aplicação da lei e outros • Manter registros de certos detalhes dos incidentes ou violações • Garantir que as notificações e relatórios de violação estejam alinhados com os requisitos e melhores práticas. • Monitorar, documentar e reportar métricas de incidentes e violações de privacidade • Realizar testes periódicos do plano de resposta a incidentes • Contratar serviços de um provedor de remediação de resposta à violação de privacidade • Obter cobertura adequada de seguro para os custos associados com uma violação ETAPA Estabelecer e Manter um Plano de Resposta a Violações de Privacidade Projetar, desenvolver, implementar e manter um plano de resposta a incidente de segurança de dados ou a violações de privacidade de dados que seja coerente, sistemático e proativo PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 4: Governança de Proteção de Dados e Privacidade
  • 76. Resultados: ✓ Estratégia de proteção de dados e privacidade atualizada - Etapa 1 ✓ Política de proteção de dados - Etapa 1 ✓ Procedimento para manter avisos de privacidade de dados - Etapa 2 ✓ Requisições, Reclamações e Plano de Retificação - Etapa 3 ✓ Processo de avaliação de risco de proteção de dados - Etapa 4 ✓ Plano de gerenciamento de riscos de terceiros - Etapa 4 ✓ Relatório de proteção de dados e privacidade - Etapa 5 ✓ Documentação de privacidade de dados - Etapa 6 ✓ Plano de resposta a incidentes ou violação de privacidade de dados – Etapa 7 PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 4: Governança de Proteção de Dados e Privacidade
  • 77. Fase 5: Avaliação e Melhoria da Proteção de Dados e Privacidade PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Revisar e aperfeiçoar todos os aspectos específicos de proteção de dados e privacidade do seu ambiente corporativo. Objetivos: Propósito Sistema de Gestão de Proteção de Dados • Avaliar regularmente se a sua empresa ou organização segue as políticas e os processos operacionais internos de proteção de dados e privacidade • Melhorar as medições e controles com base em auditorias e revisões internas e externas. Fase 5: • Monitorar a operação e resolução de todas as questões relacionadas à privacidade
  • 78. • Os resultados dessas auditorias e avaliações de privacidade informam e orientam as decisões Privacy Office • O escopo desta atividade de auditoria de privacidade abrange o papel do escritório de privacidade na participação em auditorias de privacidade, na resposta às descobertas e na realização de auditorias em todos os dados pessoais ETAPA Realizar Auditorias Internas de Proteção de Dados e Privacidade Avaliar regularmente se a organização cumpre com as políticas internas e processos operacionais de proteção de dados e privacidade, para informar e orientar o Privacy Office. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 5: Avaliação e Melhoria da Proteção de Dados e Privacidade
  • 79. Da mesma forma que as auditorias internas, os resultados dessas avaliações informam, habilitam e orientam decisões do escritório de proteção de dados e privacidade na criação ou atualização de políticas de privacidade, no desenho ou adaptação de procedimentos de proteção de dados e privacidade, na condução de treinamentos de privacidade, ou no engajamento de outras atividades ETAPA Envolver uma Parte Externa para Avaliações de Proteção de Dados e Privacidade Solicitar uma avaliação de um provedor de serviço externo para validar a conformidade com as políticas de privacidade internas e requisitos legais aplicáveis. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 5: Avaliação e Melhoria da Proteção de Dados e Privacidade
  • 80. Avaliações ad-hoc de privacidade: Benchmarks: Processo de avaliação da empresa em relação a outras empresas, por meio do qual é possível incorporar os melhores desempenhos de outras firmas e ou aperfeiçoar os seus próprios métodos. Autoavaliações de privacidade: pode ser executado pelo escritório de privacidade ou pela própria unidade de negócio. • Avaliações de conformidade da unidade de negócio com as políticas de privacidade periódicas ou sem aviso • Depois de um evento de privacidade • Unidade de negócio, produto, serviço, sistema ou processo • Identificar os gaps, as lacunas, que devem serem remediadas ETAPA Realizar Avaliações e “Benchmarks” (Comparações) Fase 5: Avaliação e Melhoria da Proteção de Dados e Privacidade PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
  • 81. • Determinar quando as Avaliações de Impacto de Privacidade (AIP) ou Avaliações de Impacto de Proteção de Dados (AIPD) são necessárias. • Ter políticas e procedimentos a seguir quando as unidades operacionais propõem mudanças nos programas, sistemas ou processos já existentes, para garantir que os riscos de proteção de dados e privacidade sejam medidos, analisados e que, sejam consideradas alternativas que protejam a privacidade. Este processo depende dos Princípios da Privacidade by-Design • Recomenda-se que as organizações mantenham orientações e templates detalhando como conduzir Avaliações de Impacto de Privacidade (AIP) ou Avaliações de Impacto de Proteção de Dados (AIPD) ETAPA Executar Avaliações de Impacto de Proteção de Dados PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 5: Avaliação e Melhoria da Proteção de Dados e Privacidade
  • 82. Etapa 5: • Implementar um procedimento para avaliar os problemas identificados nas avaliações • Levantar possíveis proteções ou processos alternativos para mitigar os riscos identificados • Monitorar como as ações de mitigação de risco são implementadas. As empresas e organizações precisam: ETAPA Resolver Riscos de Proteção de Dados e Privacidade PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 5: Avaliação e Melhoria da Proteção de Dados e Privacidade
  • 83. • Existem razões para isso, que incluem casos onde existem riscos de privacidade que não podem ser mitigados por meios razoáveis pela empresa, ou podem levar mais tempo, e outras. • Relatórios são emitidos para o regulador ou partes interessadas relevantes para que esses grupos fiquem informados dos riscos associados à privacidade de dados antes do lançamento de um novo produto, programa, sistema, processo, transferência de dados pessoais para outra jurisdição etc. ETAPA Relatar a Análise de Riscos de Proteção de Dados e Privacidade Os resultados das análises de risco devem ser reportados para os reguladores, quando requeridos, e para as partes interessadas, os stakeholders clientes, empregados, advogados, conforme apropriado. Fase 5: Avaliação e Melhoria da Proteção de Dados e Privacidade PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
  • 84. Uma vez ciente de uma nova proposta de norma, lei ou regulamento de proteção de dados ou privacidade, é necessário: • Acompanhar o seguimento e os relatórios para as partes interessadas apropriadas sobre o impacto • Buscar a opinião do consultor jurídico da organização (interno ou externo) sobre o impacto que essas novas mudanças terão no programa de privacidade da empresa ou nas atividades de negócio • Manter o controle de como os novos desenvolvimentos nestas leis e regulamentos têm sido tratados • Documentar as decisões quando não ficar implementando qualquer mudança, e a justificativa por trás dessas decisões. ETAPA Monitorar as Leis e Regulamentos de Proteção de Dados Monitorar todas as normas, leis e regulamentações relacionadas a proteção de dados e privacidade. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 5: Avaliação e Melhoria da Proteção de Dados e Privacidade
  • 85. ✓ Relatório de Auditoria Interna sobre Proteção de Dados e Privacidade – Etapa 1 ✓ Relatório de auditoria externa sobre Proteção de Dados e Privacidade – Etapa 2 ✓ Relatório de Avaliação de Privacidade ad-hoc – Etapa 3 ✓ Relatório de Autoavaliação de Privacidade – Etapa 3 ✓ Relatório de Benchmark (comparação) de Privacidade – Etapa 3 ✓ Relatório de Avaliação de Impacto sobre a Proteção de Dados – AIPD – Etapa 4 ✓ Relatório de Riscos Resolvidos para Proteção de Dados e Privacidade – Etapa 5 ✓ Relatório de Análise de Risco e Resultados de Proteção de Dados e Privacidade – Etapa 6 ✓ Relatório de Monitoramento das Leis de Privacidade – Etapa 7 PDPP – Módulo 03: Gerenciando e organizando a proteção de dados Fase 5: Avaliação e Melhoria da Proteção de Dados e Privacidade Resultados:
  • 86. Preparação Sistema de Gestão de Proteção de Dados Fase 2: Fase 3: Fase 4: Fase 5: Fase 1: Avaliação e Melhoria Governança Organização Desenvolvimento e Implementação