Avaliação de Impacto de Proteção de Dados - Alpha Manufacturing Inc.

Prévia do material em texto

DPIA
Enviando detalhes do controlador
	Nome do Controlador
	Alpha Manufacturing Inc.
	Assunto / título do DPO
	Avaliação de impacto - 
	Nome do contato do controlador / DPO
(apague como apropriado)
	johnybati@gmail.com
Etapa 1: Identificar a necessidade de um DPIA
	Explique amplamente o que o projeto pretende alcançar e que tipo de processamento envolve. Você pode achar útil consultar ou vincular a outros documentos, como uma proposta de projeto. Resuma por que você identificou a necessidade de um DPIA.
	Esta DPIA se faz necessária por conta do processamento tratar de diz respeito à aplicação de uma nova solução tecnológica em uma organização organizacional alterada e também diz respeito ao processamento desses dados pessoais específicos pela parte externa pode ter um impacto significativo no dia a dia e na privacidade dos funcionários da empresa Alpha.
Etapa 2: Descreva o processamento
	Descreva a natureza do processamento: como você coletará, usará, armazenará e apagará dados? Qual é a fonte dos dados? Você compartilhará dados com alguém? Você pode achar útil consultar um diagrama de fluxo ou outra maneira de descrever fluxos de dados. Que tipos de processamento identificados como de alto risco provável está envolvidos?
	Coleta dos dados: realizada na admissão.
Como será utilizado: Utilizado via sistema para processamento da folha
Armazenamento: Servidor do sistema que processa a folha.
Exclusão: Após 10 anos da saída do funcionário da empresa, ou conforme legislação vigente.
Fonte dos dados: Colaborador
Compartilhamento: Sim – para Beta Cloud Services S.A. (Beta) epara 
Realização do fluxo de dados 
Criação de contrato de prestação de serviço com a Beta
	Descreva o âmbito do tratamento: qual é a natureza dos dados e inclui dados de categorias especiais ou de infracções penais? Quantos dados você irá coletar e usar? Quantos dados você irá coletar e usar? Por quanto tempo você vai ficar com ele? Quantas pessoas são afetadas? Que área geográfica cobre?
	Natureza dos dados: Informações fornecidas pelos colaboradores
Inclui categorias especiais ou de infrações penais: Não inclui categorias especiais 
Quantidade de dados coletados e utilização: Nome, RG, CPF, conta bancaria, PIS e data de nascimento 
Frequência da coleta de dados: Sempre que houver nova contratação
Tempo de utilização dos dados: Durante vigência do contrato 
Pessoas afetadas: Todos os colaboradores da Alpha
Que área geográfica cobre: Todas as localidades onde houverem colaborares.
	Descreva o contexto do processamento: qual é a natureza do seu relacionamento com os indivíduos? Quanto controle eles terão? Eles esperam que você use seus dados dessa maneira? Eles incluem crianças ou outros grupos vulneráveis? Existem preocupações anteriores sobre este tipo de processamento ou falhas de segurança? É novo de alguma forma? Qual é o estado atual da tecnologia nesta área? Existem questões atuais de interesse público que você deva levar em consideração? Você se inscreveu em algum código de conduta ou esquema de certificação aprovado (uma vez que algum tenha sido aprovado)?
	Os dados serão processados com finalidade de realizar o pagamento dos salários dos colaboradores, cálculo de INSS e imposto de renda, cálculo de férias, cálculo de 13º salário e verbas rescisórias.
O vínculo dos empregados com a Alpha será feito através de contrato de trabalho, onde estarão descritas todas as obrigações e direitos dos empregados.
Serão controlados através de auditorias internas e externas e verificações mensais dos cálculos.
A Beta aplica controles de firewall, anti vírus, controles de acesso, auditorias de senhas e medidas de pentest.
Os dados fornecidos a Beta poderão incluir dados de crianças.
As tecnologias utilizadas pela Beta são de alta proteção e apresentam requisitos tecnológicos de ponta.
Todos os colaboradores são regidos pelo código de conduta da Alpha
	Descreva os objetivos do processamento: o que você deseja alcançar? Qual é o efeito pretendido sobre os indivíduos? Quais são os benefícios do processamento - para você e de forma mais ampla?
	O objetivo principal do processamento é a realização do processamento da folha de pagamento dos colaboradores da Alpha, o efeito esperado é a redução do quadro de colaboradores das Alpha, diminuição do tempo de processamento e redução dos custos da Alpha. 
Etapa 3: processo de consulta
	Considere como consultar as partes interessadas relevantes: descreva quando e como você buscará as opiniões dos indivíduos - ou justifique por que não é apropriado fazê-lo. Quem mais você precisa envolver em sua organização? Você precisa pedir ajuda aos seus processadores? Você planeja consultar especialistas em segurança da informação ou qualquer outro especialista?
	A Alpha realizou consulta interna com os colaboradores, para verificar a opinião e as possíveis consequências da realização do processamento pela Beta, houve algumas críticas por acharem que a comunicação poderia ser prejudicada.
Os seguintes departamentos foram envolvidos: Financeiro, Fiscal, Recursos Humanos, Planejamento e Escritório de Projetos.
A Beta precisa informar todos os controle de segurança adotados, todos os canais de comunicação inclusive as redundância para que possa ser comunicado aos colaboradores.
Etapa 4: avalie a necessidade e a proporcionalidade
	Descreva as medidas de conformidade e proporcionalidade, em particular: qual é a sua base legal para o processamento? O processamento realmente atinge seu propósito? Existe outra maneira de alcançar o mesmo resultado? Como você evitará o deslocamento da função? Como você garantirá a qualidade e a minimização dos dados? Que informações você dará às pessoas? Como você ajudará a apoiar os direitos deles? Que medidas você toma para garantir que os processadores cumpram? Como você protege quaisquer transferências internacionais?
	A base legal para o processamento é que a Alpha precisa realizar o pagamento das obrigações formados no contrato com colaboradores e precisa honrar as obrigações, como INSS, FGTS e Imposto de Renda.
Após diversos testes realizados com a Beta, também foi realizado pesquisa de mercado para entender as outras possibilidades e a solução apresentada pela Beta foi a melhor e que apresentar os melhores requisitos de segurança da informação.
Outra maneira de alcançar o resultado de processar a folha de pagamento, seria a própria Beta realizar o processamento dos dados.
O deslocamento de função de função será evitado através de auditorias, responsabilidades descritas em contratos, e uma matriz de responsabilidades.
A Alpha monitora as leis em vigor para entender as necessidades atuais e quais os dados pessoais são necessários para a realização do processamento, assim garantindo a minimização dos dados.
Os colaboradores serão comunicados da mudança e também serão informados como será realizado o processamento e quais as medidas de segurança que serão aplicadas no processamento feito pela Beta.
A Alpha colocou em contrato que as transferências de dados internacionais são proibidas por parte a Beta!
Etapa 5: identificar e avaliar os riscos
	Descreva a fonte de risco e a natureza do impacto potencial sobre os indivíduos. Inclua os riscos corporativos e de conformidade associados, conforme necessário. 
	Probabilidade de dano
	Gravidade do dano
	Risco geral
	Vazamento de dados
	Remoto
	Grave
	Alto
	Perda de dados
	Remoto
	Grave
	Alto
	Não exclusão de dados após o término de contrato
	Remoto
	Grave
	Alto
	Não processamento dos dados nos prazos estabelecidos
	Remoto
	Grave
	Alto
	
	
	
	
Etapa 6: Identificar medidas para reduzir o risco
	Identifique medidas adicionais que você pode tomar para reduzir ou eliminar os riscos identificados como médio ou alto risco na etapa 5
	Risco
	Opções para reduzir ou eliminar o risco
	Efeito no risco
	Risco residual
	Medida aprovada
	Apropriação indevida de dados
	Firewal, antivírus e controle de acesso físico e logico
	Eliminado reduzido aceito
	Médio
	Sim 
	Cópia de dados
	Controle de acesso, gerenciamento desenhas e travamento de portas USB
	Reduzido
	Baixo
	Sim
	Destruição de dados
	Backup dos dados
	Reduzido
	Médio
	Sim
	Desastre natural
	Backup dos dados e redundância de serviços
	Reduzido
	Baixo
	Sim
Etapa 7: assinar e registrar os resultados
	Item 
	Nome / cargo / data
	Notas
	Medidas aprovadas por:
	João da Dores
	Integrar ações de volta ao plano do projeto, com data e responsabilidade pela conclusão
	Riscos residuais aprovados por:
	Maria Bonita
	Se aceitar qualquer alto risco residual, consulte a OIC antes de prosseguir
	Conselhos DPO fornecidos:
	Os controles devem ser implementados antes do início do vigor do contrato
	O DPO deve aconselhar sobre conformidade, medidas da etapa 6 e se o processamento pode prosseguir
	Resumo do conselho do DPO: Implementar todos os controles antes do inicio do processamento, realização de auditorias periódicas, monitoramento do ambiente da Beta e avaliação da prestação do serviço por períodos regulares.
	Conselho DPO aceito ou rejeitado por:
	José Nascimento
	Se rejeitado, você deve explicar seus motivos
	Comentários:
	Respostas da consulta revisadas por:
	Marcia Alencar
	Se sua decisão diverge das visões individuais, você deve explicar suas razões
	Comentários:
	Este DPIA será mantido sob revisão por:
	Johny Batista
	O DPO também deve revisar a conformidade contínua com DPIA
DPIA template
20180622
v0.4		2						2