1. O documento introduz o curso PDPP da EXIN sobre privacidade e proteção de dados, apresentando os diferentes níveis de certificação.
2. São descritas as principais leis de privacidade, como o GDPR e a LGPD, e a importância de se ter conhecimento sobre ambas dada a globalização dos negócios.
3. A visão geral do curso é apresentada, com seus objetivos, público-alvo e atividades práticas necessárias para obtenção da certificação PDPP.
2. ▪ PDPF - Privacy & Data Protection Foundation
▪ ISFS - ISO 27001 Foundation
Boas-Vindas
PDPP - EXIN Privacy & Data Protection
Practitioner
Para se tornar um Data Protection Officers (DPO), precisa
ser aprovado em:
Este curso faz parte do programa de qualificação EXIN
Privacy & Data Protection
FOUNDATION
ESSENTIALS
PRATICTIONER
PDPP - Módulo 1: Introdução
3. • Certificação baseada na LGPD – Lei totalmente Brasileira.
• “Essentials” é mais genérico e é voltado exclusivamente para
conscientização de todo mundo na empresa.
GDPR e LGPD
PDPE - EXIN Privacy & Data Protection Essentials
• Foco exclusivamente no GDPR – Lei Europeia
• Neste mundo globalizado, vai ser raro não fazer negócios
com empresas da União Europeia.
PDPF - EXIN Privacy & Data Protection Foundation
e PDPP - EXIN Privacy & Data Protection Practitioner
PDPP - Módulo 1: Introdução
4. • Explosão cada vez maior de informações na internet, apps e
redes sociais gerenciar e proteger a privacidade das pessoas e
seus dados
• Novas leis na UE, assim como nos EUA e em muitas outras
regiões
• Implementação de políticas e procedimentos para o
cumprimento da legislação
• Estabelecimento de um Sistema de Gestão de Proteção de
Dados (SGPD)
• Norma ISO/IEC 27701:2019 Técnicas de Segurança – Extensão
da ISO/IEC 27001 e 27002 para Gestão de Informações de
Privacidade – Requisitos e Diretrizes
Visão Geral do Curso PDPP
PDPP - Módulo 1: Introdução
5. Objetivos e Público-alvo da Certificação PDPP
Público-Alvo
A certificação EXIN Privacy & Data Protection Practitioner (PDPP) visa
• Valida o conhecimento e a compreensão de um profissional em relação à legislação de privacidade e
proteção de dados europeia e sua relevância internacional.
• Aplicar esse conhecimento e compreensão à sua prática profissional diária.
PDPP - Módulo 1: Introdução
• Data Protection Officers (DPOs)
• Escritório de Privacidade (Privacy Office)
• Legal / Compliance officers
• Security officers
• Gerentes de Continuidade de Negócios
• Controladores de Dados
• Auditores de Proteção de Dados (internos e externos)
• Analistas de Privacidade
• Gerentes de RH
6. Atividades Práticas
A realização das atividades práticas faz parte dos requisitos da
certificação para EXIN Privacy & Data Protection Practitioner
(PDPP).:
✔Ao final do treinamento serão propostas três atividades
práticas, a serem desenvolvidas e avaliadas por instrutor
credenciado.
✔Caso tenham sido cumpridos um mínimo de 9 dos 14 (65%)
critérios, o candidato terá concluído com sucesso os trabalhos
práticos.
✔As atividades práticas e instruções aparecem ao final deste
curso.
PDPP - Módulo 1: Introdução
test
7. Sobre o Exame PDPP
Tipo de exame:
Número de questões:
Pontos para aprovação:
Duração do exame:
Anotações :
Equipamentos eletrônicos:
Consulta:
40 - Questões de múltipla escolha
65% (26 questões)
90 minutos
Não
Não
Exige compreensão dos conceitos, aplicação do conhecimento e análise de situações.
O texto do GDPR pode ser consultado durante todo o exame;
Será fornecido como um apêndice no exame digital.
PDPP - Módulo 1: Introdução
9. Relembrando as Principais Definições
PPDP – Módulo 02: Políticas de proteção de dados
• Dados Pessoais: qualquer informação relativa a uma pessoa física
identificada ou identificável
• Processamento: qualquer operação ou conjunto de operações
efetuadas em dados pessoais, ou em conjuntos de dados pessoais, por
meios automatizados ou não
• Controlador: pessoa física ou jurídica, autoridade pública, agência ou
outro organismo que, individualmente ou em conjunto com outros,
determina os fins e os meios de processamento de dados pessoais
• Processador: pessoa física ou jurídica, autoridade pública, agência ou
outro organismo que processa dados pessoais em nome do controlador
• Autoridade Supervisora: representa uma organização governamental
que será responsável por reforçar a aplicação do GPDR
O propósito geral do GDPR é, através de uma lei unificada, proteger
os direitos, a privacidade e as liberdades das pessoas físicas na UE
10. O Regulamento indica várias práticas e documentos que
qualquer organização deve ser capaz de oferecer.
O controlador deve adotar políticas internas e aplicar medidas
que respeitem os princípios da proteção de dados. Esses
princípios são aqueles referentes à proteção desde a concepção
(by design) e por padrão (by default)
Por políticas internas devemos entender que a organização
declara de forma transparente e consistente de que forma ela
atende aos requisitos do regulamento.
Políticas e GDPR
PPDP – Módulo 02: Políticas de proteção de dados
11. Políticas e Conformidade
• Uma política formal e auditável de privacidade e proteção de dados
pessoais é de total interesse de potenciais parceiros e clientes.
• Tornar pública indica transparência, permite que os parceiros e clientes
avaliem a política e oferece para as autoridades supervisoras e outros
reguladores uma posição clara que pode ser avaliada por eles.
PPDP – Módulo 02: Políticas de proteção de dados
• O Controlador deve desenvolver uma política explícita, documentada, de proteção de dados pessoais
totalmente aderente à conformidade da organização ao GDPR.
• Os DPOs devem monitorar de perto a aderência às políticas como parte da garantia de conformidade da
organização às leis e regulamentações apropriadas.
12. Elementos da Política
• Identidade e detalhes de contato do DPO e do Controlador, e se o
Controlador pretende transferir dados para outro país ou outra empresa
internacional, entre outros.
• Informações adicionais sobre como o processamento é transparente e
justo, como prazo de retenção e os direitos dos titulares dos dados.
• Texto mais específico ou genérico como “o período de armazenamento
dos dados pessoais será determinado pelo contrato celebrado com o
titular dos dados”.
Uma política deve incluir certas informações logo na coleta dos dados (Artigo 13 do GDPR):
PPDP – Módulo 02: Políticas de proteção de dados
13. Disponibilização da Política
A sua política deve estar acessível, no mesmo lugar onde os
dados pessoais são coletados:
LOJA FÍSICA QUALQUER OUTRO
MECANISMO
WEBSITE
PPDP – Módulo 02: Políticas de proteção de dados
14. 1. Propósito
2. Compromisso
3. Oportunidade de recusa
4. Coleta de informações pessoais
5. Uso da informação
6. Verificação de referências de crédito
7. Divulgação da informação
8. Proteção da informação
9. Acesso à Internet
Exemplo de Tópicos de Política
de Proteção de Dados
10. Monitoração das comunicações
11. Solicitação de acesso do titular dos dados
12. Violações de proteção de dados
13. Contato
PPDP – Módulo 02: Políticas de proteção de dados
15. Política de Segurança da Informação
A política de segurança da informação pode
ser um único documento, ou aparecer na
forma de um conjunto de políticas de
segurança (Normas ISO 27000)
• Controle de acesso
• Classificação da informação
• Backup
• Transferência de informação
• Antivírus e anti-malware
• Gerenciamento de vulnerabilidade
• Criptografia
• Comunicações
• Relações com fornecedores
PPDP – Módulo 02: Políticas de proteção de dados
16. • Esclarecer por que a política é necessária
• Descrever o escopo, ou o que é coberto pela política
• Definir contatos e responsabilidades
• Incluir pelo menos um objetivo
• Explicar como as violações serão tratadas
Conteúdo de Políticas de
Segurança da Informação
Uma boa política reflete os objetivos da organização e,
ao mesmo tempo, direciona as ações.
Além disso, elas deveriam também:
PPDP – Módulo 02: Políticas de proteção de dados
17. Políticas Efetivas
• Para que uma política realmente funcione, é
necessário que ela seja suportada por
processos e procedimentos aderentes aos
parâmetros definidos dentro da própria
política.
• Os processos e procedimentos devem ser
criados com a visão de produzir evidência de
que foram implementados de forma correta.
• Suítes de ferramentas de suporte à
documentação, com seus vários modelos e
templates, podem ser muito práticas e efetivas
em custo como ponto de partida para o
desenvolvimento da documentação de
conformidade ao GDPR da forma mais
apropriada.
PPDP – Módulo 02: Políticas de proteção de dados
18. Abordagem que garante que você vai considerar as
questões de privacidade e proteção de dados durante a
fase de desenho ou de projeto de qualquer sistema,
serviço, produto ou processo, e ao longo de todo o ciclo de
vida.
Proteção de Dados Desde a
Concepção (by design)
Proteção de dados desde a concepção (by design)
O GDPR estabelece que o Controlador deve adotar
políticas e implementar medidas que atendam, em
especial, aos princípios de proteção de dados desde a
concepção (by design) e por padrão (by default).
PPDP – Módulo 02: Políticas de proteção de dados
19. Quer dizer que você integrou ou “embutiu” a proteção de dados
nas suas atividades de processamento e práticas de trabalho:
Aplicação da Proteção de Dados
Desde a Concepção (by design)
• Desenvolver novos sistemas de TI, serviços, produtos e processos
que envolvem dados pessoais
• Desenvolver políticas e processos organizacionais, e práticas de
negócio ou estratégias que possuem implicações de privacidade
• Executar projetos físicos
• Se envolver em iniciativas de compartilhamento de dados
• Utilizar dados pessoais para novos propósitos.
PPDP – Módulo 02: Políticas de proteção de dados
20. • Exige de você a garantia de apenas
processar os dados necessários para
atingir um propósito específico.
• Especificar que dados são esses antes do
início do processamento.
O princípio de proteção de dados desde a
concepção foi expandido no GDPR para incluir
a proteção de dados por padrão (by default)
Proteção de Dados por Padrão (by default)
PPDP – Módulo 02: Políticas de proteção de dados
21. Aplicação da Proteção de Dados
por Padrão (by default)
Depende das circunstâncias de seu
processamento e dos riscos aos indivíduos.
De uma forma geral, no entanto, você deve
considerar coisas como:
• Abordagem de privacidade em primeiro lugar com
quaisquer configurações de sistemas e aplicativos;
• Não forneça uma escolha ilusória ou enganosa aos
indivíduos em relação aos dados que você vai processar;
• Não processar dados adicionais, a menos que a pessoa
decida que você pode;
• Dados pessoais não sejam automaticamente
disponibilizados publicamente a terceiros;
• Fornecer às pessoas controles e opções suficientes para
exercer seus direitos.
PPDP – Módulo 02: Políticas de proteção de dados
22. Responsáveis Pela Proteção Desde a
Concepção e Por Padrão
• Altos executivos, por exemplo, atuando no desenvolvimento de
uma cultura de “consciência de privacidade”
• Engenheiros de software, arquitetos de sistema e
desenvolvedores de aplicativos, e todos aqueles que projetam
sistemas, produtos e serviços, devem levar em conta os
requisitos de proteção de dados;
• Nas suas Práticas comerciais e de negócio, você deve garantir
que elas incorporem a proteção de dados desde a concepção
em todos os seus processos e procedimentos internos;
O Artigo 25 do GDPR especifica que, como controlador, você
tem a responsabilidade pela conformidade com a proteção
de dados desde a concepção e por padrão.
É isso que o Regulamento ordena: que as medidas para garantir
que os direitos e liberdades dos titulares dos dados sejam
preservados, funcionem.
PPDP – Módulo 02: Políticas de proteção de dados
23. O Artigo 28 menciona os cuidados que você deve ter sempre que
estiver selecionando um processador. Por exemplo, você só deve
usar processadores que oferecem garantias suficientes para
implementar medidas técnicas e organizacionais adequadas, para
que o processo cumpra os requisitos do regulamento e assegure
a proteção dos direitos do titular dos dados.
Processadores e a Proteção de Dados
Desde a Concepção (by design) e por Padrão (by default)
PPDP – Módulo 02: Políticas de proteção de dados
Seu Processador não pode, necessariamente, ajudar você nas
obrigações de proteção de dados desde a concepção (by design)
ao contrário das medidas de segurança.
24. Organizações Terceiras e a
Proteção de Dados
Desde a Concepção (by design) e por Padrão (by default)
O Preâmbulo 78 estende os conceitos de proteção de dados
desde a concepção a outras organizações. Mas atenção! Não há
imposição para que essas outras empresas cumpram os
princípios.
PPDP – Módulo 02: Políticas de proteção de dados
Empresas terceiras que desenvolvem produtos, serviços e
aplicativos devem ser incentivadas a levar em consideração o
direito de proteção de dados nos seus desenvolvimentos e
projetos e na aplicação das técnicas.
Deve-se considerar os princípios e técnicas aplicáveis da
proteção de dados desde a concepção e por padrão, conforme
aparece no Artigo 47 (2d).
25. O Que Deve Ser Feito na Prática
• Minimizar o processamento dos dados pessoais
• “Pseudonimização” de dados pessoais assim que possível
• Garantir a transparência com relação aos papéis e processamento
de dados pessoais
• Permitir que os indivíduos monitorem o processamento
• Criação e aperfeiçoamento de recursos da segurança
Considere as questões de proteção de dados desde o início de
qualquer atividade de processamento, e adote as políticas e ações
apropriadas que atendam aos requisitos da proteção de dados
desde a concepção e por padrão.
PPDP – Módulo 02: Políticas de proteção de dados
26. • Envolver o que existir de melhor, o
estado da arte em termos de medidas
• Custos envolvidos
• Natureza, escopo, contexto e propósitos
do seu processamento
• Riscos que o seu processamento impõe
aos direitos e liberdades das pessoas
Você deve começar com as ações de
proteção de dados na fase inicial de qualquer
sistema, serviço, produto ou processo.
Considerações:
Quando As Ações Devem Ser Tomadas
“No momento da determinação dos meios de processamento”.
“No momento do processamento em si”, ou seja, durante todo o ciclo de vida.
PPDP – Módulo 02: Políticas de proteção de dados
27. Framework de Proteção de
Dados by Design
PPDP – Módulo 02: Políticas de proteção de dados
28. • Foram desenvolvidos por Ann Cavoukian, Ph.D, como Information and
Privacy Commissioner de Ontario, na década de 1990, e atualizados
desde então.
• O futuro da privacidade não pode ser garantido apenas pela
conformidade com marcos regulatórios; em vez disso, a garantia de
privacidade deve, idealmente, se tornar o padrão
• Se estende aos elementos de sistemas de TI (inclusive no uso de
algoritmos, big data e inteligência artificial), práticas responsáveis de
negócio, projeto físico e infraestrutura de rede
• Podem ser aplicados a todos os tipos de informações pessoais, mas
com maior força para dados confidenciais
• A força das medidas de privacidade tendem a ser proporcionais à
sensibilidade dos dados.
Os 7 Princípios Fundamentais
da Proteção de Dados
PPDP – Módulo 02: Políticas de proteção de dados
29. • Comprometimento por parte dos níveis mais altos da empresa
• Compartilhar o comprometimento com a privacidade abertamente
entre as comunidades de usuários e acionistas
• Estabelecimento de métodos para reconhecer desenhos não tão bons
com relação à privacidade, antecipar práticas não adequadas de
privacidade e suas consequências
1: Proativo, não reativo;
preventivo, não corretivo
Os objetivos da privacidade desde a concepção ou by design são
garantir a privacidade e controle sobre as informações pessoais; e
para as organizações, garantir uma vantagem competitiva sustentável
• Liderança e mudança cultural
• Introdução de arquitetura corporativa
Desafio e Implementação
PPDP – Módulo 02: Políticas de proteção de dados
30. 2: Privacidade como Configuração Padrão
Nenhuma ação é necessária por parte da pessoa para proteger sua
privacidade – a proteção está integrada ao sistema, por padrão.
• Especificação do propósito
• Limitação da coleta
• Minimização dos dados
• Limitação no uso, retenção e divulgação de informações pessoais
PPDP – Módulo 02: Políticas de proteção de dados
Desafio e Implementação
Publicação de políticas especializadas como "privilégio de
acesso mínimo", "necessidade de saber”, “menor confiança”.
31. • Holística, pois contextos adicionais e mais amplos devem sempre ser
considerados
• Integrada, porque todas as partes interessadas precisam ser consultadas
• Criativa, pois incorporar privacidade pode significar reiventar as suas
escolhas
3: Privacidade Incorporada ao Desenho
Proteção de Dados desde a concepção está incorporada ao projeto, à
arquitetura de sistemas de TI e práticas de negócio. Mas não pendurada
como um complemento, depois que alguma coisa acontece.
Desafio e Implementação
PPDP – Módulo 02: Políticas de proteção de dados
(Trusted Platform Module): um chip microcontrolador que pode armazenar com segurança artefatos
usados para autenticar uma plataforma.
TPM
CLASP (Comprehensive, Lightweight Application Security Process), uma metodologia de desenvolvimento
seguro de software orientada a atividades e papéis.
SAMM (Software Assurance Maturity Model), um framework aberto que auxilia as organizações a formular
e implementar uma estratégia de segurança de software sob medida para os riscos específicos.
32. • Evitar a pretensão de falsos conflitos como privacidade versus segurança,
demonstrando que é possível usufruir dos benefícios de ambas.
• Deve ser feito de uma forma que não comprometa a plena funcionalidade e que
permita que todas as exigências sejam otimizadas tanto quanto possível.
4: Funcionalidade Total - Soma
Positiva, Não Soma Zero
A Proteção de Dados “by design” busca acomodar todos os interesses e
objetivos legítimos de uma maneira positiva para todos.
• Facilidade de acesso versus acesso seguro
• Conveniência do usuário versus segurança
• Simples para implementar versus simples para usar.
Desafio e Implementação
Os conflitos a serem resolvidos:
PPDP – Módulo 02: Políticas de proteção de dados
33. • A Proteção de Dados “by design” tendo sido incorporada ao sistema
antes que o primeiro elemento da informação seja coletado, se estende
com segurança durante todo o ciclo de vida dos dados envolvidos;
• Garante que todos os dados sejam retidos com segurança e, depois,
destruídos com segurança no final do processo, em tempo hábil.
• Garantir a confidencialidade, integridade e a disponibilidade dos dados
pessoais ao longo de todo o ciclo de vida, incluindo métodos seguros e
fortes de destruição, criptografia e controle de acesso.
5: Segurança de Ponta a Ponta e Proteção
Durante Todo o Ciclo de Vida dos Dados
• DBSec – conferência anual internacional que cobre pesquisas abrangentes em segurança e privacidade de dados
e de aplicações.
• IAM (Gerenciamento de Gestão e Acesso) - framework desenvolvido para processo de negócios que garante
maior controle para o registro e segurança de identidades digitais ou eletrônicas.
Desafio e Implementação
PPDP – Módulo 02: Políticas de proteção de dados
34. • Componentes e operações permanecem visíveis e transparentes
• Políticas e procedimentos relacionados à privacidade devem ser documentados e
comunicados conforme for apropriado, e então, designados a um indivíduo específico
• Ao transferir informações pessoais para terceiros, devem ser asseguradas medidas
equivalentes de proteção à privacidade
• Monitorar, avaliar e verificar a conformidade com as políticas e procedimentos de
privacidade
6: Visibilidade e Transparência
Assegurar a todas as partes interessadas que, seja qual for a prática ou
tecnologia de negócio envolvida, ela está, de fato, operando de acordo com as
promessas e objetivos declarados, sujeito a verificação independente.
• Utilização de padrões abertos
• Avaliação e validação externas como auditorias ISO/IEC 27001
• Publicação de políticas de segurança
Desafio e Implementação
PPDP – Módulo 02: Políticas de proteção de dados
35. 7: Respeito à Privacidade do Usuário
• Consentimento específico, dado livre e espontâneo para a coleta, uso e
divulgação de seus dados pessoais, exceto em casos permitidos pela lei.
• Quanto maior for a sensibilidade do dado, mais claro e específico deve ser o
consentimento exigido
• Acurácia ou precisão das informações pessoais
• Os indivíduos precisam ter acesso a seus dados pessoais, e serem informados
de seus usos e divulgações
• Pedir e conseguir as correções
• Mecanismo para reclamações e remediações sobre privacidade
Exige que as empresas prezem ao máximo pelos interesses do indivíduo.
Isso é feito por meio de medidas.
Equilíbrio entre proteção dos dados da empresa e os direitos do titular de dados
Desafio e Implementação
PPDP – Módulo 02: Políticas de proteção de dados
36. Framework de Governança Corporativa
Visão e Missão
Desenvolvimento dos
Produtos/Serviços
Desenvolvidos seguindo o que
é preconizado pelos Sete
Princípios da Proteção de
Dados By Design
Gestão da Privacidade
Fonte: J.Kyriazolou
PPDP – Módulo 02: Políticas de proteção de dados
38. Data Protection Management System (DPMS)
Objetivo: gerenciar os dados corporativos da melhor forma e
mitigar os riscos mais usuais à proteção de dados e privacidade
durante a coleta e processamento.
• Riscos são causados por invasores mal-intencionados, sejam
entidades ou pessoas internas, ou externas.
• Os dados corporativos também estão em risco devido a empregados
descuidados e negligentes.
• Riscos de multas muito elevadas se não cumprirem os vários
regulamentos de proteção de dados e privacidade em todo o mundo.
Fundamental para a empresa projetar, desenvolver e implementar
seus próprios sistemas integrados de gestão de proteção de
dados e privacidade
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Introdução ao Sistema de Gestão
de Proteção de Dados (SGPD)
39. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Sistema de Gestão de
Proteção de Dados (SGPD)
Preparação
Sistema de Gestão
de Proteção de
Dados
Fase 2:
Fase 3:
Fase 4:
Fase 5:
Fase 1:
Avaliação e Melhoria
Governança
Organização
Desenvolvimento e
Implementação
40. Preparar a sua empresa ou
organização para a privacidade.
• Analisar os requisitos e as necessidades de
proteção de dados e privacidade que impactam
sua empresa
• Buscar e reunir as leis, padrões e regulamentos
relacionados à proteção de dados e privacidade
• Estabelecer um plano de ação com os recursos
necessários para que você prepare sua
empresa para gerenciar dados pessoais,
atividades, transações e operações
Objetivos:
Propósito:
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 1: Preparação da Proteção
de Dados e Privacidade
Sistema de Gestão
de Proteção de
Dados
Fase 1:
41. • Quem envia informações pessoais sensíveis para sua empresa
• Como sua empresa ou organização recebe dados pessoais
• Que tipo de dados pessoais você coleta em cada ponto de entrada
• Onde você mantém os dados coletados em cada ponto de entrada
• Quem tem, ou poderia ter acesso aos dados pessoais coletados
Resultados da análise em um relatório, que você pode chamar
de Relatório de Análise da Proteção de Dados e Privacidade.
Lista do que deve ser analisado:
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 1: Preparação da Proteção
de Dados e Privacidade
Conduzir uma Análise de Privacidade
Análise do cenário da sua empresa com relação à proteção de dados e
privacidade, os estatutos, leis e regulamentos que afetam todas as funções do
negócio envolvidas, e os países ou estados membros.
ETAPA
42. • Princípio 1: Processamento legal
• Princípio 2: Especificação do objetivo
• Princípio 3: Relevância dos dados
• Princípio 4: Precisão dos dados
• Princípio 5: Retenção limitada de dados
• Princípio 6: Processamento justo
• Princípio 7: Responsabilização
• Princípio 8: Transferência de dados pessoais para o exterior
Precisa revisar, estudar e compreender o GDPR dando maior atenção aos seguintes princípios:
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 1: Preparação da Proteção
de Dados e Privacidade
Coletar as Leis de Privacidade
Recolher todas as regras, regulamentos e normas de proteção de
dados e privacidade que afetam a sua empresa ou organização,
em termos locais, nacionais e internacionais.
ETAPA
43. Registros de acordo com os procedimentos corporativos (Manual das Leis da Privacidade)
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 1: Preparação da Proteção
de Dados e Privacidade
Analisar o impacto da privacidade
Revisão, estudo e compreensão do impacto de todas as regras,
regulamentos e normas de proteção de dados e privacidade,
coletadas na etapa anterior.
ETAPA
44. • Elaborar e publicar o seu Relatório de Auditoria
de dados pessoais.
• Identificar quaisquer riscos de proteção de
dados e privacidade para indivíduos, riscos de
conformidade e quaisquer outros.
• Consultar os padrões da indústria e orientação
produzida por órgãos de comércio, reguladores
ou outras organizações que atuam no seu setor.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 1: Preparação da Proteção
de Dados e Privacidade
Realizar Auditorias e Avaliações de Dados Iniciais
Execução de uma auditoria inicial de dados pessoais e uma
avaliação de proteção de dados na sua empresa.
ETAPA
45. Designar os papéis de governança de dados e desenvolver as responsabilidades
• DPO, para atribuir e manter a responsabilidade
sobre a proteção de dados e privacidade
• Gerente de segurança da informação
• Gerentes e pessoal de TI, diretores de qualidade
de dados, pessoal administrativo, Administrador
de Dados, etc.
Os papéis envolvidos na governança são:
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 1: Preparação da Proteção
de Dados e Privacidade
Estabelecer Organização de Governança de Dados
Comitê de supervisão de governança de dados. O papel deste comitê
é revisar os impactos e riscos potenciais e garantir medidas e controles
apropriados para mitigar os problemas e riscos identificados.
ETAPA
46. • Conhecer os fluxos de dados dentro da organização vai te ajudar a implementar e monitorar a proteção de
dados e a privacidade de uma forma muito mais efetiva. Com esse objetivo em mente, a organização vai
desenvolver e implementar um sistema para documentar e manter gráficos e quadros sobre os fluxos de dados.
A empresa precisa estabelecer um processo para garantir
que o inventário de dados seja atualizado regularmente.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 1: Preparação da Proteção
de Dados e Privacidade
Estabelecer fluxos de dados e
inventário de dados pessoais
ETAPA
Sistema de Fluxos de Dados:
Inventário de Dados Pessoais:
• O Escritório de Privacidade cria e mantém um inventário de dados pessoais que estão nos vários
departamentos e sistemas de TI da empresa. E quais são as atividades para tratar esse inventário?
• Localizar todos os tipos de dados (estruturados e não estruturados) e em qualquer meio.
• Identificar quais empregados em todos os níveis da organização, tem a posse desses dados.
47. • Análise dos aspectos de comunicação e treinamento necessários para o pessoal da empresa com relação à
proteção de dados e privacidade;
• A estratégia de proteção de dados e privacidade deve se basear na Avaliação do Risco à Proteção de Dados
e deverá refletir a natureza da organização e sua missão, desenvolver visão para o programa de proteção de
dados e privacidade;
• Definir o escopo do programa, estabelecer o papel de DPO;
• Detalhar as estratégias para atingir o que for prioritário para a empresa em termos de proteção e privacidade.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 1: Preparação da Proteção
de Dados e Privacidade
Estabelecer Programa de Proteção de Dados e Privacidade
Implementam proteção de dados e privacidade por meio de um
plano de treinamento, um programa e uma estratégia de proteção
de dados e privacidade.
ETAPA
• A missão deve enfatizar o valor que a organização dá para a proteção de dados e a
privacidade, além de identificar os principais objetivos do programa e detalhar as estratégias e
controles de governança necessários.
48. • Relatório deve ser aprovado o relatório para que os recursos
e o pessoal sejam utilizados para desenho, desenvolvimento
e operação do programa.
• Sua empresa estará pronta para ir em frente e implementar
planos de proteção de dados e privacidade para os dados
pessoais que a sua empresa coleta, utiliza, processa e
mantém.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 1: Preparação da Proteção
de Dados e Privacidade
Elaborar Planos de Implementação de Ações
de Proteção de Dados e Privacidade
Elaborar e submeter aos executivos um relatório contendo a análise e os resultados
das ações das etapas anteriores de Preparação, um orçamento para financiar
recursos, sistemas, ferramentas e outros, e um conjunto de planos de ação específicos
para execução completa do processo de proteção de dados e privacidade.
ETAPA
49. ✓ Relatório da Análises de Proteção de Dados e Privacidade (Etapa 1)
✓ Manual de Leis de Privacidade (Etapas 2 e 3)
✓ Relatório de Auditoria de Dados Pessoais (Etapa 4)
✓ Sistema de Fluxo de Dados por Processo (Etapa 6)
✓ Inventário de Dados Pessoais (Etapa 6)
✓ Política de Proteção de Dados (Etapa 6)
✓ Plano de Treinamento em Privacidade (Etapa 7)
✓ Programa de Proteção de Dados & Privacidade (Etapa 7)
✓ Orçamento da estruturação da Gestão de Proteção de Dados (Etapas 1 a 8)
✓ Planos de Implementação de Ações de Proteção de Dados e Privacidade – Etapas 1 a 8)
Produtos:
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 1: Preparação da Proteção
de Dados e Privacidade
50. Estabelecer as estruturas e mecanismos
organizacionais responsáveis por atender às
necessidades de privacidade de dados
pessoais da empresa.
Objetivos:
Propósito
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 2: Organização da Proteção
de Dados e Privacidade
Sistema de Gestão
de Proteção de
Dados
Fase 2:
• Desenhar e estabelecer o programa de proteção
de dados e privacidade;
• Designar um DPO
• Engajar e comprometer todas as partes
envolvidas com a proteção de dados e
privacidade
51. • A política de privacidade deve estar baseada em requisitos legais, regulamentares, de negócio e dos
titulares de dados. Ela contém orientações abrangentes para a empresa alcançar a conformidade com
as leis, regulamentos e contratos relevantes.
• Criar e implementar procedimentos de atualização da política e do programa para lidar com as
mudanças nas leis ou regulamentos de privacidade, ou mudanças nos próprios processos de negócio.
• Também se apoia na declaração de missão que enfatiza a importância que a empresa dá para a
proteção de dados e privacidade.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 2: Organização da Proteção
de Dados e Privacidade
Manter o Programa de Privacidade de Dados,
Política e Controles de Governança
Definir e implementar o “como manter” o programa, as políticas e os
controles de Governança de Privacidade de Dados.
ETAPA
52. • Empresas e organizações precisam atribuir as
responsabilidades pelos aspectos operacionais de
um dado programa de proteção e privacidade para
um indivíduo.
• As tarefas, papéis e responsabilidades do DPO
finalmente nomeado precisam ser desenhadas.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 2: Organização da Proteção
de Dados e Privacidade
Designar e Manter as Responsabilidades de
Proteção de Dados e Privacidade
Definindo e mantendo a matriz de responsabilidades pela Proteção de Dados e
Privacidade, utilizando o conhecido recurso da matriz RACI.
ETAPA
• Você deve se certificar que esse DPO
precisa conseguir desempenhar suas
funções de forma eficaz.
53. • Patrocínio de todas as questões relacionadas à proteção de dados e privacidade
• Comunicação da importância da proteção de dados e privacidade
• Participação das iniciativas de proteção de dados e privacidade
• Garantia de financiamento adequado para apoiar a função de proteção de dados e privacidade
O suporte desejado da alta administração e nível sênior de gestão pode incluir:
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 2: Organização da Proteção
de Dados e Privacidade
Manter o Envolvimento da Alta Administração
na Proteção de Dados e Privacidade
Definir e implementar, ou seja, o “como manter” o envolvimento
dos níveis táticos e estratégicos da organização, executivos e
Gerência Sênior, na Proteção de Dados e Privacidade.
ETAPA
54. • Gerenciar, continuamente, a proteção de dados e privacidade requer a contribuição e participação de
muitos membros da organização, de diferentes departamentos ou grupos funcionais de negócio.
• Os indivíduos responsáveis precisam ter seus papéis e responsabilidades claramente definidos, que
podem aparecer na descrição de cargo ou outros documentos como o contrato de trabalho.
• Cada membro da equipe, seja gerente ou empregado, deve reconhecer e concordar em aderir às políticas
de proteção de dados e privacidade. Este reconhecimento, compromisso e acordo compõem um
documento separado, de papel ou eletrônico, ou pode fazer parte de um documento já existente.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 2: Organização da Proteção
de Dados e Privacidade
Manter Comprometimento com a
Proteção de Dados e Privacidade
Estabelecer e manter a continuidade do compromisso de todos os níveis
hierárquicos da organização com a Proteção de Dados e Privacidade.
ETAPA
55. • Saber mais sobre a utilização de dados pessoais no contexto da empresa
• Auxiliar de forma proativa na construção da proteção de dados e privacidade em todos os sistemas,
serviços, produtos e projetos em andamento
• Compreender as diferentes perspectivas da proteção de dados e privacidade em toda a empresa
• Capacitar, facilitar e apoiar as pessoas a cumprir seus objetivos e metas na implementação da
proteção de dados e privacidade
• Integrar a mentalidade de proteção de dados e privacidade em toda a empresa
Comunicação está relacionada com:
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 2: Organização da Proteção
de Dados e Privacidade
Manter Comunicação Regular para Questões
de Proteção de Dados e Privacidade
Estabelecer e manter um plano de comunicação corporativa regular, constante,
para direcionamentos, questões e problemas de Proteção de Dados e
Privacidade.
ETAPA
56. • Conduzir comunicações informais ou ad hoc com
indivíduos cujas responsabilidades podem não incluir
proteção de dados e privacidade
• Participar de vários comitês corporativos para funções de
negócios ou unidades cujas atividades podem ter impacto
na proteção de dados e privacidade
• Conduzir discussões formais, por exemplo em reuniões
mensais, entre parceiros fora da organização
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 2: Organização da Proteção
de Dados e Privacidade
Manter o Envolvimento das Partes Interessadas nas
Questões de Proteção de Dados e Privacidade
Estabelecer e manter processos e procedimentos que garantam
o envolvimento das partes interessadas, os stakeholders, nas
questões de Proteção de Dados e Privacidade.
ETAPA
57. • Verificação de arquivos originais e de backup por meio de
algoritmos de hash
• Criptografia de dados em trânsito e estáticos
• Gerenciamento da conformidade de dados centralizada
• Relatórios de sucessos e falhas de backup
• Gerenciamento de todos os aspectos do processo de Regras
Corporativas Vinculantes (BCR)
• Medição e relato sobre conformidade com as leis nacionais
A proteção de dados corporativos é
uma das prioridades mais críticas
que as organizações enfrentam hoje.
Com tantas ameaças potenciais e
pontos de entrada, as soluções de
proteção de dados devem considerar
uma abordagem abrangente.
Um sistema computadorizado garante a integridade
dos dados por vários métodos:
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 2: Organização da Proteção
de Dados e Privacidade
Implementar e Operar o Sistema Informatizado
de Proteção de Dados e Privacidade
Implementar e operar sistemas para permitir a sustentação
da Proteção de Dados e Privacidade corporativa.
ETAPA
58. Resultados:
✓ Estratégia de Proteção de Dados e Privacidade atualizada – Etapa 1
✓ Programa de Proteção de Dados e Privacidade atualizado – Etapa 1
✓ Controles de Governança de Dados atualizados – Etapa 1
✓ Nomeação do DPO – Etapa 2
✓ Plano de Comunicação – Etapas 3, 4, 5 e 6
✓ Rede corporativa de proteção de Dados e Privacidade – Etapa 4
✓ Papel de Proteção de Dados e Privacidade incluído nas descrições de cargo – Etapa 4
✓ Plano atualizado de conscientização, comunicação e treinamento em privacidade – Etapa 5.
✓ Sistema Informatizado de Proteção de Dados e Privacidade – Etapa 7.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 2: Organização da Proteção
de Dados e Privacidade
59. Desenvolver e implementar medidas e controles
específicos de proteção de dados e privacidade
para a sua empresa ou organização.
Objetivos:
Propósito
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Sistema de Gestão
de Proteção de
Dados
• Projetar um sistema de classificação de dados
• Desenvolver e implementar todas as políticas,
procedimentos e controles necessários para
cumprir as leis e requisitos de proteção de
dados e privacidade
Fase 3: Desenvolvimento e Implementação
da Proteção de Dados e Privacidade
Fase 3:
60. • Analisar e definir as necessidades e requisitos da sua empresa
• Selecionar as estratégias, planos, políticas e controles que você vai implementar
• Designar as responsabilidades para esta implementação
Estratégias, planos e políticas:
Sistema de Classificação de Dados:
• Desenvolver um sistema que permite que a sua empresa diminua o escopo do que precisa ser
protegido e como.
• Criar procedimentos para implementar o esquema de classificação de dados da organização,
juntamente com os detalhes de propriedade, requisitos de retenção e uso adequado, e requisitos
de proteção, com base no nível de classificação e requisitos legais.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 3: Desenvolvimento e Implementação
da Proteção de Dados e Privacidade
Desenvolver e Implementar
Estratégias, Planos e Políticas de
Proteção de Dados e Privacidade
ETAPA
61. • Aprovação dos órgãos reguladores
antes da coleta e do
processamento de dados pessoais.
• Coleta e processamento em
grandes volumes como Big Data.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 3: Desenvolvimento e Implementação
da Proteção de Dados e Privacidade
Implementar procedimento de Aprovação para
Processamento de Dados Pessoais
Desenvolver procedimentos para determinar as situações em que a aprovação é
necessária, para consultar o regulador nacional ou Europeu, se não estiver muito
claro se a aprovação é requerida ou não, e para documentar todo o processo.
ETAPA
62. • Notificar os órgãos reguladores de proteção de dados e
privacidade, Europeu ou nacionais, sobre essas bases
que contêm dados pessoais e sobre a intenção de
processamento e registro desses dados.
• A empresa precisa desenvolver procedimentos para
determinar quando ela deve registrar as suas bases de
dados, qual informação deve ser incluída nesses registros,
como fazer o registro e documentar todo o processo.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 3: Desenvolvimento e Implementação
da Proteção de Dados e Privacidade
Bases de Dados de Registro de Dados Pessoais
Na fase de desenvolvimento e implementação, você precisa
de bases de dados para registro dos dados pessoais.
ETAPA
63. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
• Documentação relacionada a todos os fluxos
transfronteiriços, rastreamento do seu uso e conformidade com
os mecanismos de transferência
• Governos e órgãos reguladores criam modelos de cláusulas
para facilitar as transferências de dados pessoais
• Quando não existirem mecanismos de transferência, nem
BCRs, nem modelos de contrato disponíveis, a empresa pode
buscar a aprovação do regulador de proteção de dados e
privacidade para legitimar a transferência dos dados
ETAPA Desenvolver e Implementar um Sistema de Transferência de
Dados Transfronteiriço
Desenvolver e implementar um sistema para manter o registro dos mecanismos de
transferência usados nos fluxos de dados entre fronteiras.
Fase 3: Desenvolvimento e Implementação
da Proteção de Dados e Privacidade
64. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
• Retenção de dados corporativos
• Contratação de pessoal corporativo
• Acesso ao website
• Marketing digital
• Mídias sociais
• Dispositivos móveis e smartphones
• Saúde e segurança
• Desenvolvimento de serviços e produtos
ETAPA Executar Atividades de Integração de Proteção de Dados e Privacidade
Incluir a proteção de dados e privacidade em todas as suas operações pela execução de
um conjunto específico de atividades integradas que incorporam essa proteção de dados.
Fase 3: Desenvolvimento e Implementação
da Proteção de Dados e Privacidade
65. PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
• Realizar treinamento contínuo de privacidade de dados para o Privacy Office
• Realizar treinamento básico de privacidade para a equipe
• Realizar treinamento adicional de privacidade para novas necessidades
• Incluir treinamento de privacidade em outros treinamentos corporativos
• Manter a conscientização sobre privacidade
ETAPA Executar o Plano de Treinamento Proteção de Dados e Privacidade
Organizações treinam o seu pessoal para melhor implementar a proteção de dados e
privacidade em todos os seus programas, sistemas, projetos e funções.
• Manter a certificação profissional de privacidade
de dados para o pessoal de privacidade
• Avaliar a conscientização sobre a privacidade de
dados e as atividades de treinamento
Fase 3: Desenvolvimento e Implementação
da Proteção de Dados e Privacidade
66. • Incluir privacidade de dados na Política de Segurança Corporativa e na Política
de Segurança da Informação
• Incluir privacidade de dados na Política de Uso Aceitável.
• Incluir privacidade de dados nas atividades de avaliação de risco de segurança
• Implementar controles técnicos de segurança de TI
• Implementar controles de segurança para Recursos Humanos
• Incluir privacidade de dados no planejamento de continuidade de negócio
• Desenvolver e implementar uma estratégia de prevenção contra perda de dados
• Realizar testes regulares de segurança de dados
• Manter a certificação de segurança
Isso é feito de forma eficaz por meio de um plano de segurança de dados:
ETAPA Implementar Controles de Segurança de Dados
As empresas implementam um conjunto de controles de segurança de dados para
proteger de forma melhor os dados pessoais mantidos nos sistemas de TI e bancos de
dados.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 3: Desenvolvimento e Implementação
da Proteção de Dados e Privacidade
67. ✓ Sistema de classificação de dados pessoais – Etapa 1
✓ Procedimento para aprovação do processamento de dados pessoais - Etapa 2
✓ Documento de registro de bases de dados pessoais Etapa 3
✓ Sistema de transferência de dados transfronteiriço – Etapa 4
✓ Operações e Proteção e Privacidade de Dados integradas – Etapa 5
✓ Atividades de treinamento em Proteção e Privacidade de Dados executadas – Etapa 6
✓ Controles de segurança de dados implementados – Etapa 7
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Resultados:
Fase 3: Desenvolvimento e Implementação
da Proteção de Dados e Privacidade
68. Estabelecer mecanismos de governança de
privacidade para sua empresa ou organização.
Objetivos:
Propósito
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Sistema de Gestão
de Proteção de
Dados
• Os objetivos mais específicos incluem projetar e
configurar as estruturas de governança como
programa de proteção de dados e privacidade.
Essas estruturas contam com o próprio DPO e
muitas vezes um comitê de proteção de dados e
privacidade.
Fase 4: Governança de Proteção
de Dados e Privacidade
Fase 4:
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
69. Tomada de Decisão Automatizada:
• As empresas e organizações devem ter mecanismos, ou seja, práticas, políticas e procedimentos, para
avaliar a importância de qualquer decisão automatizada que elas tomarem
• Permitir ações para inclusão de um processo de revisão manual dessas decisões significativas
• DPO é quem garante que essas práticas sejam implementadas integralmente para evitar os riscos potenciais
• Garantir que sua empresa mantenha e práticas que incluem políticas e procedimentos para coleta e uso
de dados pessoais sensíveis
• O DPO precisa assegurar que essas práticas sejam implementadas de forma completa
Dados Sensíveis:
Usos Secundários dos Dados Pessoais são usos com os quais a organização vai além do propósito primário
ETAPA Implementar Práticas de Governança para o
Gerenciamento do Uso dos Dados Pessoais
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 4: Governança de Proteção
de Dados e Privacidade
70. Você deve considerar os seguintes aspectos:
• O indivíduo em questão precisa ter a oportunidade de revisar o aviso de privacidade de dados da empresa ou
receber informações sobre as práticas de privacidade de dados da organização antes de fornecer dados
pessoais (aviso "just in time");
• A organização precisa fornecer ao público informações simplificadas relacionadas às suas políticas e práticas
de privacidade
• Disponibilizar avisos sobre os pedidos de serviço, recibos e contas, contratos e termos de serviço.
• Fornecer instruções para empregados da linha de frente, para que eles deem as explicações básicas sobre as
políticas e práticas de privacidade da organização
• Garantir que os selos de privacidade ou marcas de confiança, como são chamados, sejam exibidos no site
ETAPA Manter Avisos sobre Privacidades de Dados
Manter avisos ou comunicações para os indivíduos que sejam consistentes com a
política de privacidade dos dados com os requisitos legais e dentro da tolerância do
risco operacional.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 4: Governança de Proteção
de Dados e Privacidade
71. • Acesso a dados pessoais e para reclamações
• Retificação, portabilidade, objeção de dados e
eliminação de dados pessoais
• Informação sobre tratamento de dados pessoais
A empresa deve executar as atividades relacionadas ao tratamento de
reclamações, ao gerenciamento de solicitações para acesso e
atualização das informações, feitas pelos titulares de dados.
Este plano deve incluir procedimentos para:
ETAPA
Executar um Plano de Requisições,
Reclamações e Retificações
Fase 4: Governança de Proteção
de Dados e Privacidade
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
72. • Essa avaliação de risco é um pré-requisito para um Programa
Organizacional de Proteção de Dados e Privacidade
• Permite que o DPO identifique e priorize as lacunas, ou seja, os gaps na
privacidade e na segurança, por toda a organização, além de gerenciar a
mitigação do risco e conformidade. Além disso, permite aumentar a
reputação da marca e a confiança do cliente.
• O DPO também deve garantir que os riscos das partes terceiras
também sejam gerenciados.
• Essas funções de risco também precisam considerar os riscos da
privacidade que podem aparecer durante essa análise (Avaliação de
Risco da Privacidade e Negócio)
ETAPA Executar uma Avaliação de Risco de Proteção de Dados
O DPO deve ter um procedimento para condução de uma avaliação de risco sobre a
proteção de dados, de amplitude organizacional, envolvendo as unidades de negócios.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 4: Governança de Proteção
de Dados e Privacidade
73. Emitir um relatório, que foi gerado internamente como resultado
de auditorias, por exemplo, para partes interessadas externas
O status do programa de proteção de dados e privacidade
deve ser comunicado internamente.
Essas comunicações visam:
• alinhar a função de proteção de dados e privacidade com os
objetivos da empresa
• como a privacidade oferece suporte aos resultados financeiros
• status de conformidade com os requisitos legais e regulamentares
ETAPA Emitir Relatório de Proteção de Dados e Privacidade
Emitir um relatório para as partes interessadas internas sobre o status da gestão da
proteção de dados e privacidade.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 4: Governança de Proteção
de Dados e Privacidade
74. • Esta documentação deve estar disponível para demonstrar
aos reguladores e autoridades como a empresa está em
conformidade com as leis de proteção de dados e
privacidade, e como é responsável pelo funcionamento do
programa
• A documentação também serve como evidência para
obter "marcas de confianças", selos, BCRs,
certificações e participação em outros programas de
autorregulação.
ETAPA Manter Documentação sobre Privacidade de Dados
Desenvolver, implementar e manter a documentação atualizada com o status do
programa de proteção de dados e privacidade da organização.
Fase 4: Governança de Proteção
de Dados e Privacidade
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
75. As funções deste plano de resposta a violação ou a incidente de privacidade de dados precisam incluir:
• Procedimentos de notificação da infração às pessoas afetadas
• Relatar todos os incidentes ou violações de privacidade de dados aos reguladores, agências de crédito,
autoridades responsáveis pela aplicação da lei e outros
• Manter registros de certos detalhes dos incidentes ou violações
• Garantir que as notificações e relatórios de violação estejam alinhados com os requisitos e melhores práticas.
• Monitorar, documentar e reportar métricas de incidentes e violações de privacidade
• Realizar testes periódicos do plano de resposta a incidentes
• Contratar serviços de um provedor de remediação de resposta à violação de privacidade
• Obter cobertura adequada de seguro para os custos associados com uma violação
ETAPA Estabelecer e Manter um Plano de Resposta a Violações de Privacidade
Projetar, desenvolver, implementar e manter um plano de resposta a incidente de
segurança de dados ou a violações de privacidade de dados que seja coerente,
sistemático e proativo
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 4: Governança de Proteção
de Dados e Privacidade
76. Resultados:
✓ Estratégia de proteção de dados e privacidade atualizada - Etapa 1
✓ Política de proteção de dados - Etapa 1
✓ Procedimento para manter avisos de privacidade de dados - Etapa 2
✓ Requisições, Reclamações e Plano de Retificação - Etapa 3
✓ Processo de avaliação de risco de proteção de dados - Etapa 4
✓ Plano de gerenciamento de riscos de terceiros - Etapa 4
✓ Relatório de proteção de dados e privacidade - Etapa 5
✓ Documentação de privacidade de dados - Etapa 6
✓ Plano de resposta a incidentes ou violação de privacidade de dados – Etapa 7
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 4: Governança de Proteção
de Dados e Privacidade
77. Fase 5: Avaliação e Melhoria da
Proteção de Dados e Privacidade
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Revisar e aperfeiçoar todos os aspectos
específicos de proteção de dados e
privacidade do seu ambiente corporativo.
Objetivos:
Propósito
Sistema de Gestão
de Proteção de
Dados
• Avaliar regularmente se a sua empresa ou organização
segue as políticas e os processos operacionais internos
de proteção de dados e privacidade
• Melhorar as medições e controles com base em
auditorias e revisões internas e externas.
Fase 5:
• Monitorar a operação e resolução de todas as
questões relacionadas à privacidade
78. • Os resultados dessas auditorias e avaliações de privacidade
informam e orientam as decisões Privacy Office
• O escopo desta atividade de auditoria de privacidade
abrange o papel do escritório de privacidade na participação
em auditorias de privacidade, na resposta às descobertas e
na realização de auditorias em todos os dados pessoais
ETAPA Realizar Auditorias Internas de Proteção de Dados e Privacidade
Avaliar regularmente se a organização cumpre com as políticas internas e processos
operacionais de proteção de dados e privacidade, para informar e orientar o Privacy Office.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 5: Avaliação e Melhoria da
Proteção de Dados e Privacidade
79. Da mesma forma que as auditorias internas, os resultados
dessas avaliações informam, habilitam e orientam decisões do
escritório de proteção de dados e privacidade na criação ou
atualização de políticas de privacidade, no desenho ou
adaptação de procedimentos de proteção de dados e
privacidade, na condução de treinamentos de privacidade, ou
no engajamento de outras atividades
ETAPA Envolver uma Parte Externa para Avaliações de Proteção de Dados e Privacidade
Solicitar uma avaliação de um provedor de serviço externo para validar a conformidade
com as políticas de privacidade internas e requisitos legais aplicáveis.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 5: Avaliação e Melhoria da
Proteção de Dados e Privacidade
80. Avaliações ad-hoc de privacidade:
Benchmarks: Processo de avaliação da empresa em relação a outras empresas, por meio do qual é
possível incorporar os melhores desempenhos de outras firmas e ou aperfeiçoar os seus próprios métodos.
Autoavaliações de privacidade: pode ser executado pelo escritório de
privacidade ou pela própria unidade de negócio.
• Avaliações de conformidade da unidade de negócio com as
políticas de privacidade periódicas ou sem aviso
• Depois de um evento de privacidade
• Unidade de negócio, produto, serviço, sistema ou processo
• Identificar os gaps, as lacunas, que devem serem remediadas
ETAPA Realizar Avaliações e
“Benchmarks” (Comparações)
Fase 5: Avaliação e Melhoria da
Proteção de Dados e Privacidade
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
81. • Determinar quando as Avaliações de Impacto de Privacidade (AIP) ou
Avaliações de Impacto de Proteção de Dados (AIPD) são necessárias.
• Ter políticas e procedimentos a seguir quando as unidades operacionais
propõem mudanças nos programas, sistemas ou processos já existentes,
para garantir que os riscos de proteção de dados e privacidade sejam
medidos, analisados e que, sejam consideradas alternativas que protejam a
privacidade. Este processo depende dos Princípios da Privacidade by-Design
• Recomenda-se que as organizações mantenham orientações e templates
detalhando como conduzir Avaliações de Impacto de Privacidade (AIP) ou
Avaliações de Impacto de Proteção de Dados (AIPD)
ETAPA Executar Avaliações de Impacto
de Proteção de Dados
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 5: Avaliação e Melhoria da
Proteção de Dados e Privacidade
82. Etapa 5:
• Implementar um procedimento para avaliar os
problemas identificados nas avaliações
• Levantar possíveis proteções ou processos
alternativos para mitigar os riscos identificados
• Monitorar como as ações de mitigação de
risco são implementadas.
As empresas e organizações precisam:
ETAPA Resolver Riscos de Proteção
de Dados e Privacidade
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 5: Avaliação e Melhoria da
Proteção de Dados e Privacidade
83. • Existem razões para isso, que incluem casos onde existem
riscos de privacidade que não podem ser mitigados por meios
razoáveis pela empresa, ou podem levar mais tempo, e outras.
• Relatórios são emitidos para o regulador ou partes interessadas
relevantes para que esses grupos fiquem informados dos riscos
associados à privacidade de dados antes do lançamento de um
novo produto, programa, sistema, processo, transferência de
dados pessoais para outra jurisdição etc.
ETAPA Relatar a Análise de Riscos de Proteção de Dados e Privacidade
Os resultados das análises de risco devem ser reportados para os reguladores, quando
requeridos, e para as partes interessadas, os stakeholders clientes, empregados,
advogados, conforme apropriado.
Fase 5: Avaliação e Melhoria da
Proteção de Dados e Privacidade
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
84. Uma vez ciente de uma nova proposta de norma, lei ou regulamento de proteção de dados ou
privacidade, é necessário:
• Acompanhar o seguimento e os relatórios para as partes interessadas apropriadas sobre o impacto
• Buscar a opinião do consultor jurídico da organização (interno ou externo) sobre o impacto que
essas novas mudanças terão no programa de privacidade da empresa ou nas atividades de negócio
• Manter o controle de como os novos desenvolvimentos nestas leis e regulamentos têm sido tratados
• Documentar as decisões quando não ficar implementando qualquer mudança, e a justificativa por
trás dessas decisões.
ETAPA Monitorar as Leis e Regulamentos de Proteção de Dados
Monitorar todas as normas, leis e regulamentações
relacionadas a proteção de dados e privacidade.
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 5: Avaliação e Melhoria da
Proteção de Dados e Privacidade
85. ✓ Relatório de Auditoria Interna sobre Proteção de Dados e Privacidade – Etapa 1
✓ Relatório de auditoria externa sobre Proteção de Dados e Privacidade – Etapa 2
✓ Relatório de Avaliação de Privacidade ad-hoc – Etapa 3
✓ Relatório de Autoavaliação de Privacidade – Etapa 3
✓ Relatório de Benchmark (comparação) de Privacidade – Etapa 3
✓ Relatório de Avaliação de Impacto sobre a Proteção de Dados – AIPD – Etapa 4
✓ Relatório de Riscos Resolvidos para Proteção de Dados e Privacidade – Etapa 5
✓ Relatório de Análise de Risco e Resultados de Proteção de Dados e Privacidade – Etapa 6
✓ Relatório de Monitoramento das Leis de Privacidade – Etapa 7
PDPP – Módulo 03: Gerenciando e organizando a proteção de dados
Fase 5: Avaliação e Melhoria da
Proteção de Dados e Privacidade
Resultados:
86. Preparação
Sistema de Gestão
de Proteção de
Dados
Fase 2:
Fase 3:
Fase 4:
Fase 5:
Fase 1:
Avaliação e Melhoria
Governança
Organização
Desenvolvimento e
Implementação