Prévia do material em texto
Página | 1 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Página | 2 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal O ambiente de treinamento fornecido para você é apenas para uso durante o Programa de Treinamento de Certificação OneTrust. Você só terá acesso ao login durante a duração do treinamento. URL de treinamento: training.onetrust.com Consulte seu instrutor para obter a senha do seu ambiente. Página | 3 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Sumário Introdução ............................................................................................................................................................................................................................... 10 Dicas do Manual ..................................................................................................................................................................................................................... 11 Usando o Índice ........................................................................................................................................................................................................................................................ 11 Usando hiperlinks de exercícios ................................................................................................................................................................................................................................ 11 Vendas ...................................................................................................................................................................................................................................................................... 12 Suporte técnico ......................................................................................................................................................................................................................................................... 12 Suporte ao parceiro .................................................................................................................................................................................................................................................. 12 My OneTrust ............................................................................................................................................................................................................................................................. 13 Solicitação de suporte na plataforma ...................................................................................................................................................................................................................... 13 Configurações globais .............................................................................................................................................................................................................. 15 E-mail automatizado ................................................................................................................................................................................................................................................ 15 Login único ................................................................................................................................................................................................................................................................ 15 Organizações, funções e usuários ............................................................................................................................................................................................................................ 15 Marca ....................................................................................................................................................................................................................................................................... 16 Exercícios .................................................................................................................................................................................................................................................................. 17 Exercício de Identidade Visual do aplicativo ............................................................................. 17 Automação das Avaliações ................................................................................................................................................................................................... 17 Visão geral ................................................................................................................................................................................................................................................................ 17 Regulamentos ........................................................................................................................................................................................................................................................... 18 Artigo 25 do GDPR: Proteção de dados por design e padrão .................................................... 18 Artigo 35 do GDPR: Avaliação do Impacto da Proteção de Dados ............................................ 18 Artigo 36 do GDPR: Consulta Prévia ............................................................................................ 19 CCPA 1798.110: Expansão do direito de saber sobre a cobrança.............................................. 19 Artigo 38 da LGPD: Registro das Atividades de Processamento ............................................... 20 Melhores Práticas ..................................................................................................................................................................................................................................................... 21 Execução ................................................................................................................................................................................................................................................................... 22 Criar modelo ................................................................................................................................. 22 Gerenciando Versões ................................................................................................................... 22 Enviar uma Avaliação .................................................................................................................. 22 Sinalizar um risco ......................................................................................................................... 23 Gerenciar Risco ............................................................................................................................. 23 Página | 4 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Criar relatório ............................................................................................................................... 24 Gerenciamento de risco de terceiros ..................................................................................................................................................................................24 Visão geral ................................................................................................................................................................................................................................................................ 25 Regulamentos ........................................................................................................................................................................................................................................................... 25 Artigo 24 do GDPR: Responsabilidade do Controlador .............................................................. 25 Artigo 28 do GDPR: Processador .................................................................................................. 25 Artigo 29 do GDPR: Processamento sob a autoridade do controlador ou processador ......... 26 Artigo 46 do GDPR: Transferências Sujeitas a Salvaguardas Apropriadas .............................. 26 CCPA 1798.110: Obrigações de divulgação para coleta de informações pessoais .................. 26 CCPA 1798.115: Obrigações de Divulgação para Venda de Informações Pessoais .................. 27 Melhores Práticas ..................................................................................................................................................................................................................................................... 27 Execução ................................................................................................................................................................................................................................................................... 28 Crie um Modelo de Avaliação de Fornecedor ............................................................................ 28 Adicionar fornecedor através do Vendorpedia Exchange ........................................................ 28 Lance Avaliações via inventário ................................................................................................. 29 Criar uma regra de automação ................................................................................................... 29 Gestão de Incidentes ............................................................................................................................................................................................................. 30 Visão geral ................................................................................................................................................................................................................................................................ 30 Regulamentos ........................................................................................................................................................................................................................................................... 30 Artigo 33 do GDPR: Notificação de violação de dados pessoais às autoridades supervisoras ....................................................................................................................................................... 30 Artigo 34 do GDPR: Comunicação de uma violação de dados pessoais aos titulares dos dados ............................................................................................................................................. 31 CCPA 1798.150: Alívio ao consumidor para violações de dados ............................................... 31 Artigo 48 da LGPD: Notificação de Violação de Dados Pessoais à Autoridade Supervisora... 31 POPIA Seção 22: Notificação de Comprometimentos de Segurança ....................................... 32 Melhores Práticas ..................................................................................................................................................................................................................................................... 32 ......................................................................................................................................................................... 33 Página | 5 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Execução ................................................................................................................................................................................................................................................................... 33 Criar fluxo de trabalho de incidente .......................................................................................... 34 Configurar portal de Autoatendimento ..................................................................................... 34 Estágio do Incidente de Progresso .............................................................................................. 34 Automação de Mapeamento de Dados ............................................................................................................................................................................... 34 Visão geral ................................................................................................................................................................................................................................................................ 35 Regulamentos ........................................................................................................................................................................................................................................................... 35 Artigo 30 do GDPR: Mantendo Registros de Atividades de Processamento ............................ 35 Artigo 37 da LGPD: Registro das Atividades de Processamento ............................................... 36 Melhores Práticas ..................................................................................................................................................................................................................................................... 37 Execução ................................................................................................................................................................................................................................................................... 38 Criar um atributo ......................................................................................................................... 38 Criar modelo de inventário ......................................................................................................... 38 Criar registros de inventário ....................................................................................................... 38 Criar e enviar avaliações ............................................................................................................. 39 Visualizar e criar relatório do artigo 30 ...................................................................................... 39 Consentimento de Cookies ................................................................................................................................................................................................... 39 Visão geral ................................................................................................................................................................................................................................................................ 40 Regulamentos ...........................................................................................................................................................................................................................................................40 Diretiva de privacidade eletrônica ............................................................................................. 40 Artigo 7 do GDPR: Condições para Consentimento ................................................................... 40 Artigo 21 do GDPR: Direito de objeção ....................................................................................... 41 CCPA 1798.115: Direito de saber sobre venda ou divulgação ................................................... 41 CCPA 1798.135: Obrigações de conformidade - Direito de recusar .......................................... 41 Melhores Práticas ..................................................................................................................................................................................................................................................... 42 Execução ................................................................................................................................................................................................................................................................... 43 Executar uma verificação ............................................................................................................ 43 Criar modelo de banner de cookie .............................................................................................. 43 Configurar centro de preferências ............................................................................................. 43 Página | 6 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Categorizar cookies ...................................................................................................................... 44 Configurar geolocalização ........................................................................................................... 44 Automação dos Direitos de Privacidade ............................................................................................................................................................................. 44 Visão geral ................................................................................................................................................................................................................................................................ 44 Regulamentos ........................................................................................................................................................................................................................................................... 45 Artigo 12 do GDPR: Informações, Comunicação e Modalidades Transparentes para o Exercício dos Direitos do Titular dos Dados ............................................................................... 45 Nove Direitos do Titular dos Dados sob o GDPR: ....................................................................... 45 Artigo 5º, 16 e 18 da LGPD: Direitos do Titular dos Dados ......................................................... 46 Dez direitos do consumidor sob a CCPA: .................................................................................... 47 CCPA 17987.130: Métodos para envio de solicitações ............................................................... 47 CCPA 1798.135: Obrigações de conformidade - Direito de recusar .......................................... 48 Melhores Práticas ..................................................................................................................................................................................................................................................... 48 Execução ................................................................................................................................................................................................................................................................... 49 Criar fluxo de trabalho DSAR....................................................................................................... 49 Criar e testar formulário da Web ................................................................................................ 49 Solicitação de Processo ................................................................................................................ 50 Definir configurações do módulo ............................................................................................... 50 Consentimento ....................................................................................................................................................................................................................... 50 Visão geral ................................................................................................................................................................................................................................................................ 51 51 Regulamentos ........................................................................................................................................................................................................................................................... 51 Artigo 4º do GDPR: Definição de Consentimento ....................................................................... 51 Artigo 12 do GDPR: Informações Transparentes para o Exercício dos Direitos do Titular dos Dados ............................................................................................................................................. 51 CCPA 1798.125. Incentivos financeiros ....................................................................................... 51 Princípio PIPEDA 4.3: Consentimento Significativo ................................................................... 52 Página | 7 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Melhores Práticas ..................................................................................................................................................................................................................................................... 52 Execução ................................................................................................................................................................................................................................................................... 53 Criar preferências e propósitos personalizados ........................................................................ 54 Adicionar um ponto de coleta ..................................................................................................... 54 Envie o consentimento e analise os detalhes do recibo ........................................................... 54 Glossário .................................................................................................................................................................................................................................. 55 UMA .......................................................................................................................................................................................................................................................................... 56 B ................................................................................................................................................................................................................................................................................ 56 C ................................................................................................................................................................................................................................................................................57 D................................................................................................................................................................................................................................................................................ 58 E ................................................................................................................................................................................................................................................................................ 59 F ................................................................................................................................................................................................................................................................................ 59 G................................................................................................................................................................................................................................................................................ 59 EU.............................................................................................................................................................................................................................................................................. 59 M ............................................................................................................................................................................................................................................................................... 60 P ................................................................................................................................................................................................................................................................................ 60 R ................................................................................................................................................................................................................................................................................ 61 S ................................................................................................................................................................................................................................................................................ 62 você ........................................................................................................................................................................................................................................................................... 62 Etapas detalhadas dos exercícios ............................................................................................................................................................................................ 63 Marca do aplicativo .................................................................................................................................................................................................................................................. 63 Ex 1: Configurar a marca do aplicativo ....................................................................................... 63 Automação das Avaliações....................................................................................................................................................................................................................................... 64 Ex 1: Criar um Modelo de Questionário ...................................................................................... 64 SOMENTE DEMONSTRAÇÃO - Edite um modelo publicado ....................................................... 65 Ex 2: Lançar uma Avaliação ......................................................................................................... 66 Ex 3: Sinalizar e Gerenciar Riscos de uma Avaliação ................................................................. 66 Ex 4: Gerenciar Riscos do Registro de Riscos.............................................................................. 68 Ex 5: Relatórios ............................................................................................................................. 68 Gestão de riscos de terceiros .................................................................................................................................................................................................................................... 70 Ex 1: Adicionar lógica de regra a um modelo pré-criado........................................................... 70 Ex 2: Adicione um Fornecedor ao Inventário de Fornecedores da Troca de Risco de Terceiros ....................................................................................................................................................... 71 Página | 8 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Ex 3: Criar uma Regra de Automação ......................................................................................... 72 Gestão de Incidentes ................................................................................................................................................................................................................................................ 73 Ex 1: Criar um Fluxo de Trabalho de Incidente .......................................................................... 73 Ex 2: Habilitar o Portal de Autoatendimento e Relatar um Incidente ..................................... 75 Ex 3: Processe o Incidente Relatado ........................................................................................... 76 Automação de Mapeamento de dados .................................................................................................................................................................................................................... 77 Ex 1: Crie um Atributo no Gestor do inventário......................................................................... 77 Ex 2: Personalizar um modelo de inventário ............................................................................. 78 Ex 3: Adicione itens de inventário e crie seu mapa de dados ................................................... 79 Ex 4: Atribuição de avaliação em Massa ..................................................................................... 81 Atividades de Relatório - Mapeamento (Somente Demonstração): ........................................ 81 Ex 5: Criar um Relatório do Artigo 30 .......................................................................................... 82 Consentimento de cookies ........................................................................................................................................................................................................................................ 83 Ex 1: Inicie uma varredura no site .............................................................................................. 83 Ex 2: Crie um Banner de Cookies ................................................................................................. 83 Ex 3: Configurar o Centro de Preferências ................................................................................. 84 Ex 4: Personalizar categorias de cookies e recategorizar cookies ........................................... 84 Ex 5: Criar uma regra de geolocalização ..................................................................................... 85 Automação dos Direitos de Privacidade ...................................................................................................................................................................................................................86 Ex 1: Criar um fluxo de trabalho ................................................................................................. 86 Ex 2: Criar um formulário da Web ............................................................................................... 87 Ex 3: Processar a Solicitação Enviada ......................................................................................... 89 Ex 4: Revise as configurações de DSAR ....................................................................................... 90 Consentimento.......................................................................................................................................................................................................................................................... 91 Ex 1: Criar Preferências e Propósito Personalizados ................................................................. 91 Ex 2: Adicionar um Ponto de Coleta ............................................................................................ 92 Ex 3: Envie o consentimento e analise os detalhes do recibo .................................................. 94 Página | 9 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Guia de referência do Programa de Certificação OneTrust Preparado para: Página | 10 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Participantes do Programa de Certificação OneTrust Versão 5.9.22 Introdução Bem-vindo(a) ao Manual de Referência do Programa de Certificação OneTrust, seu guia completo para se tornar um Profissional certificado de Gerenciamento de Privacidade com OneTrust. OneTrust é o software líder global para operacionalizar a conformidade com a privacidade de dados e a privacidade desde a concepção. A OneTrust automatiza avaliações de impacto de privacidade e mapeamento de dados, identifica riscos de privacidade e, com uma abordagem integrada e ágil, reforça atividades de gerenciamento e controle de riscos. Nosso software baseado na web fornece um repositório central para profissionais de privacidade colaborarem com grupos de negócios, provedores de serviços e consultores confiáveis, gerenciando riscos de privacidade em dados de clientes, dados de funcionários e transferências de dados de fornecedores. O resultado é a capacidade de demonstrar responsabilidade e conformidade com os requisitos de proteção de dados da UE e globalmente em todas as jurisdições e estruturas de privacidade. Página | 11 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Dicas do Manual Usando o Índice Usando hiperlinks de exercícios Clicar em uma linha o levará diretamente à seção! Cada exercício terá uma visão geral da importância da funcionalidade. Clicar no azul “aqui” o levará a etapas detalhadas de como concluir o exercício. O título em azul do exercício pode ser clicado para retornar à seção de visão geral em que você estava anteriormente. Página | 12 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Recursos e suporte Vendas • E-mail : contatobr@onetrust.com Suporte técnico • E-mail: support@onetrust.com Suporte ao parceiro • E-mail: partnersupport@onetrust.com Este suporte de parceiro pode ajudar com: 1. Agendamento de Demonstrações do Cliente 2. Como enviar uma RFI/RFP com a OneTrust 3. Referências de clientes 4. Estratégia e alinhamento da conta 5. Recursos Adicionais e Garantias Outros recursos incluem: 1. Vídeos de demonstração de produtos 2. Folheto de visão geral da OneTrust 3. Whitepaper GDPR mostrando como a OneTrust pode ajudar 4. Inscrição nos Workshops SmartPrivacy 5. Modelo de preços OneTrust mailto:contatobr@onetrust.com mailto:support@onetrust.com mailto:partnersupport@onetrust.com Página | 13 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal My OneTrust • Site : my.OneTrust.com My OneTrust é uma plataforma que pode ser acessada por todos os clientes OneTrust para obtenção de recursos adicionais que incluem, mas não se limitam a: 1. Base de conhecimento OneTrust 2. Notas de lançamento 3. Manutenção agendada 4. Status do sistema ativo 5. Enviar um ticket 6. Portal do desenvolvedor 7. Obtenção da certificação OneTrust Solicitação de suporte na plataforma Você pode enviar um tíquete de suporte técnico à equipe da OneTrust diretamente da sua plataforma seguindo estas etapas: 1. Faça login no OneTrust 2. Clique no Launchpad no canto superior esquerdo e selecione "Obter ajuda" no canto inferior direito https://my.onetrust.com/s/?language=en_US Página | 14 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal 3. Preencha sua pergunta no portal de mensagens que aparece e clique em “Enviar” Página | 15 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Configurações globais E-mail automatizado Muitas atividades na plataforma OneTrust podem acionar o envio de e-mails automáticos do sistema. Por padrão, esse e-mail será enviado de noreply@onetrust.com. Este endereço de e-mail pode ser alterado atualizando as configurações de conta de e-mail para as contas de e-mail do Simple Mail Transfer Protocol (SMTP) ou do Microsoft Exchange. Login único Uma das maneiras mais rápidas de entrar na plataforma OneTrust é usando o Single Sign-On. Isso poderá ser definido nas configurações do usuário clicando em “Single Sign-On” abaixo do cabeçalho “Gestão de acesso” nas configurações gerais. Isso o levará diretamente à guia Configuração. Organizações, funções e usuários Organizações, Funções e Usuários são as configurações que afetarão a experiência do usuário no sistema. Ao criar um novo usuário, no qual um indivíduo precisará fazer login na plataforma, esse usuário deve estar associado a cada um dos seguintes: • Organização – controla a quais dados o usuário terá acesso o As organizações são configuradas em uma árvore hierárquica • Função – controla a quais módulos e processos o usuário terá acesso o As funções são configuradas individualmente; muitas funções básicas já estão pré- configuradas no sistema. Cada função recebe permissões específicas que podem ser filtradas por módulo. Página | 16 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Marca As configurações da marca do aplicativo permitem que os usuários atualizem a parte superior do aplicativo com a cor da marca, a cor do texto, o título da página e o logotipo da empresa. - Exemplo da marca do aplicativo original: - Exemplo de uma marca de aplicativo alterada: Página | 17 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Exercícios Exercício de Identidade Visual do aplicativo O exercício de Identidade Visual do aplicativo mostra como atualizar o aplicativo OneTrust para se assemelhar aos padrões de marketing da sua empresa. A cor do “banner”, o logotipo e o título da página são todos configuráveis. Clique aqui para obter etapas detalhadas de como concluir este exercício. Automação das AvaliaçõesVisão geral O módulo Automação das Avaliações OneTrust ajuda os profissionais de privacidade a identificar e rastrear o uso de informações pessoais em toda a organização. A Automação de Avaliação ajuda a operacionalizar a Privacidade desde à concepção (PbD) para cumprir com os requisitos do GDPR e da LGPD. As avaliações automatizadas de impacto à privacidade (PIAs) e avaliações de impacto de proteção de dados (DPIAs) da OneTrust são projetadas para aumentar a adoção em toda a organização através da utilização de modelos baseados em funções e ferramentas de autoatendimento integradas aos ciclos de vida do projeto. Todos projetos de privacidade da organização estarão consolidados em um painel central de controle permitindo um completo registro das atividades de proteção de dados. Página | 18 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Regulamentos Artigo 25 do GDPR: Proteção de dados por design e padrão Artigo 25 (1) - “tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizacionais adequadas” Artigo 25 (2) - “O responsável pelo tratamento aplica medidas técnicas e organizacionais para assegurar que, por padrão, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento." Artigo 35 do GDPR: Avaliação do Impacto da Proteção de Dados Artigo 35 (3) - “Avaliação sistemática e completa (...) baseada no tratamento automatizado” - “tratamento em grande escala de categorias especiais de dados" - “Controle sistemático de zonas acessíveis ao público em grande escala" Artigo 35 (7) A avaliação deve conter: - “descrição sistemática” - “avaliação da necessidade e proporcionalidade” - “avaliação dos riscos” - “medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos...” Página | 19 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Artigo 36 do GDPR: Consulta Prévia Artigo 36 (1) - “consulta a autoridade de controle (...) quando a avaliação de impacto sobre a proteção de dados (...) indicar que o tratamento resultaria num o elevado risco na ausência das medidas tomadas...” O Conselho Europeu de Proteção de Dados (EDPB) deu exemplos de alto risco residual inaceitável: - Sempre que os titulares dos dados possam encontrar consequências significativas, ou mesmo irreversíveis, que não poderão ser superadas ou e/ou quando parece óbvio que os riscos serão concretizados. Artigo 36 (3) o controlador deverá informar à autoridade de controle: - “a repartição de responsabilidades entre o responsável pelo tratamento(...) e os subcontratantes envolvidos” - “finalidades e os meios do tratamento previsto" - “medidas e garantias previstas" - “contatos do DPO” - “avaliação de impacto sobre a proteção de dados" - “quaisquer outras informações solicitadas" CCPA 1798.110: Expansão do direito de saber sobre a cobrança Uma empresa que coleta informação pessoal de um consumidor deve divulgar… - Categorias de informações pessoais coletadas Página | 20 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal - Categorias das fontes - A finalidade comercial ou do negócio - As categorias de terceiros com os quais a empresa compartilhou informações - Partes específicas das informações pessoais coletadas Artigo 38 da LGPD: Registro das Atividades de Processamento - “A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis … - “..., o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. Página | 21 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Melhores Práticas • Insira definições personalizadas nas perguntas de avaliação para orientar os respondentes sobre o significado de cada opção de resposta fornecida. • Forneça aos respondentes dicas em relação ao contexto ou esclarecimento de uma pergunta (exemplo: “somente de segunda-feira à sexta-feira”, ou “consulte as definições abaixo”). • Forneça descrições para orientar os respondentes das opções de resposta disponíveis (exemplo: “selecione todas as opções aplicáveis”). • Permita respostas flexíveis para facilitar respostas mais precisas e completas dos entrevistados. (exemplo: “outros”). - Use de vários respondentes ou vários aprovadores para maior eficiência - Adicione aprovadores com base na resposta de uma pergunta - Uso de Respondente Interno ou Externo Página | 22 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Execução Criar modelo As avaliações na plataforma OneTrust são baseadas em modelos. Os modelos são questionários configuráveis que podem incluir vários tipos de perguntas e pular/ignorar questões e/ou regras de lógica. Ao criar um modelo, um usuário pode criar o questionário do zero ou usar como base um modelo pré-elaborado da OneTrust realizando os ajustes para atender às necessidades de sua organização. Depois que um modelo é publicado, ele pode ser usado para quantas avaliações forem necessárias, cada uma com um nome e uma descrição diferentes. Clique aqui para acessar as etapas detalhadas sobre como concluir este exercício. Gerenciando Versões Depois que um modelo é publicado, ele pode ser alterado para atender às necessidades de uma organização ao longo do tempo. Há duas maneiras de um usuário atualizar um modelo: editando a versão atual ou criando uma nova versão. Cada um tem seus benefícios e as alterações de versão podem ser rastreadas ao longo do tempo. Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Enviar uma Avaliação Depois que os modelos são publicados, eles podem ser lançados como uma avaliação para respondentes internos ou externos. As avaliações então entram no que é chamado de ciclo de vida da avaliação (abaixo). Este exercício se concentra em selecionar um modelo para usar como avaliação e enviá-lo a um respondente, entrando no estágio “Não iniciado”. Página | 23 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Sinalizar um risco Um dos principais objetivos do envio de avaliações é identificar lacunas em um programa de segurança ou privacidade. Os riscos são identificados a partir de como os respondentes respondem às perguntas da avaliação durante o estágio “Em revisão” do ciclo de vida da avaliação. Uma vez identificado um risco, seja manualmente ou via lógica, ele iniciará seu próprio ciclo de vida, visto a seguir. Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Gerenciar Risco Uma vez que os riscos são identificados, o Proprietário do Risco e o Aprovador do Risco trabalham juntos para garantir que um risco seja mitigado adequadamente e que o nível de risco seja reduzido para um nível aceitável. Para fazer isso, os dois podem criar e concluir tarefas, adicionar comentários, anexar documentos e muito mais. O gerenciamento de riscos é uma parte fundamental para manter seguras as informações deidentificação pessoal. Página | 24 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Criar relatório Pode haver muitas avaliações sendo gerenciadas ao mesmo tempo, com vários riscos identificados de cada uma. Manter-se atualizado com esses dados pode ser difícil, mesmo a partir do Painel (Dashboard), que oferece uma visão de alto nível do tipo de avaliação que está atualmente no módulo. Se você precisar de uma visão mais detalhada, saber como gerar um relatório é fundamental. Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Gerenciamento de risco de terceiros Página | 25 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Visão geral A ferramenta de Gerenciamento de risco dos fornecedores da OneTrust permite que as organizações realizem a devida diligência do fornecedor durante a fase inicial de integração do fornecedor, bem como auditem novamente os fornecedores existentes em um cronograma baseado em risco. Os questionários de avaliação de privacidade e segurança do fornecedor podem ser enviados diretamente ao fornecedor ou a terceiros para preencher e gerar um registro central de todos os seus fornecedores, contratos, transferências de dados, a base legal para quaisquer transferências internacionais e as obrigações de segurança adequadas. Regulamentos Artigo 24 do GDPR: Responsabilidade do Controlador Artigo 24 (1) • “deve implementar... e ser capaz para demonstrar que o processamento é realizado em conformidade com este Regulamento" • “medidas deve ser revisado e Atualizada Onde necessário" Artigo 28 do GDPR: Processador Artigo 28 (1) • “o controlador deve só usar processadores que forneçam garantias suficientes de implementar medidas técnicas e organizacionais apropriadas” Página | 26 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Artigo 28 (4) • “quando um processador contrata outro processador … as mesmas obrigações de proteção de dados … são impostas” Artigo 29 do GDPR: Processamento sob a autoridade do controlador ou processador Artigo 29 • “o processador ... não procede aos tratamentos desses dados exceto por instrução do responsável pelo tratamento” Artigo 4.7 • “O controlador … determina as finalidades e os meios de processamento de dados pessoais.” Artigo 46 do GDPR: Transferências Sujeitas a Salvaguardas Apropriadas Artigo 46 (1) • “pode transferir dados pessoais para um país ou organização internacional somente se o controlador ou processador fornecer as salvaguardas apropriadas ” CCPA 1798.110: Obrigações de divulgação para coleta de informações pessoais • "O consumidor tem o direito de solicitar que uma empresa que coleta informações pessoais sobre o consumidor revele a ele o seguinte:” o "As categorias de terceiros com os quais a empresa compartilha informações pessoais." Página | 27 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal CCPA 1798.115: Obrigações de Divulgação para Venda de Informações Pessoais • As categorias de informações pessoais que a empresa vendeu... e as categorias de terceiros • Um terceiro não deve vender informações pessoais sobre um consumidor que tenha sido vendida para o terceiro parte por uma empresa, a menos que o consumidor tenha recebido aviso explícito e seja fornecido uma oportunidade para exercício a direita para excluir Melhores Práticas • Analise os questionários do fornecedor OneTrust • Questionário único ou múltiplo • Um questionário o Lógica de salto condicional o Agrupe perguntas semelhantes Página | 28 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal • Vários questionários o Enviar regra de avaliação o Acionar avaliações adicionais • Regras de automação • Acionadores de frequência Execução Crie um Modelo de Avaliação de Fornecedor Antes de fechar contratos com fornecedores, precisamos ter certeza de que eles atendem aos nossos padrões de conformidade de privacidade como empresa. Para fazer isso, podemos criar um modelo de questionário para enviar ao fornecedor como uma avaliação para auditar seu programa de privacidade. A lógica pode ser incorporada a esses modelos para identificar e criar automaticamente riscos no OneTrust que ocorreriam se usássemos esse terceiro. Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Adicionar fornecedor através do Vendorpedia Exchange Adicionar um fornecedor ao nosso inventário de fornecedores pode ser feito de várias maneiras, incluindo manualmente, por meio de uma avaliação, em massa ou usando o Vendorpedia Exchange. O Vendorpedia Exchange tem dezenas de milhares de fornecedores com suas informações de privacidade e certificados em Página | 29 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal exibição, permitindo que as organizações analisem várias empresas e selecionem aquela que funciona melhor para elas. Outra vantagem é que todas as informações do Vendorpedia Exchange são transferidas automaticamente para a tela de detalhes do Inventário do Fornecedor. Qualquer atualização futura desse fornecedor no Exchange também atualizará automaticamente seu inventário. Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Lance Avaliações via inventário Quando os fornecedores são adicionados ao seu inventário, eles chegam ao estágio “Novo”. A partir daí, eles precisam ser avaliados por todas as razões mencionadas nos primeiros exercícios deste capítulo. A próxima etapa, mostrada neste exercício, é como avaliar o fornecedor recém-adicionado diretamente do inventário. Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Criar uma regra de automação Sua política de privacidade estará melhorando continuamente. Com essas mudanças, as organizações precisarão garantir que os programas de privacidade de seus terceiros também sejam mantidos atualizados. As regras de automação podem ser configuradas para enviar avaliações automaticamente aos fornecedores ao longo do tempo para reavaliar seus programas. Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Página | 30 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Gestão de Incidentes Visão geral A ferramenta de Resposta ao Incidente da OneTrust permite que as organizações mantenham registros de incidentes e violações, avaliem os requisitos de notificação e analisem o risco geral com conexões com o inventário de dados subjacente. Construir um processo sistemático para documentar o incidente, entender se resultou em uma violação, analisar os danos ao indivíduo e determinar se uma notificação à autoridade supervisora ou ao titular dos dados. Regulamentos Artigo 33 do GDPR: Notificação de violação de dados pessoais às autoridades supervisoras Artigo 33 (1) • “em a caso de violação de dados pessoais, o controlador deve sem demora injustificada, notificar a autoridade de controle competente no mais tardar em até 72 horas, após ter tomado conhecimento” Artigo 33 (2) • “o processador deve notificar o controlador sem demora injustificada” Artigo 33 (3) Notificação deve conter: • “natureza da violaçãodos dados pessoais" Página | 31 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal • “nome e os contatos do encarregado da proteção de dados” • ”medidas tomadas ou propostas…para lidar com a violação de dados pessoais…medidas para mitigar seus eventuais efeitos negativos” Artigo 34 do GDPR: Comunicação de uma violação de dados pessoais aos titulares dos dados Artigo 34 (1) • “suscetível de implicar um elevado risco para os direitos e liberdades...o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada” CCPA 1798.150: Alívio ao consumidor para violações de dados • “Qualquer consumidor cujas informações pessoais não criptografadas ou não regulamentadas, ... que estão sujeitas a uma transferência, acesso não autorizado, roubo ou divulgação como resultado da violação da empresa quanto ao dever de implementar e manter procedimentos de segurança razoáveis...”. Ações Civis • “Para recuperar danos em um valor não inferior a cem dólares (US$ 100) e não superior de setecentos e cinquenta (US$ 750) por consumidor, por incidente ou danos reais, o que for maior" • As empresas têm um período de remediação de 30 dias para retificar danos decorrentes da violação. Artigo 48 da LGPD: Notificação de Violação de Dados Pessoais à Autoridade Supervisora • “O responsável pelo tratamento deve comunicar à autoridade nacional e ao titular dos Página | 32 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal dados a ocorrência de um incidente de segurança que possa criar risco ou dano relevante aos titulares dos dados.” • “A comunicação deve ser feita em um prazo razoável, conforme definido pela autoridade nacional...” POPIA Seção 22: Notificação de Comprometimentos de Segurança • “Quando … as informações pessoais de um titular de dados forem acessadas ou adquiridas por qualquer pessoa não autorizada, a parte responsável deve notificar o Regulador e … o titular dos dados, a menos que [sua] identidade … não possa ser estabelecida” • “A notificação … deve ser feita o mais rápido possível após a descoberta do compromisso” • “A notificação a um titular de dados … deve ser por escrito e comunicada … em pelo menos uma das seguintes formas: o enviado para o último endereço físico ou postal conhecido do titular dos dados; o enviado por e-mail para o último endereço de e-mail conhecido do titular dos dados; o colocado … no site do responsável; o publicados nos meios de comunicação; ou o conforme orientação do Regulador” • “O Regulador pode direcionar … para divulgar … o fato … se o Regulador tiver motivos razoáveis para acreditar que tal publicidade protegeria um titular de dados que possa ser afetado” Melhores Práticas Página | 33 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal • Ative um Portal de Autoatendimento • Incorpore-o em sua intranet • Adicione um gatilho para um Fluxo de Trabalho de Privacidade • As avaliações podem ser usadas para reportar os incidentes • Forneça descrições detalhadas dos eventos • Mantenha a comunicação centralizada • Monitore a responsabilidade • Reduza o tempo de resposta Execução Página | 34 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Criar fluxo de trabalho de incidente Os incidentes relatados são gerenciados no OneTrust em um fluxo de trabalho de incidentes. Os fluxos de trabalho de incidentes são uma série de etapas em que os usuários podem colaborar em um local centralizado usando notificações, tarefas, anexos, comentários e muito mais para garantir que o incidente seja mitigado adequadamente e em tempo hábil. Diferentes tipos de incidentes, no entanto, podem precisar de fluxos de trabalho exclusivos. O OneTrust oferece aos clientes a capacidade de criar vários fluxos de trabalho para atender aos diferentes cenários que eles esperam encontrar. Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Configurar portal de Autoatendimento As avaliações podem ser usadas para coletar detalhes importantes sobre um incidente e passar essas informações para o fluxo de trabalho adequado criado no primeiro exercício. Para aumentar a velocidade com que a avaliação é concluída, um Portal de Autoatendimento pode ser configurado para permitir que o usuário responda e envie a avaliação por conta própria, em vez de esperar que alguém envie o questionário. Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Estágio do Incidente de Progresso Uma vez que um incidente é relatado, quaisquer riscos associados precisam ser mitigados. Isso pode ser feito no fluxo de trabalho de incidente criado no primeiro exercício. Esses portais de fluxo de trabalho permitem tarefas, comentários, anexos, vários estágios, notificações e muito mais para garantir que os riscos sejam gerenciados e levados a um nível seguro. Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Automação de Mapeamento de Dados Página | 35 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Visão geral A ferramenta de Mapeamento de Dados da OneTrust oferece a capacidade de descobrir e inventariar os aplicativos ou ativos usados, descobrir e inventariar os processos de negócios associados a esses ativos e configurar e documentar os principais atributos associados aos aplicativos e aos processos usados. Nós vamos providenciar as ferramentas para acompanhar a riscos associado com o mapeamento de dados, como nós vamos gerar visuais que representar dados fluxos entre político e geográfico regiões. Regulamentos Artigo 30 do GDPR: Mantendo Registros de Atividades de Processamento Artigo 30 (1) • " Cada responsável pelo tratamento... conserva um registro de todas as atividades de tratamento sob sua responsabilidade” Artigo 30 (2) • " Cada subcontratante ...conserva um registro de todas as categorias de atividades de tratamento realizadas em nome de um responsável pelo tratamento" Artigo 30 (4) • “...disponibilizam, a pedido, o registro à autoridade de controle" Página | 36 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Controladores, Artigo 30(1) Processadores, Artigo 30(2) Registros de Atividades de processamento Categorias de Atividades de Processamento Informações de contato Nome e contactos de: - Controlador - Controlador Conjunto (quando aplicável) - Representante do controlador - Diretor de Proteção de Dados (DPO) Nome e contactos de: - O(s) processador(es) - Cada controlador em nome de qual processador está agindo - Representantes de controladores e processadores - Diretor de Proteção de Dados (DPO) Finalidade do Processamento Finalidades do processamento N / D Titulares de dados Categorias de titulares de dados N / D Dados pessoais Categorias de dados pessoais N / D Destinatários Categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo destinatários em países terceiros ou organizações internacionais. N / D Transferências transfronteiriças Transferências de dados pessoais para um país terceiro ou uma organização internacional. Salvaguardas sobre a transferência da lista no artigo 49.º, n.º 1 Transferências de dados pessoais para um país terceiro ou uma organização internacional. Salvaguardas sobre a transferência dalista no artigo 49.º, n.º 1 Retenção Prazos previstos para o apagamento das diferentes categorias de dados N / D Segurança Medidas de segurança técnica e organizacional [Artigo 32(1)] Medidas de segurança técnica e organizacional [Artigo 32(1)] Artigo 37 da LGPD: Registro das Atividades de Processamento Página | 37 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Artigo 37 • “O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.” Melhores Práticas • Atributos descrevem itens em um inventário • Que descrições terão valor para uma lista • Qual o prazo para reavaliação? • Como novos ativos/itens são incorporados? • Ativos – ferramentas ou recursos • Atividades de tratamento – ações que utilizam ou interagem os dados • Relacione itens de inventário Página | 38 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Execução Criar um atributo Ativos, Atividades de Processamento, Fornecedores e Entidades são todos descritos e diferenciados com base nos atributos do sistema. Exemplos de atributos podem ser seu nome, descrição, proprietário de TI, localização e muito, muito mais. O OneTrust tem atributos prontos para uso que são comuns entre todos os clientes, mas também oferece às organizações a capacidade de criar seus próprios atributos personalizados para ajudar a definir seus diferentes tipos de inventário. Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Criar modelo de inventário Não basta ter atributos, os detalhes desses tipos de inventário precisam estar atualizados. Felizmente, as avaliações podem ser criadas e enviadas a especialistas no assunto de cada item do inventário e suas respostas podem atualizar os atributos para você. Existem modelos pré- construídos no sistema para essa finalidade, no entanto, se você criou atributos personalizados, eles precisam ser adicionados a esses modelos. Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Criar registros de inventário Os inventários precisam ser completos para garantir que os relatórios sejam precisos. Quando todos os ativos, atividades de processamento, fornecedores e entidades estiverem no sistema, eles poderão ser relacionados uns aos outros. Esses relacionamentos permitem que o sistema crie automaticamente um diagrama que mostra o fluxo de dados ao longo de todo o seu ciclo de vida, desde a coleta até a exclusão. Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Página | 39 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Criar e enviar avaliações Depois que os itens de inventário forem criados, os atributos definidos e os modelos publicados, podemos juntar tudo. Enviar grandes quantidades de avaliações para cada item de estoque, no entanto, pode se tornar tedioso. Em vez disso, podemos enviar avaliações em massa diretamente dos inventários. Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Visualizar e criar relatório do artigo 30 Neste ponto, temos vários itens de inventário diferentes com vários atributos e relacionamentos que decifrar todas essas informações pode ser complicado. O OneTrust tem muitas ferramentas de relatórios diferentes que podem ser usadas para entender esses dados, mas o relatório do Artigo 30 é um dos mais comuns. Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Consentimento de Cookies Página | 40 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Visão geral A ferramenta de Conformidade de Cookies da OneTrust fornece aos proprietários de sites um mecanismo transparente para obter o consentimento de cookies obrigatório dos visitantes do site e respeitar as solicitações de Não rastrear, ajudando as organizações a cumprir as leis de cookies da UE. A conformidade de cookies inclui verificação contínua do site em um banco de dados de mais de 27 milhões de cookies, interface flexível para gerenciar o consentimento do visitante e centro de preferências do visitante personalizável. Regulamentos Diretiva de privacidade eletrônica Artigo 5º, nº3: “o armazenamento de informações ou a obtenção de acesso a informações já armazenadas no equipamento terminal de um... usuário só é permitido na condição de que o assinante ou o usuário em questão tenha dado seu consentimento” "[Exceto quando] … estritamente necessário para... prestar o serviço" Artigo 7 do GDPR: Condições para Consentimento Artigo 7º, nº 2 “...o consentimento... deve ser apresentado... de modo inteligível e de fácil acesso e em uma linguagem clara e simples Artigo 7(3) • “ o dados sujeito deve tenho a direita para retirar o seu ou sua consentimento no algum tempo ” • “ deve ser como fácil para retirar como para dar consentimento" Página | 41 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Artigo 21 do GDPR: Direito de objeção Artigo 21 (2) • “quando os dados pessoais forem tratados para fins de comercialização direta, o titular dos dados tem o direito de se opor a qualquer momento” Artigo 21 (3) • “caso o titular dos dados se oponha ao tratamento para efeitos de comercialização direta, os dados pessoais deixam de ser tratados para esse fim” CCPA 1798.115: Direito de saber sobre venda ou divulgação Um consumidor terá o direito de solicitar que uma empresa… divulgue a esse consumidor: • As categorias de informações pessoais que a empresa coletou sobre o consumidor. • As categorias de informações pessoais que a empresa vendeu sobre o consumidor e as categorias de terceiros para quem as informações pessoais foram vendidas • As categorias de informações pessoais que a empresa divulgou sobre o consumidor para fins comerciais. CCPA 1798.135: Obrigações de conformidade - Direito de recusar • Forneça um link claro e visível na página inicial da empresa na Internet, intitulado "Não venda meu Pessoal Em formação"… para excluir de a oferta de a do consumidor pessoal em formação. Página | 42 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal • Incluir uma descrição dos direitos do consumidor de acordo com a Seção 1798.120, juntamente com um link para "Não Vender Minhas Informações Pessoais" Melhores Práticas • Determinar domínios que precisam de verificações • Esteja ciente dos bloqueadores de varredura: o Páginas de login o Verificação de idade o Termos e Condições • Estritamente Necessário • atuação • Funcional • Alvejando • Mídia social • Prós e contras o Ativação versus desativação o Implícita Página | 43 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal • Requisitos Técnicos de Implementação Execução Executar uma verificação Usando o OneTrust, você pode dar aos visitantes do seu site a oportunidade de decidir quais cookies seu site colocará em seus dispositivos. Antes disso, porém, primeiro você precisa saber quais cookies estão sendo descartados do seu site. Isso pode ser feito verificando o código do site em busca de todos e quaisquer cookies que um site esteja colocando nos dispositivos, seja um telefone, computador, tablet ou mais. Clique aqui para obter etapasdetalhadas sobre como concluir este exercício. Criar modelo de banner de cookie Banners de cookies podem ser configurados no OneTrust. Esses banners podem ser integrados a um site para serem exibidos aos visitantes, que podem aceitar ou negar os cookies do seu site. Este exercício analisa como podemos fazer com que esse banner se misture com o restante dos esquemas de cores do site. Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Configurar centro de preferências Alguns visitantes do site irão potencialmente querer mais informações sobre o que é cada cookie para que possam aceitar alguns enquanto negam outros. Essas decisões mais granulares podem ser feitas no Centro de Preferências. Este Centro de Preferências pode ser configurado de forma semelhante ao Banner de Cookies. Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Página | 44 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Categorizar cookies Depois que um consumidor toma suas decisões sobre quais cookies devem ser colocados em seu dispositivo, precisamos honrar suas escolhas categorizando adequadamente todos os cookies do nosso site. Por exemplo, se nossa verificação produzir um cookie e o sistema não souber a que categoria ele pertence, ele será classificado como “Desconhecido”. Por causa disso, ele cairá no dispositivo de um cliente. Se esse visitante desativar os cookies de segmentação e esse cookie "Desconhecido" for categorizado como "Segmentação", não estaremos em conformidade. Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Configurar geolocalização Obviamente, essas leis e regulamentos sobre cookies diferem em todo o mundo. Por isso, podemos querer que nosso banner ou centro de preferências se comporte de maneira diferente para alguém na UE versus alguém na Califórnia, por exemplo. Podemos fazer essas diferenças configurando as regras de geolocalização. Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Automação dos Direitos de Privacidade Visão geral Página | 45 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal A ferramenta de Solicitações dos titulares de dados da OneTrust (DSAR) oferece às organizações a capacidade de personalizar um formulário da web de marca - vinculado à página da web da política de privacidade da empresa - bem como a capacidade de receber notificação de uma solicitação enviada, validar a identidade e arquivar automaticamente uma extensão se o prazo de um mês está se aproximando. Quando a solicitação for atendida, a organização deve transmitir com segurança os dados ao indivíduo, vinculá-los ao mapa de dados subjacente para atender à solicitação com eficiência e gerar a documentação e evidências adequadas caso um regulador pergunte sobre a solicitação. Regulamentos Artigo 12 do GDPR: Informações, Comunicação e Modalidades Transparentes para o Exercício dos Direitos do Titular dos Dados Artigo 12 • ““...o responsável pelo tratamento não pode recusar-se a dar seguimento ao pedido ... exceto se demonstrar que não está em condições de identificar o titular dos dados" • “fornece ao titular as informações sobre as medidas tomadas... no prazo de um mês a contar a data de recepção do pedido...pode ser prorrogado até dois meses" • “Se o responsável pelo tratamento não der seguimento... informa [o titular dos dados] sem demora e, o mais tardar, no prazo de um mês" o “das razões que o levaram a não tomar medidas" o “possibilidade de apresentar reclamação a uma autoridade de controle" Nove Direitos do Titular dos Dados sob o GDPR: Página | 46 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal Artigo 5º, 16 e 18 da LGPD: Direitos do Titular dos Dados 1. Confirmação da existência de processamento Página | 47 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal 2. Acesso a dados pessoais 3. Correção de dados incompletos, imprecisos ou desatualizados 4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou processados ilegalmente 5. Informações sobre a capacidade de negar o consentimento e as consequências de tal negação 6. Portabilidade de dados pessoais para outro provedor 7. Revogação do consentimento 8. Revisão da tomada de decisão automatizada (sem revisão humana) 9. Informações sobre as entidades públicas e privadas com as quais o controlador compartilhou dados pessoais 10. Exclusão de dados pessoais processados com consentimento, a menos que uma exceção se aplique Dez direitos do consumidor sob a CCPA: CCPA 17987.130: Métodos para envio de solicitações Uma empresa deve, de forma razoavelmente acessível aos consumidores: Página | 48 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal • Disponibilizar aos consumidores dois ou mais métodos designados para enviar solicitações de informações que devem ser divulgadas • Divulgar e entregar as informações necessárias ao consumidor gratuitamente no prazo de 45 dias . o A divulgação deve abranger o período precedente de 12 meses. CCPA 1798.135: Obrigações de conformidade - Direito de recusar Uma empresa deve, dentro uma Formato que é razoavelmente acessível para consumidores: • Abster-se de vender informações pessoais coletadas pela empresa a respeito do consumidor. • Respeitar a decisão do consumidor de optar pela não participação por pelo menos 12 meses, antes de solicitar que o consumidor autorize a venda de suas informações pessoais • Utilizar quaisquer informações pessoais coletadas somente com a finalidade de atender ao pedido de não participação. Melhores Práticas • Determine quantos formulários web são necessários: o Volume de solicitações o Indivíduo Diretamente Responsável para solicitações o Tipos de titulares de dados o Tipos de solicitações • Qual é o fluxo de trabalho? Página | 49 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal • Quem deve ser notificado? • Qual é o período de acesso? • Qual é a retenção? • Quais são os prazos? • Quando o relógio começa? • Que tarefas devem ser atribuídas? Execução Criar fluxo de trabalho DSAR Quando os titulares de dados exercem seus direitos, ele cria um registro no OneTrust e automaticamente chega ao primeiro estágio de um fluxo de trabalho de solicitação de acesso de titular de dados (DSAR). Os fluxos de trabalho DSAR podem ser configurados para atender às necessidades de diferentes tipos de solicitações, sejam elas de acesso, apagamento, portabilidade ou mais. Clique aqui para obter etapas detalhadas sobre como concluir este exercício. Criar e testar formulário da Web Depois que os fluxos de trabalho estiverem configurados, precisamos dar aos indivíduos a oportunidade de enviar sua solicitação. Com o OneTrust, a maneira mais comum de fazer isso é por Página | 50 Direito autoral © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário & Confidencial. Proprietary/Internal meio de um formulário da Web integrado ao site de uma organização. Este Webform possui campos personalizáveis para reunir as informações necessárias para começar a trabalhar nessa solicitação, bem como um link direto para um fluxo de trabalho publicado especificado no sistema. Clique aqui para obter etapas detalhadas sobre como concluir este exercício.