Embed Size (px)
Citation preview
A protecção de dados pessoais nas organizações: o futuro hoje.
Fórum dos Auditores – IPAI Lisboa, 22 de Janeiro de 2015
Tiago Félix da Costa
Este documento constitui documento de suporte a uma apresentação do seu autor e em nenhum caso pode ser
considerado como forma de aconselhamento jurídico.
1. Conceitos essenciais
Conceito (legal) de Dados Pessoais:
Qualquer informação, de qualquer natureza e independentemente do respectivo suporte,
incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável («titular dos
dados»); é considerada identificável a pessoa que possa ser identificada directa ou indirectamente,
designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua
identidade física, fisiológica, psíquica, económica, cultural ou social»;
2. A importância dos dados pessoais
A temática dos dados pessoais parece envolvida num paradoxo sem fim…
2. A importância dos dados pessoais
Porque é que as organizações se devem preocupar com os temas da protecção de
dados pessoais e da privacidade?
1. Riscos legais/sancionatórios.
2. Riscos económico-financeiros.
3. Riscos reputacionais.
2. A importância dos dados pessoais
Porque é que muitas organizações em Portugal ainda desvalorizam os temas da
protecção de dados e da privacidade?
1. O valor reduzido das coimas.
2. O enforcement pouco expressivo e eficaz por parte da Comissão Nacional de Protecção
de Dados Pessoais (CNPD).
3. A falta de awareness e a prevalência da forma sobre a substância.
2. A importância dos dados pessoais
Porque é que desvalorizar a protecção de dados pessoais e a privacidade no seio
das organizações é errado?
1. O contexto legal europeu está prestes a ser revolucionado: o novo Regulamento
Europeu em matéria de dados pessoais.
2. O nível de awareness do público e dos media sobre as questões da privacidade, mesmo
em Portugal, tem vindo a aumentar significativamente.
3. Em muitos casos, o risco reputacional é muito elevado e sobrepõe-se aos outros riscos
identificados.
3. O novo Regulamento Europeu sobre Protecção de Dados
Pessoais
O Novo Regulamento Europeu sobre Protecção de Dados Pessoais:
uma mudança de paradigma
• Aplicação transversal a todos os sectores de actividade e a todos os Estados-membros.
• Coimas de valor máximo até 5% do turnover global da empresa (ou do grupo) ou de
€100.000.000,00 consoante o que for mais elevado.
• Obrigações de comunicação às autoridades e/ou aos visados em caso de acesso
indevido a dados pessoais (data breach).
• Obrigação da existência de um Data Protection Officer (DPO) “independente” em
certas empresas.
• Obrigação de realização de Privacy Impact Assessments.
4. Exemplo prático de um data breach e dos danos
potencialmente associados
Exemplo*:
A “Zuper” é uma empresa que vende produtos variados aos seus clientes, sendo líder de
mercado em Portugal com milhões de fiéis clientes, e apostou recentemente na sua
internacionalização.
Imagine que no seio da Comissão Executiva da “Zuper” está a ser discutido o projecto X,
que constitui não só uma mudança estratégica no negócio, como uma jogada fundamental de
antecipação à concorrência.
Dado o impacto que o projecto pode vir a ter no negócio e a respectiva sensibilidade, o
projecto X tem sido tratado como secreto na organização e, entre os mais de 3000
colaboradores da empresa, só 5 pessoas têm conhecimento do mesmo: o CEO, outros dois
administradores, um director de área e o director de IT.
* Este exemplo constitui um exemplo teórico criado apenas para o contexto desta apresentação.
4. Exemplo prático de um data breach e dos danos
potencialmente associados
Exemplo 1 – manhã do dia 1
O dia 22 de Janeiro seria apenas mais um dia na vida de Jaime, o CEO da Zuper.
Jaime estava entusiasmado com o projecto X e tinha programada para essa tarde uma
reunião de follow up com a equipa do projecto X.
Porém, enquanto tomava o pequeno almoço e verificava os emails, Jaime constatou que
tinha um email na sua conta pessoal. Era estranho, praticamente não usava essa conta.
email de: [email protected]
subject: coisas zuper importantes .
4. Exemplo prático de um data breach e dos danos
potencialmente associados
Exemplo 1 – manhã do dia 1
Caro Jaime,
Estás com o rei na barriga. Todo satisfeito por seres o CEO da Zuper. Mas a mim não me enganas e vou-te tramar. Tenho estado a fazer o download de todos os dados do vosso CRM. 2.556.431 clientes! Nada mau, Jaime.
Ainda não sei o que fazer a tanta informação. Sei mais da vida dos clientes da Zuper que eles próprios. Talvez publique esta informação na net ou talvez a venda!
Ahhh e que interessante é o vosso projecto X! Uma bomba mesmo, a não ser que rebente antes de tempo.
Não sei como vamos resolver isto, mas estou disponível para ser convencido (eheh!) a devolver-vos esta informação. Fico à espera que me digas alguma coisa.
O amigo anónimo
Ps: Isto não é uma ameaça. Não vale a pena chamar a polícia!
4. Exemplo prático de um data breach e dos danos
potencialmente associados
Exemplo 1 – manhã de dia 1
Jaime sentia-se perdido:
Seria verdade?
Seria possível ter sido traído?
A empresa não gastara milhões de euros em IT, como seria possível?
O que deveria fazer? Pagar? Comprometer os dados de tantos clientes? Chamar a polícia judiciária?
Jaime adiou as respostas a estas questões e decidiu reunir uma equipa de emergência, partilhando
imediatamente com a mesma o email que havia recebido
4. Exemplo prático de um data breach e dos danos
potencialmente associados
Exemplo 1 – tarde do dia 1
Reunião de crise: Os semblantes estavam carregados e as notícias iniciais não eram boas:
1. Segundo o IT, existia evidência de grandes volumes de informação transferidos das bases de
dados de suporte ao CRM para fora dos sistemas da organização. Porém, os logs não tinham
detalhe suficiente, pelo que demoraria ainda alguns dias a apurar que informação havia sido,
de facto, transmitida para fora da empresa.
2. A informação dos clientes não estava segregada ou anonimizada, pelo que cada “ficheiro”
continha não só a informação de identificação do cliente (nome, morada, nif, etc), como todo
o detalhe de compras. Como nunca foram definidos prazos de conservação, o detalhe da
informação compreendia todo o período desde o início da relação dos clientes com a Zuper.
3. Existiam cerca de 4.000 utilizadores com acesso a esta informação – um número superior ao
número de colaboradores! Jaime não conseguia compreender isto – e o histórico de perfis
atribuídos não era centralizado, pelo que, não só demoraria algum tempo a despistar acessos
indevidos, como demoraria mais tempo associar acções suspeitas a pessoas concretas.
4. Entretanto, a equipa de IT encontrou os seguintes tweets: @amigo anónimo # Zuper millions of records for sale here: http://zuperfreerecords.com
4. Exemplo prático de um data breach e dos danos
potencialmente associados
• Estaria a “Zuper” preparada para enfrentar um presumível data breach com esta
aparente dimensão e com esta gravidade?
• Estão as vossas organizações preparadas para prevenir e reagir a estes eventos?
4. Exemplo prático de um data breach e dos danos
potencialmente associados
Breve elenco de possíveis consequências:
1. Divulgação da informação pessoal dos clientes na Internet.
2. Anulação da vantagem competitiva pela divulgação pública do projecto X.
3. Reclamações de clientes e, dependendo da sensibilidade da informação divulgada,
potenciais acções de indemnização.
4. Perda de clientela.
5. Exposição negativa nos media.
6. Inspecção aos sistemas por parte da CNPD e eventuais processos contra-ordenacionais
e/ou criminais, com todos os custos associados.
7. Gestão da crise com outros reguladores/supervisores nacionais ou estrangeiros.
5. Preparar a organização para o futuro
• A protecção de dados pessoais e a privacidade nas organizações: o futuro hoje.
• Por onde começar?
5. Preparar a organização para o futuro
Os primeiros 4 passos essenciais:
1.º Avaliar os riscos gerais do negócio associados à protecção de dados pessoais e da
privacidade
• Os dados pessoais e a privacidade estão no core do negócio?
• A empresa trata dados pessoais sensíveis de clientes?
• Eventuais crises associadas à informação pessoal de clientes e privacidade podem causar
danos relevantes à organização?
5. Preparar a organização para o futuro
Os primeiros 4 passos essenciais:
2.º Avaliar de que forma a organização tem tratado os dados pessoais e a
privacidade?
• Os dados pessoais e a privacidade são valores da organização? Estão presentes nas
políticas e procedimentos da organização? Como e em que grau?
• Os impactos na protecção de dados pessoais e na privacidade já foram ou são avaliados
na organização? Constituem uma preocupação dos colaboradores?
• A organização realiza notificações de tratamentos de dados pessoais à CNPD? Qual é o
ponto de situação dos tratamentos notificados e não notificados?
5. Preparar a organização para o futuro
Os primeiros 4 passos essenciais:
3.º Estabelecer um compromisso de alto nível com os dados pessoais e com a
privacidade
• Em função da avaliação dos pontos 1 e 2, a gestão deve estabelecer um compromisso
claro a protecção de dados pessoais e a privacidade.
• Antes de ser exteriorizado, o compromisso deverá esclarecer de forma inequívoca qual a
importância da protecção de dados e da privacidade para a organização e qual o nível de
compliance que se pretende atingir.
• Antes do compromisso ser exteriorizado, e em função do que for definido, deve
estabelecer-se um action plan para concretização do mesmo a médio-prazo.
5. Preparar a organização para o futuro
Os primeiros 4 passos essenciais:
4.º Definir um action plan para concretizar o compromisso assumido
• Em função do compromisso assumido e dos custos associados, deve definir-se um plano
de concretização do compromisso.
• Seja qual for o nível de compromisso, a prioridade será identificar situações de elevado
risco ou de risco eminente e começar por minimizar esses riscos.
• A escolha dos responsáveis pela criação e execução do plano é crucial.
• O plano deve tanto quanto possível ser acompanhado de uma avaliação de custos.
6. Alguns exemplos de instrumentos essenciais para a
protecção de dados pessoais nas organizações.
1. Política de privacidade e protecção de dados pessoais.
2. Criação de programa de compliance específico ou inclusão destes temas no programa geral da
empresa – quando se justificar.
3. Auditorias específicas em matéria de protecção de dados pessoais e privacidade.
4. Introdução da avaliação da protecção de dados pessoais e da privacidade como obrigatória nas
decisões sobre sistemas de informação.
5. Avaliação de impacto na privacidade e na protecção de dados pessoais nos novos projectos.
6. Avaliação da privacidade e dos dados pessoais nas relações (contratuais) com clientes – especial
atenção ao consentimento.
7. Avaliação da privacidade e dos dados pessoais nas relações com parceiros, fornecedores e terceiros.
8. Simulação de raids por parte da CNPD.
9. Formação aos colaboradores em matéria de protecção de dados pessoais e privacidade.
