Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com

A PECK SLEIMAN EDUCAÇÃO tem como missão CONECTAR

pessoas através do CONHECIMENTO. Pensar, Planejar e Promover

INOVAÇÃO, CONSCIENTIZAÇÃO e CAPACITAÇÃO para o mercado,

especialmente para atender os novos desafios dos profissionais e

gestores de empresas, nos mais diversos segmentos e áreas já

inseridas no contexto de Sociedade Digital, com oportunidades e

riscos associados ao uso de tecnologia e seu impacto nos negócios.

O nosso objetivo é ENSINAR através de um modelo diferenciado

de Educação Continuada que abrange desde treinamentos

tradicionais a soluções que apliquem tecnologia e novos recursos,

como EAD e games, para garantir a atualização dos profissionais e

o desenvolvimento de novas competências dentro do contexto

atual e futuro da Sociedade Digital.Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com

PARTE 5 – Ciber segurança e Resposta a Incidente dentro daprevisão da LGPDSUMÁRIO DA AULA▪ Qual o conceito de violação de segurança e de violação de dados pessoais?▪ Quando é necessário reportar aos titulares?▪ O que fazer se houver uma violação de dados pessoais? ▪ E se forem dados pessoais sensíveis?▪ Como fica a responsabilidade a partir de eventos ocorridos com terceiros ou

tercerizados?

Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com

Qual o conceito de violação de

segurança e de violação de

dados pessoais?Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com

Porque a LGDP surgiu agora?▪ Diversos escândalos envolvendo o vazamento de

dados pessoais;

▪ Insegurança jurídica da ausência de lei específica;

▪ A influência do General Data Protection Regulation(GDPR), o regulamento europeu sobre proteção de dados.

Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com

REQUISITOS DO GDPR FRENTE ÀS VIOLAÇÕES DE DADOS PESSOAIS – art. 33

Em caso de violação de dados pessoais, o Controlador deve notificar Autoridade

Supervisora competente nos termos do Artigo 33, sem demora injustificada e, sempre que

possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos

dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das

pessoas físicas.

Se a notificação não for enviada à Autoridade Supervisora no prazo de 72 horas, o

Controlador deve remeter conjuntamente os motivos do atraso.

Quando a violação de dados pessoais poder resultar em um alto risco aos direitos e

liberdades das pessoas físicas, o Controlador deverá comunicar a violação de dados

pessoais aos Titulares de Dados afetados, sem demora indevida. O Controlador

documentará toda e qualquer violação de dados pessoais e disponibilizará essa informação

à autoridade supervisora.Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com

“

”Patricia Peck PinheiroPrivacidade e cibersegurança. 2018. p. 31

.

Violação de dados pessoais: uma violação da segurançaque provoque, de modo acidental ou ilícito, a destruição,a perda, a alteração, a divulgação ou o acesso, nãoautorizados, a dados pessoais transmitidos, armazenadosou sujeitos a qualquer outro tipo de tratamento.

INSIGHT ACADÊMICO!

Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com

Compreendendo os incidentes

Uma violação de segurança só se torna uma violação de dados

pessoais quando envolve a perda de dados pessoais ou se o

processamento ilegal de dados pessoais não puder ser

razoavelmente excluído.

VIOLAÇÃO DE SEGURANÇA

VIOLAÇÃO DE DADOS PESSOAIS=/

“incidente de segurança” Por exemplo, perda de uma chave

USB ou laptop, hack do sistema.

Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com

Quando é necessário reportar

aos titulares?

Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com

É preciso notificar o titular quando...

a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das

pessoas físicas.

Nestes casos o Controlador deve comunicar a violação de dados pessoais ao Titular dos dados sem demora injustificada.Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com

A comunicação deve descrever em linguagem clara e simplesa natureza da violação dos dados pessoais e fornecer, pelomenos, as informações e as seguintes medidas:

▪O nome e os contatos do DPO ou de outro ponto de contato onde possam ser obtidas mais informações;

▪As consequências prováveis da violação de dados pessoais;▪As medidas adotadas ou propostas pelo Controlador para

reparar a violação de dados pessoais, inclusive, as medidas para atenuar os seus eventuais efeitos negativos.

O que deve conter a notificação ao titular?

Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com

▪ O Controlador tiver aplicado medidas de proteção adequadas aos dados pessoais afetados pela violação, tanto técnicas como organizacionais, especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a acessar esses dados, tais como a criptografia;

▪ O Controlador tiver tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos Titulares dos dados não é suscetível de se concretizar; ou,

▪ Implicar um esforço desproporcionado. Nesse caso, é feita uma comunicação pública ou semelhante por meio da qual os Titulares dos dados são informados de forma igualmente eficaz.

A comunicação ao Titular dos dados não é obrigatória se for preenchida uma das seguintes condições:

Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com

O que fazer se houver uma violação de dados pessoais?

Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com

O que fazer em caso de incidente?GDPR/2016

Artigo 33. Notificação de uma violação de dados pessoais à autoridade de controlo

1. Em caso de violação de dados pessoais, o responsável pelo tratamentonotifica desse facto a autoridade de controlo competente nos termos do artigo55.o , sem demora injustificada e, sempre que possível, até 72 horas após tertido conhecimento da mesma, a menos que a violação dos dados pessoais nãoseja suscetível de resultar num risco para os direitos e liberdades das pessoassingulares. Se a notificação à autoridade de controlo não for transmitida noprazo de 72 horas, é acompanhada dos motivos do atraso.

Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com

O que fazer em caso de incidente?Lei nº 13.709/18Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a

ocorrência de incidente de segurança que possa acarretar risco ou dano relevante

aos titulares.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade

nacional, e deverá mencionar, no mínimo:

I - a descrição da natureza dos dados pessoais afetados;

II - as informações sobre os titulares envolvidos;

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos

dados, observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente;

V - os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos

do prejuízo.Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com

Dever de Notificação (Report)[art. 48, § 1º/LGPD] [art. 33/GDPR]

O Processador deve notificar o Controlador sem demora indevida após

tomar conhecimento de uma violação de dados pessoais. Em caso de

violação de dados pessoais, o Controlador deve, sem demora injustificada e,

sempre que possível, no prazo de 72 horas (na LGPD ficou prazo razoável)

após ter tomado conhecimento do mesmo, notificar a violação dos dados

pessoais à autoridade supervisora.

Quando a violação de dados pessoais poder resultar em um alto risco aos

direitos e liberdades das pessoas físicas, o Controlador deverá comunicar a

violação de dados pessoais aos Titulares de Dados afetados, sem demora

indevida. O Controlador documentará toda e qualquer violação de dados

pessoais e disponibilizará essa informação à autoridade supervisora.Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com

O que fazer em caso de incidente?Dever de Notificação (Report) [art. 48, § 1º/ Lei nº 13.709/18]

A RESPOSTA A INCIDENTES DEVE ABRANGER:

▪ Procedimento escrito detalhado de Resposta a incidente considerando as duas situações de violação desegurança e de violação de dados, tempo de notificação e quais as medidas devem ser tomadas em cadauma delas;

▪ Ter os textos de resposta pré-validados;▪ Ter a resposta à crise de imagem já estabelecida inclusive para combater eventuais informações falsas

ou exageradas (fake news) que possam circular em mídias sociais e grupos de whatsapp para fins dealgum tipo de manipulação (especialmente se for empresa aberta em bolsa);

▪ Ensaiar tudo isso antes que aconteça, para que os envolvidos já saibam seus papéis, como agir, quantotempo têm para responder ao evento com um SLA estabelecido e testado (fazer o teste);

▪ Verificar a possibilidade de ter um seguro para Ciber Risks que cubra vazamento de informações (CiberInsurance)

Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com

Contato

PeckSleiman EDUTelefone: +55 11 3476-2581relacionamento@pecksleiman.com.br

Obrigada!

Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com