Este documento discute as leis de privacidade GDPR e LGPD e fornece uma lista de verificação de 14 itens para avaliar o nível de conformidade de plugins com essas leis. Ele também discute as principais diferenças entre GDPR e LGPD e enfatiza a importância de consultar especialistas em privacidade e segurança da informação.
Vinícius Lourenço apresenta WordPress como carro-chefe do seu negócio: desafi...
Amilton Justino apresenta GDPR/LGPD - A Solução está nos Plugins?
1. GDPR / LGPD
A Solução está nos Plugins?
amilton.justino@protonmail.com
2. ● 1993 Desenvolvedor C, Dbase
● 1995 Sysadmin
● 1998-2000 Certificado Conectiva Linux
● 2000 Sysadmin
● 2005 Sócio Fundador da Insight Solution Team
● 2010 início na atuação profissional em SegInfo
● 2014 Hacker ético Profissional
● 2016 Advanced Pentest Security Professional
● 2016 IPv6 (nic.br)
● 2017 Mikrotik Certified Network Advanced
● 2018 Mikrotik Certified IPv6 Engineer
● 2018 MikroTik Certified Traffic Control Engineer
● 2018 Web Hacking (OWASP) - Hacker 2 Hacker Conference
Who am I
3. GDPR X LGPD
GDPR: Já está em vigor, aplicável em qualquer país caso manipule dados
pessoais de cidadãos europeus. Multa de 4% faturamento anual ou 20 milhões de
euros (o que for maior).
LGPD: Entra em vigor em agosto 2020, aplicável em qualquer país caso manipule
dados pessoais de cidadãos brasileiros. Multa de 2% faturamento anual ou 50
milhões de reais (o que for maior).
Objetivo: Regular o tratamento, coleta, processamento, armazenamento,
eliminação e outros usos de dados pessoais.
4. Dados pessoais: Conjunto de informações distintas que podem levar à
identificação de uma determinada pessoa. (nome, end, ip, cookie, documento…)
Dados Sensíveis: Conjunto de informações de cunho íntimo ligadas a uma
pessoa viva: origem racial ou étnica, opiniões políticas, convicções
religiosas/filosóficas, filiação sindical, dados genéticos, biométricos ou clínicos.
Titular: Pessoa natural a quem se referem os dados pessoais;
Controlador: Pessoa ou empresa que toma decisões sobre o tratamento de
dados pessoais;
Operador: Pessoa ou empresa que trata dados pessoais em nome do
controlador;
5. Conforme 0 | 1 Não Conforme
“As organizações com 250 funcionários ou mais, que realizam processamento de
dados de alto risco são obrigadas a manter uma lista (avaliação de impacto de
proteção de dados) atualizada e detalhada de suas atividades de processamento
disponível para análise dos reguladores quando solicitadas.
Organizações com menos de 250 funcionários também devem conduzir uma
avaliação porque facilitará o cumprimento dos outros requisitos da GDPR:
Propósitos do processamento, tipo de dados processados, quem tem acesso em
sua organização, terceiros que têm acesso (e onde eles estão localizados),
medidas tomadas para proteção dos dados (por ex.: criptografia) e quando você
planeja apagá-los (se possível).”
6. Conforme 1 | 1 Não Conforme
“Tenha uma justificativa legal para suas atividades de processamento de dados
ou consentimento para fazê-lo.
O processamento de dados é ilegal segundo a GDPR, a menos que você obtenha
consentimento como sua base legal. Será necessário dar aos titulares a
oportunidade contínua de revogar o consentimento, entre outras obrigações.
Se "interesses legítimos" são sua base legal, você deverá ser capaz de
demonstrar que conduziu uma avaliação de impacto sobre a privacidade.”
7. Conforme 2 | 1 Não Conforme
“Forneça informações claras sobre seu processamento de dados e justificativa
legal em sua política de privacidade.”
8. Conforme 2 | 2 Não Conforme
“Seguir os princípios de proteção de dados por design e por padrão".
Medidas técnicas incluem, por exemplo, a criptografia e medidas organizacionais
a limitação da quantidade de dados pessoais que você coleta ou a exclusão de
dados desnecessários.
*** O consentimento precisa se antecipar ao envio dos dados e não permitir o
envio sem o aceite.
*** TESTE AO VIVO ***
https://hackerspace.floripa.br/
9. Conforme 3 | 2 Não Conforme
“Criptografar, usar pseudônimo ou anonimizar dados pessoais sempre que possível.”
??? 179.216.170.107
10. Conforme 3 | 3 Não Conforme
“Crie uma política de segurança interna para os membros da sua equipe e crie
conscientização sobre a proteção de dados.”
“Membros de sua equipe deverão estar bem informados sobre segurança de
dados,m inclusive sobre segurança de e-mail, senhas, autenticação de dois
fatores, criptografia de dispositivos e VPNs.”
“Os funcionários que têm acesso a dados pessoais e funcionários não técnicos
devem receber treinamento adicional nos requisitos da GDPR.”
***A lei brasileira trata a implementação de programa de governança e
privacidade como facultativa para controladores de dados.
11. Conforme 3 | 4 Não Conforme
“Uma avaliação de impacto de dados (data impact assessment) irá ajudá-lo a
entender como o seu produto ou serviço pode colocar em risco os dados de seus
clientes e como minimizar esses riscos.
A GDPR exige que as organizações realizem esse tipo de análise, sempre que
planejarem usar dados das pessoas, de tal maneira que "possam resultar em um
alto risco para (seus) direitos e liberdades". “
***A lei brasileira não deixou claro em quais situações o controlador será obrigado
a realizar um relatório de impacto de dados pessoais.
12. Conforme 3 | 5 Não Conforme
“Se houver uma violação de dados e os dados pessoais forem expostos, você
deverá notificar a autoridade supervisora em sua jurisdição, em até 72 horas.”
Segundo a LGPD, em “prazo razoável”.
Você também é obrigado a comunicar rapidamente violações de dados aos seus
sujeitos de dados, a menos que a violação não os coloque em risco, por exemplo,
se os dados acessados estiverem criptografados.”
A DPA solicitará um relatório sobre o vazamento ocorrido e um
Plano de Resposta a Incidentes. (Data Breach Response Plan)
13. Conforme 3 | 6 Não Conforme
“Outra parte da "proteção de dados por design e por padrão" é garantir que
alguém em sua organização seja responsável pela conformidade com o GDPR.
Essa pessoa deve ter autonomia para avaliar as políticas de proteção de dados e
a implementação dessas políticas.”
14. Conforme 3 | 7 Não Conforme
“Assine contratos de processamento de dados entre sua organização e terceiros
que processam dados pessoais em seu nome.
“Incluindo software de análise, serviços de email, servidores em nuvem etc. A
grande maioria dos serviços possui um contrato padrão de processamento de
dados disponível em seus sites para você revisar.”
*** Embora a lei brasileira estabeleça que o operador deverá realizar o tratamento
de dados conforme a instrução do controlador, não há exigência de formalização
por meio de contrato.
15. Conforme 3 | 8 Não Conforme
“Se a sua organização estiver fora da UE, nomeie um representante dentro de um
dos estados membros da UE.”
*** A regulamentação brasileira prevê que a empresa estrangeira será notificada e
intimada de todos os atos processuais na pessoa do agente, representante ou
pessoa responsável por sua filial, agência, estabelecimento ou escritório instalado
no Brasil.
16. Conforme 3 | 9 Não Conforme
“Obrigatoriedade do DPO (Data Protection Officer):
1. No tratamento de dados pessoais em órgãos públicos (algumas isenções);
2. Monitoramento regular de dados em larga escala (big data);
3. Monitoramento de dados sensíveis em larga escala (big data);
O DPO deve ser um especialista em proteção de dados cujo trabalho é monitorar
a conformidade e cooperar com os reguladores.”
*** Lembre-se: “A raposa não pode estar com a chave do galinheiro.”
17. Conforme 4 | 9 Não Conforme
“É fácil para o titular solicitar e receber todas
as informações que você tem sobre eles.”
18. Conforme 4 | 10 Não Conforme
“É fácil para o titular corrigir ou atualizar
informações imprecisas ou incompletas.”
*** Somente usuário registrado pode editar;
*** Um visitante que colocar os dados no
comentário ou enviar pelo formulário, não
consegue editar os dados novamente.
19. Conforme 5 | 10 Não Conforme
“É fácil para o titular solicitar que seus dados pessoais sejam excluídos.”
20. Conforme 5 | 11 Não Conforme
“O titular pode solicitar a restrição ou interrupção do processamento dos seus
dados, se forem aplicados certos fundamentos, principalmente se houver alguma
disputa sobre a legalidade do processamento ou a exatidão dos dados. Prazo de
cerca de um mês após o pedido.”
*** Enquanto o processamento é restrito, você ainda pode continuar
armazenando seus dados.
*** Você deve notificar o titular dos dados antes de começar a processá-los
novamente.
21. Conforme 6 | 11 Não Conforme
“É fácil para o titular receber uma cópia de
seus dados pessoais em um formato que
pode ser facilmente transferido para outra
empresa.”
22. Conforme 6 | 12 Não Conforme
“É fácil para o titular se opor ao processamento dos dados.”
*** Nos testes, todos os plugins testados coletaram e armazenaram cookies,
mesmo não tendo aceitado os termos na abertura.
23. Conforme 6 | 13 Não Conforme
“Alguns tipos de organizações usam processos automatizados para ajudá-los a
tomar decisões sobre pessoas que têm efeitos legais ou "similarmente
significativos".
Você precisará criar um procedimento para garantir que esteja protegendo seus
direitos, liberdades e interesses legítimos.
Você precisa facilitar as pessoas a solicitar intervenção humana, ponderar e
discordar sobre decisões automatizadas.”
24. Conforme 6 | 14 Não Conforme
A lei europeia aceita o consentimento dado por menores, desde que eles tenham
pelo menos 16 anos. Abaixo disso, é obrigatório o consentimento do responsável
legal.
Perante a lei brasileira, é obrigatório o consentimento dos responsáveis legais
para o tratamento de dados pessoais para todos os menores de 18 anos, nos
termos da definição trazida pelo ECA (Estatuto da Criança e do Adolescente).
*** Não faço idéia de como conseguir garantir a idade de quem está clicando em
“aceito”.
25. Conforme 6 | 14 Não Conforme
*** Não dispense a consultoria de um profissional de Segurança da Informação e
de um advogado especializado em privacidade porque é tudo muito novo.
Ainda vamos “derrapar” em muitas curvas. Negócios desaparecerão...
26. Perguntas na outra sala. OBRIGADO !!!!
Fonte: https://gdpr.eu/checklist/
Plugins em ordem de maior compliance: GDPR, WP GDPR Compliance, Cookie Notice e
GDPR Cookie Consent
Diferenças GDPR/LGPD: https://www.drz.global/blog/diferencas-entre-a-gdpr-e-a-lgpd
@amilton_justino
amilton.justino@protonmail.com
@raelxp
raelxp@gmail.com