Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME ...€¦ · garantir a atualização dos profissionais e o desenvolvimento de novas competências dentro do contexto atual e futuro

1p e c k s l e i m a n . c o m . b rLicenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com

2p e c k s l e i m a n . c o m . b r

PRIVACY & DATA PROTECTION FOUNDATION

Dr. Márcio Chaves

Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com


A PECK SLEIMAN EDUCAÇÃO tem como missão CONECTARpessoas através do CONHECIMENTO. Pensar, Planejar ePromover INOVAÇÃO, CONSCIENTIZAÇÃO e CAPACITAÇÃOpara o mercado, especialmente para atender os novosdesafios dos profissionais e gestores de empresas, nos maisdiversos segmentos e áreas já inseridas no contexto deSociedade Digital, com oportunidades e riscos associados aouso de tecnologia e seu impacto nos negócios.

O nosso objetivo é ENSINAR através de um modelodiferenciado de Educação Continuada que abrange desdetreinamentos tradicionais a soluções que apliquemtecnologia e novos recursos, como EAD e games, paragarantir a atualização dos profissionais e o desenvolvimentode novas competências dentro do contexto atual e futuroda Sociedade Digital.



Identificação das áreas que devem ser envolvidas no processo de

cumprimento da Lei



Dentro do plano de implementação da LGPD, é muito importante identificar quais as áreas que irão fazer parte do cumprimento da Lei.

Toda área que trata o dado de alguma forma precisa estar em conformidade.

Conforme aduz o próprio artigo 5º, inciso X da Lei Geral de Proteção de Dados, tratamento é “toda operação realizada com dados pessoais,

como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição,

processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação,

transferência, difusão ou extração.”



Segue abaixo um pequeno organograma de como seria a equipe envolvida na implementação da LGPD na

organização

Fonte imagem: Patricia PeckLicenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com


Demais bases legais e os direitos do titular: colocando em perspectiva

CDC, LGPD e Marco Civil daInternet, Lei do Sigilo Bancário e

Fiscal



A Seção VI do Código de Defesa do Consumidor versa especificamente sobre Bancos de Dados e Cadastros de Consumidores.

O artigo 43 do CDC aduz que o consumidor terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele,

bem como sobre as suas respectivas fontes. Pode-se fazer um comparativo com o Princípio do Livre Acesso contido no inciso IV do artigo 6º da LGP.

O princípio da transparência é contemplado no parágrafo 1º do art. 43 do CDC quando aponta que “os cadastros e dados de consumidores devem ser objetivos,

claros, verdadeiros e em linguagem de fácil compreensão (...)”.



Na LGPD, os direitos do titular dos dados estão previstos no Capítulo III.

Dessa forma, são direitos do titular dos dados:

I - confirmação da existência de tratamento;II - acesso aos dados;III - correção de dados incompletos, inexatos ou desatualizados;IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com


No Marco Civil da internet, vislumbra-se a proteção de dados do titular no capítulo II da Lei, especificamente no artigo 7º, conforme se verifica abaixo:

I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei;III - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial;IV - não suspensão da conexão à internet, salvo por débito diretamente decorrente de sua utilização;V - manutenção da qualidade contratada da conexão à internet;VI - informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade;VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;



VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:a) justifiquem sua coleta;b) não sejam vedadas pela legislação; ec) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei;XI - publicidade e clareza de eventuais políticas de uso dos provedores de conexão à internet e de aplicações de internet;XII - acessibilidade, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, nos termos da lei; eXIII - aplicação das normas de proteção e defesa do consumidor nas relações de consumo realizadas na internet.



Na Lei do Sigilo Bancário e Fiscal, não são claras os direitos do titular dos dados.

A lei traz em seu parágrafo 3º, artigo 1º, o que considera como não violação do dever de sigilo dos dados:

I – a troca de informações entre instituições financeiras, para fins cadastrais,

inclusive por intermédio de centrais de risco, observadas as normas baixadas

pelo Conselho Monetário Nacional e pelo Banco Central do Brasil;

II - o fornecimento de informações constantes de cadastro de emitentes de

cheques sem provisão de fundos e de devedores inadimplentes, a entidades de

proteção ao crédito, observadas as normas baixadas pelo Conselho Monetário

Nacional e pelo Banco Central do Brasil;

III – o fornecimento das informações de que trata o § 2o do art. 11 da Lei

no 9.311, de 24 de outubro de 1996;

IV – a comunicação, às autoridades competentes, da prática de ilícitos penais ou

administrativos, abrangendo o fornecimento de informações sobre operações

que envolvam recursos provenientes de qualquer prática criminosa;

V – a revelação de informações sigilosas com o consentimento expresso dos

interessados;

VI – a prestação de informações nos termos e condições estabelecidos nos

artigos 2o, 3o, 4o, 5o, 6o, 7o e 9 desta Lei Complementar.Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com

http://www.planalto.gov.br/ccivil_03/leis/L9311.htm#art11%C2%A72


O que atualizar na Política de Privacidade, Política de Segurança da Informação e demais normas

e procedimentos internos



É preciso inserir os pontos indicados abaixo na Política de Segurança da Informação:



É preciso inserir os pontos indicados abaixo na Política de Privacidade :



E O QUE FAZER COM OS DADOS ANTIGOS?

Também terão que ser legitimados. Desta forma, deverá ser feito um levantamento e análise de quais dados poderão ser armazenados e quais deverão ser eliminados. As mesmas regras criadas para novas coletas deverão ser aplicadas

ao legado, mas com procedimentos específicos, por exemplo, dados que por determinação interna não poderão mais ser coletados, deverão ser eliminados se

fizerem parte do banco de dados do legado.



Dados que deverão ter consentimento em novas coletas, caso já existam no legado, deverão ser legitimados por meio de

uma nova comunicação e consentimento expresso do titular. Portanto, é importante estabelecer 2 grupos de dados

pessoais: os que precisam de consentimento e os que podem ser mantidos dentro de alguma das exceções de

consentimento (cumprimento de obrigação legal, por exemplo).



O que deve constar na Política de Proteção de Dados Pessoais e

como aplicar nos contratos comterceirizados



Política de Proteção de Dados Pessoais – o que constar?

• Descrição do encarregado pelo tratamento dos dados;• É preciso que esteja claro o objetivo do uso do dado e para qual finalidade ele

será tratado;• Precisão dos dados e limitação de armazenamento, bem como minimização dos

dados;• Segurança dos dados pessoais;• A não divulgação dos dados pessoais;• Questão da transferência internacional dos dados;• Penalidades em caso de vazamento.



Contratação de terceiros

ACORDOS DE CONFIDENCIALIDADE

Proteção das informações confidenciais fornecidas pela empresa na contratação, além dedisciplinar a forma pela qual elas deverão ser manipuladas e transmitidas;

Definição de critérios a serem adotados na contração de fornecedores e prestadores deserviços, garantindo a proteção de informações;

Estabelecer a propriedade ou posse das informações, podendo ainda constituir o segredocomercial da empresa.

GARANTIA DE MESMO NÍVEL DE SEGURANÇA DA INFORMAÇÃO

A responsabilidade é solidária no tratamento de dados (art. 42, I, II/LGPD); Criar um checklist para verificar se o parceiro/fornecedor possui um nível de segurança seguro

e satisfatório.Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com


Requisitos de Dados Pessoais Adicionais para o Fornecedor

1. O Fornecedor não deverá transferir ou divulgar Dados Pessoais a qualquer terceiro sem o prévio consentimento por escrito do CONTRATANTE (CONTROLADOR). O Fornecedor deverá realizar, com qualquer terceiro a quem transferir ou divulgar Dados Pessoais, um contrato que garanta que o referido terceiro trate os Dados Pessoais de acordo com as disposições deste Contrato. O Fornecedor deverá garantir que qualquer terceiro para o qual seja necessário transferir ou divulgar Dados Pessoais implementou um processo de relatórios de incidentes de privacidade de dados para reporte imediato ao CONTRATANTE (CONTROLADOR) com relação a quaisquer violações de privacidade e/ou segurança possíveis ou reais. O Fornecedor deverá realizar uma avaliação de privacidade contínua (anual ou quando ocorrerem alterações) e uma validação de segurança de tais terceiros para os quais transferiu Dados Pessoais.

2. O Fornecedor deverá disponibilizar ao Comprador, mediante solicitação do CONTRATANTE (CONTROLADOR), suas práticas internas, manuais e registros relativos ao uso, processamento, divulgação, cópia, alteração, descarte e destruição de Dados Pessoais. O Comprador pode, mediante aviso prévio razoável, auditar (incluindo, sem limitação, visitas ao local em locais do Fornecedor, feitas pelo Comprador) e verificar a conformidade do Fornecedor com esta Cláusula.



Requisitos de Dados Pessoais Adicionais para o Fornecedor

3. Enquanto tiver acesso a Dados Pessoais, o Fornecedor garantirá que as pessoas a quem os dados se referem tenham os mesmos direitos de acesso, correção, bloqueio, eliminação ou exclusão disponíveis para eles de acordo com as leis do(s) país(es) do(s) qual(is) os Dados Pessoais em questão foram originalmente coletados. O Fornecedor e o CONTRATANTE (CONTROLADOR) cooperarão, conforme necessário, para permitir que o Comprador responda a solicitações e consultas das pessoas a quem os dados se referem com relação ao processamento de seus Dados Pessoais.



4. Mediante solicitação do CONTRATANTE (CONTROLADOR), o Fornecedor deverá oferecer uma cópia de todos os Dados Pessoais relevantes no formato tangível, em conjunto com qualquer solicitação do CONTRATANTE (CONTROLADOR) para acesso, correção ou destruição de Dados Pessoais de posse do Fornecedor.

5. O Fornecedor deverá descartar todos os Dados Pessoais mediante a conclusão dos Serviços oferecidos pelo Fornecedor, na rescisão ou expiração desta contratação, ou conforme solicitado pelo CONTRATANTE (CONTROLADOR) por escrito, o que ocorrer primeiro. O Fornecedor deverá descartar os Dados Pessoais (e deverá garantir que os terceiros para os quais o Fornecedor transferiu os Dados Pessoais também o farão), rasgando ou utilizando algum outro meio que torne os Dados Pessoais ilegíveis e impossibilite que sejam remontados ou reconstruídos, e deverá certificar ao CONTRATANTE (CONTROLADOR), por escrito, mediante solicitação deste, que o fez.



Requisitos de Dados Pessoais Adicionais para o Fornecedor – Treinamento

1. O Fornecedor deverá fornecer cursos e treinamentos para seus Funcionários, com relação ao uso, manuseio e segurança adequados dos Dados Pessoais do CONTRATANTE (CONTROLADOR).

Requisitos de Dados Pessoais – Ressarcimento

1. O Fornecedor será responsável por reembolsar ao CONTRATANTE (CONTROLADOR) os custos reais incorridos por este último, se houver, com relação a ou oriundos de qualquer Violação de Segurança que represente uma violação de dados pessoais.

2. As partes reconhecem e concordam que os custos, se houver, incorridos pelo CONTRATANTE (CONTROLADOR), relacionados aos esforços de correção realizados por este, como resultado de uma Violação de Segurança com comprometimento de dados pessoais, exclusivamente causada pelo Fornecedor, serão considerados como danos diretos entre as partes. As obrigações de indenização do Fornecedor também se estenderão a reivindicações de terceiros oriundas ou relacionadas às Violações de Dados Pessoais.



Requisitos de Dados Pessoais Adicionais para o Fornecedor – Apólice de Seguro

1. O Fornecedor deverá manter em vigor, se responsabilizando pelas despesas, uma apólice de seguro que deverá abranger todos os custos do Fornecedor, incluindo danos que é obrigado a pagar ao CONTRATANTE (CONTROLADOR) ou qualquer terceiro, associados a qualquer Violação de Segurança (conforme definido posteriormente) ou perda de Dados Pessoais, independente da causa (incluindo, sem limitação, negligência ou negligência grave do Fornecedor e atos ilegais de terceiros). Os custos a serem cobertos por esta apólice de seguro deverão incluir, sem limitação: (a) custos para notificar indivíduos cujos Dados Pessoais foram perdidos oucomprometidos; (b) custos para fornecer monitoramento de crédito (ou serviços similares de proteção de dados) e serviços de restauração de crédito para indivíduos cujos Dados Pessoais foram perdidos ou comprometidos; (c) custos associados a reivindicações de terceiros decorrentes de Violação de Segurança ou perda de Dados Pessoais, incluindo custos com processos judiciais e custos com acordos; e (d) quaisquer custos com investigação, cumprimento ou custos variados semelhantes. Tal seguro deverá fornecer uma cobertura de até US$ 300.000,00 americanos (ou equivalente na moeda local). Para os fins desta Cláusula, "Violação de Segurança"significa (1) a incapacidade, pelo Fornecedor, de lidar com, gerir, armazenar, destruir ou, de outra forma, controlar de forma adequada, ou a divulgação não autorizada pelo Fornecedor de: (a) Dados Pessoais em qualquer formato ou (b) informações corporativas de terceiros em qualquer formato identificado especificamente como confidencial e protegido por um contrato de confidencialidade ou contrato semelhante; (2) uma violação involuntária da política de privacidade do Fornecedor ou desapropriação que resulte na violação de quaisquer leis ou regulamentos aplicáveis da privacidade de dados; ou (3) qualquer outro ato, erro ouomissão por parte do Fornecedor em sua condição de fornecedor, que provavelmente resulte em uma divulgação não autorizada de Dados Pessoais (ou se for razoavelmente possível ter ocorrido uma divulgação não autorizada). Referido seguro deverá: (a) nomear o Comprador como segurado adicional com relação aos interesses seguráveis do CONTRATANTE (CONTROLADOR); (b) ser primário, ou sem contribuição, com relação aos danos ou despesas segurados; e (c) ser comprado (i) de seguradoras domiciliadas nos EstadosUnidos, com uma Classificação mínima de A-, ou superior, no AM Best, e uma classificação financeira de 7, ou superior, ou (ii) de operadoras fora dos EUA com uma classificação BBB, ou superior, no Standard & Poor, e US$ 50.000 dólares de superávit do segurado. A pedido do Comprador, o Fornecedor oferecerá ao Comprador o(s) certificado(s) de seguro, para verificar a conformidade com os termos e condições desta Cláusula.

[Observação: O Seguro de Erros e Omissões poderá não estar disponível em todas as jurisdições.]

2. O Fornecedor não deverá transportar Dados Pessoais do CONTRATANTE (CONTROLADOR) ou Clientes em formato eletrônico não criptografado (fitas de dados, unidades USB, discos rígidos e dispositivos similares), sem o consentimento prévio por escrito doComprador.



Como mitigar riscos no uso de recursos de cloud computing para

atender a LGPD e a questão dofluxo internacional de dados



O que fazer para que haja uma efetiva proteção de dados?

Principais tipos de proteção:

• Controle de acesso: As ferramentas que são utilizadas para controle de acesso reduzem a chance de usuários terem acesso aos recursos administrativos. As políticas de controle de acesso a recursos administrativos têm o objetivo de prevenir grandes problemas de segurança. Há a segmentação das ações que usuários podem ter na gestão dos recursos de cloud, deixando a solução mais confiável;

• Monitoramento de recurso: Utilizado para identificar e bloquear vulnerabilidades e ameaças. É utilizada uma série de recursos para analisar sinais de malwares ou contas comprometidas;

• Troca constante de senhas;

• Backups atualizados com frequência;

• Criptografia de dados.Fonte: https://it-eam.com/como-manter-seu-ambiente-cloud-em-seguranca/


https://it-eam.com/como-manter-seu-ambiente-cloud-em-seguranca/


Check-list Privacy Risk para projetos de Cloud Computing

O projeto irá de algum modo tratar dados pessoais (qualquer tipo de tratamento, captura, uso, armazenamento mesmo temporário, compartilhamento, edição, manipulação, outros)?

Há possibilidade de tratar também dados pessoais sensíveis (relacionados à saúde, genético, biométrico, escolha sexual, racial, étnica, religiosa, filosófica, política, sindical)

Há possibilidade de captura de geolocalização que possa determinar de algum modo também associação à dados pessoais sensíveis?

Há uso de terceirizados no projeto? Há algum tratamento de dados pessoais por eles? Quais são as medidas de proteção dos dados pessoais aplicadas no projeto desde a sua captura à sua

eliminação (mapeando o fluxo de dados pessoais e seu ciclo de vida), considerando desde uso de controle de acesso, algum tipo de criptografia ou senha ou pasta criptografada ou biometria, descarte seguro.

Haverá anonimização da base de dados pessoais? Foi assinado NDA já com cláusula de proteção de dados pessoais? O contrato com parceiros ou terceiros já possui cláusulas sobre proteção de dados pessoais e atendimento de

regulamentações como GDPR e LGPD? Foi feito aviso aos titulares sobre a internacionalização dos dados pessoais ou sobre seu tratamento por

terceiros?

Fonte: Patricia Peck Pinheiro, 2019Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com

29p e c k s l e i m a n . c o m . b rLicenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com


DÚVIDAS



Contatos

Dr. Márcio [email protected]

marciomellochaves

Agradecemos pela atenção.



Site: http://privacybr.com/

Contato para maiores informações:

[email protected]


http://privacybr.com/

mailto:[email protected]

Documents

Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME ...€¦ · garantir a atualização dos profissionais e o desenvolvimento de novas competências dentro do contexto atual e futuro