Resumo GDPR

Prévia do material em texto

General Data Protection Regulation (GDPR)
Exin Privacy and Data Protection Foundation
REGULAMENTO E FUNDAMENTOS DE PRIVACIDADE E PROTEÇÃO DE DADOS
Privacidade: Direito ao respeito pela vida privada de uma pessoa em seu âmbito familiar e de suas correspondência.
Proteção de dados pessoais: É um meio de garantir a privacidade (medidas necessárias). O direito à proteção de dados é parte da privacidade. Não se pode ter privacidade sem proteção de dados.
Segurança da Informação: É um requisito básico para qualquer organização que deseja proteger sua confidencialidade, integridade e disponibilidade de todos os seus dados.
Privacidade de dados: Vai além da segurança da informação, pois considera todo o ciclo de vida dos dados pessoais e dos processos de negócios que os utilizam.
Diretiva 95/46/CE: 
Foi revogada. 
É relativa à proteção das pessoas no que diz respeito ao tratamento de dados pessoais e à livre circulação deles (adaptada em 1995). 
Podia ser adaptada a lei dos Estados-Membros da UE.
GDPR - General Data Protection Regulation: 
Está em Forma de lei funcional em toda UE. 
Todos os Estados-Membros precisam cumprir. 
Entrou em Vigor em 25 de maio de 2018.
Objetivos da GDPR:
Fortalecer e unificar a proteção de dados para indivíduos na UE.
Proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais;
Normas para livre circulação/transmissão de dados pessoais;
Proteção de direitos e liberdades de pessoas físicas e, em particular, proteção de dados pessoais;
A livre circulação de dados pessoais dentro da UE não pode ser restringida nem proibida.
Escopo da GDP (Art. 3)
Aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União;
O presente regulamento aplica-se ao tratamento de dados pessoais de titulares residentes no território da União, efetuado por responsável pelo tratamento ou subcontratante não estabelecido na União, quando as atividades de tratamento estejam relacionadas com:
A oferta de bens ou serviços a esses titulares de dados da União, independentemente da exigência de os titulares dos dados procederem a um pagamento;
O controle do seu comportamento, desde que esse comportamento tenha lugar na União.
Dados Pessoais: Qualquer informação relativa a uma pessoa singular identificada ou identificável (“titular de dados”).
Dados Pessoais Direto: 
Podem ser atribuídos a um titular especifico sem o uso de informações adicionais;
Exemplos: nome completo, números de identidade(RG), CPF, carteira de trabalho e passaporte, biometria, foto/vídeo, DNA, e-mail, dados do cartão de crédito;
Dados Pessoais Indireto:
Não podem ser atribuídos a um titular especifico sem o uso de informações adicionais.
Exemplos: endereço IP, matricula do carro, etc.
Dados Pessoais Pseudonimizado:
Pseudonimização de dados significa o processamento de dados pessoais de tal maneira que eles não possam mais ser atribuídos a um titular especifico sem o uso de informações adicionais.
Dados pseudonimizados são considerados dados pessoais. 
Titular dos Dados: Uma pessoa física que pode ser identificada, direta ou indiretamente, por um ou mais fatores como nome, número de identificação, dados de localização, biometria, dados de saúde, genéticos, de opiniões politicas, crenças religiosas ou filosóficas, de orientação sexual, econômicos, entre outros.
Categorias especiais de dados pessoais (“sensíveis”): 
Dados que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, adesão sindical, dados genéticos, dados biométricos processados com a finalidade de identificar unicamente uma pessoa física, dados relativos à saúde, à vida sexual ou orientação sexual de uma pessoa singular.
Processamento de dados pessoais: É qualquer operação ou conjunto de operações que são realizadas com dados pessoais ou em conjuntos de dados pessoais, sendo ou não feitas de modo automatizado.
Partes envolvidas e suas responsabilidades:
Titular dos Dados: Pessoa física a quem os dados fazem referência (exceção: pessoa falecida).
Controlador: Pessoa física ou jurídica, autoridade pública, agencia ou outro organismo que determina os objetivos/finalidades e os meios do tratamento de dados pessoais. Implementar e garantir medidas técnicas e organizacionais apropriadas para o processamento de dados, afim de atender plenamente os requisitos do GDPR. PRIMEIRA AÇÃO: Verificar possibilidade de dados de caráter sensível terem sido acessados.
Processador: Pessoa física ou jurídica, autoridade pública, agencia ou outro organismo que processe dados pessoais em nome do responsável pelo tratamento (Controlador). Implementar os 7 princípios de proteção de dados desde a concepção (by design).
Terceiro: Pessoa física ou jurídica que não seja o Titula de Dados, o Controlador ou o Processador e que esteja autorizada a processar dados pessoais (“Subprocessador”).
Destinatário: Pessoa física ou jurídica, autoridade pública, agencia ou outro organismo para quem os dados pessoais são divulgados, terceiros ou não.
Encarregado pela Proteção de Dados (Data Protection Officer – DPO): Orienta a implementação de medidas apropriadas para Compliance (conformidade/adequação legal) do controlador ou processador.
Representante legal: Pessoa física ou jurídica (na UE) designada pelo Controlador ou Processador para representa-lo perante a autoridade supervisora e os titulares dos dados.
Autoridade supervisora: Autoridade pública independente estabelecida por um Estado Membro da EU. Uma das atribuições centrais é o monitoramento e o acompanhamento da aplicação do GDPR e de seu cumprimento por parte dos controladores e processadores. Supervisionar o processamento dos dados que são controlados por um controlador da Área Econômica. Avaliar códigos de conduta para setores específicos em relação ao processamento de dados pessoais.
Fundamentos legítimos e limitação de propósito:
Seis motivos legítimos para o processamento de dados pessoais:
O Titular dos Dados deu o seu consentimento ao processamento dos seus dados pessoais para um ou mais fins específicos, explícitos e legítimos (Deve existir uma base legitima para o processamento de dados);
O processamento é necessário para execução de um contrato no qual o Titular dos Dados é parte ou para tomar medidas a pedido do Titular dos Dados antes de celebrar um contrato;
O processamento é necessário para o cumprimento de uma obrigação legal a que o controlador está sujeito;
O tratamento é necessário para proteger um interesse vital da pessoa em causa ou de outra pessoa singular;
O tratamento é necessário para o desempenho de uma tarefa realizada no interesse público ou no exercício da autoridade oficial conferida ao responsável pelo tratamento;
O tratamento é necessário para os interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro. A exceção é se esses interesses forem sobrepostos pelos interesses ou direitos e liberdades fundamentais do Titular dos Dados os quais exijam a proteção dos dados pessoais, em especial quando uma criança é o sujeito dos dados.
Comunicando a finalidade para o Titular dos Dados: O GDPR estabelece a necessidade de se expor ao Titular dos Dados a(s) finalidade(s) especifica(s) para o processamento de seus dados pessoais. Essas finalidades devem ser: Especificas, Explicitas, Legitimas e Declaradas antes de qualquer dado pessoal ser processado.
Subsidiariedade: Os dados pessoais só possam ser processados se não houver outros meios para alcançar os objetivos, devendo-se utilizar os meios menos invasivos possíveis, em todas ocasiões. Deve ser usados os meios menos transgressores da privacidade possíveis.
Proporcionalidade: Não devem ser reunidos mais dados do que o estritamente necessário.
Direitos dos titulares dos dados:
Direito de acesso (inspeção): O titular dos Dados terá o direito de obter confirmaçãodo Controlador sobre se os seus dados pessoais estão ou não sendo processados e, em caso positivo, o acesso a eles e às informações;
Direito de retificação
Direito de apagar (“direito de ser esquecido”): Os titulares de dados tem direito à exclusão/ apagamento de seus dados. Esse direito pode ser exercício contra os controladores os quais devem responder sem atrasos indevidos (1 mês);
Direito de restrição de processamento
Obrigação de notificação (retificação/eliminação/restrição de processamento)
Direito à portabilidade de dados: O Titular tem o direito de receber os dados pessoais que lhe concernem (em poder do Controlador) em formato Estruturado, Comumente utilizado e Passível de leitura por máquina (A clínica A pode e enviará os dados diretamente para a clínica B);
Direito de se opor
Direito de apresentar queixa a uma autoridade de supervisão
Violação de dados pessoais:
Definição GDPR: É uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
Categorias de violações de dados:
Material: Perda de equipamento ou material com dados, pastas de arquivos perdidas, smartphones perdidos, etc.
Verbal: Indiscrição, shoulder surfing (“surfe de ombro”), vazamento intencional de informações sigilosas, etc.
Digital (não material): Backdoors, codificação incorreta, má administração (por exemplo, gerenciamento de patches), medidas de segurança insuficientes, “hackeamento”, clonagem de cartão etc.
Exigências de notificação de violação de dados:
O processador deve notificar o Controlador sem demora indevida após tomar conhecimento de uma violação de dados pessoais.
Em caso de violação de dados pessoais, o Controlador deve, sem demora injustificada e, sempre que possível, no pra de 72 horas após ter tomado conhecimento do mesmo, notificar a violação dos dados pessoais à Autoridade Supervisora.
Quando a violação de dados pessoais resultar em um alto risco aos direitos e liberdades das pessoas físicas, o Controlador deverá comunica-la aos Titulares de Dados afetados, sem demora indevida.
O Controlador documentará toda e qualquer violação de dados pessoais e disponibilizará essa informação à autoridade supervisora.
Exceções à exigência de notificar os titulares dos dados: Criptografia, medidas de mitigação e Esforço desproporcional.
Ações de acordo com a gravidade da violação de dados:
Seja improvável que resultem em risco para os direitos e liberdade das pessoas: Nesse caso, a notificação da violação não é obrigatória.
Pode resultar em danos físicos, materiais ou não materiais às pessoas: A notificação à Autoridade Supervisora é obrigatória.
Provavelmente resultará em um alto risco para os direitos e liberdades das pessoas: A notificação à Autoridade Supervisora e ao Titular dos Dados é obrigatória, se possível.
ORGANIZANDO A PROTEÇÃO DE DADOS
Importância da proteção de dados para a organização:
Tipos de controles necessários:
Cabe ao Controlador: Manter registro das atividades ligadas ao processamento de dados pessoais. Nesses registros, devem constar as seguintes informações: 
Nome e detalhes do Controlador, do representando do Controlador e do DPO; 
Finalidades do processamento; 
Descrição das categorias de Titulares de Dados e de dados pessoais;
Descrições de categorias de destinatários;
Transferências de dados pessoais para países terceiros ou organizações internacionais;
Limite temporal para retenção de dados (sempre que possível);
Descrição das medidas de segurança.
Cabe ao Processador: Manter registro das atividades ligadas ao processamento de dados pessoais. Nesses registros, devem constar as seguintes informações:
Nome e detalhes de contato de Processador, cada Controlador, o representando do Controlador ou do Processador, e o DPO;
Categorias de processamento realizadas em nome de cada Controlador;
Transferências de dados pessoais para um pais terceiro ou uma organização internacional;
Descrição das medidas de segurança.
Conformidade com o GDPR: Cabe ao Controlador:
O controlador é o responsável pelo tratamento deve ser responsável e demonstrar o cumprimento dos princípios relativos ao tratamento de dados pessoais. (Princípio da “responsabilidade”);
Demonstrar o cumprimento das obrigações legais de processamento às quais o controlador está sujeito (legalidade);
Documentar violações de dados para auxiliar na verificação da conformidade com a obrigação de notificação pela autoridade supervisora;
Realizar avaliações de impacto de proteção de dados para ajudar a demonstrar a conformidade com o GDPR;
Manter um registro das atividades de processamento;
Implementar medidas técnicas e organizacionais apropriadas para garantir que, por padrão, somente os dados pessoais necessários para cada finalidade específica do processamento sejam processados.
Data Protection Officer (DPO):
Necessário especialmente nos casos de processamento de grande volume de dados e/ou grande volume de dados sensíveis (Art. 9) e/ou criminais (Art. 10).
Pode ser um colaborador da própria organização ou prestador de serviço terceirizado.
O contato do DPO deve ser publicado pelo Controlador e comunicado à autoridade supervisora (Art. 36).
Titulares de Dados podem contata-lo para todas as questões que dizem respeito aos seus dados pessoais e o exercício de seus direitos (Art. 38).
Precisa estar envolvido em todas as questões relativas à proteção de dados (Art. 38)
Não pode ser penalizado ou demitido por cumprir sua função (Art. 38).
Multas administrativas do GDPR:
Até 10 milhões de euros ou 2% sobre o faturamento anual – a nível mundial para infrações mais formais (Art. 83)
Até 20 milhões de euros ou 4% sobre o faturamento anual – a nível mundial por infrações dos princípios básicos (como discutido anteriormente), e a obrigação de tomar medidas de segurança adequadas (Art. 83).
Penalidade administrativa máxima: Quando ocorrerem transferências para países localizados fora da Área Econômica Europeia. 
Autoridade Supervisora:
Algumas das tarefas:
Monitorar e impor a aplicação do GDPR;
Aconselhar parlamento nacional, governo, etc. sobre medidas legislativas e administrativas relacionadas com a proteção de dados;
Adotar cláusulas contratuais padrão;
Estabelecer e manter uma lista em relação à exigência de Avaliação de impacto sobre a Proteção de Dados (AIPD ou DPIA em inglês);
Aprovar regras corporativas vinculantes;
Manter registros das infrações ao GDPR.
Poderes:
Poderes de investigação (por exemplo, para realizar auditorias de proteção de dados, para notificar o responsável pelo tratamento ou o subcontratante de uma infração alegada);
Poderes de correção (por exemplo, emitir advertências, ordenar a comunicação de uma violação de dados pessoais a um titular de dados, retirar uma certificação, impor multas administrativas.)
Poderes consultivos e de autorização (por exemplo, para adotar cláusulas contratuais padrão, para emitir certificações.)
Transferências de dados pessoais para países terceiros
Transferência de dados pessoais (AEE): Pode ser feita entre os países que fazem parte do AEE;
Transferência para fora da AEE: A CE está habilitada a decidir quais países terceiros de fato apresentam nível adequado de proteção de dados. Pode ser feita entre empresas do mesmo grupo através de regras corporativas compulsórias aprovadas pela Autoridade Supervisora competente.
Transferência de dados entre o AEE e os EUA: em julho de 2016, a comissão adotou a Decisão de Execução (UE) 2016/1250 sobre a adequação de proteção fornecida pela UE-EUA, Privacy Shield, conforme emitido pelo Departamento de Comércio dos EUA.
Regras corporativas vinculantes/compulsórias:
São regras internas para transferências de dados dentro de empresas multinacionais;
Permitem que empresas multinacionais transfiram dados pessoais internacionalmente dentro do mesmo grupo corporativo para países que não fornecem um nível adequadode proteção;
Garantem que todas as transferências de dados dentro de um grupo corporativo sejam seguras;
Precisam ser oficialmente aprovadas pela Autoridade Supervisora competente para ser utilizada na União Europeia;
Uma vez aprovadas podem substituir o Contrato escrito entre o controlado e o processador, e pode ser usada para transferências de dados fora da UE. Evitam a necessidade de abordar separadamente cada autoridade supervisora na UE.
Contratos entre o controlador e processador
Quando um Controlador usa um Processador para processar dados pessoais, um contrato por escrito entre essas partes é obrigatório, mesmo se o Processador for uma empresa subsidiária.
PRÁTICAS DE PROTEÇÃO DE DADOS
Proteção de dados “by default”
Exige que apenas sejam processados os dados necessários para atingir sua finalidade especifica.
Proteção de dados “by design”
Considerar a privacidade desde a concepção do sistema
Integração ao processamento de salvaguardas (medidas/controles) necessárias para proteger os direitos dos titulares dos dados.
Benefícios: 
Problemas potenciais são identificados em estágio inicial;
Maior conscientização;
As organizações são mais propensas a cumprir suas obrigações legais;
As ações tem menos probabilidade de serem intrusivas.
7 princípios: 
Proativo não reativo; Preventiva não corretiva: 
A proteção de dados “by design” é caracterizada por medidas proativas em vez de reativas.
Privacidade como a configuração padrão: 
Privacidade não é opcional. É a privacidade padrão (privacy as default).
Privacidade incorporada ao design: 
A proteção de dados “by design” está incorporada ao design e a arquitetura de sistemas de TI e práticas de negócios.
Funcionalidade total – soma positiva, não soma zero: 
A ideia aqui é que a proteção “by design” não comprometerá as metas de negócios. Incorporar a privacidade em uma determinada tecnologia, processo ou sistema, isto deve ser realizado de tal modo que a funcionalidade COMPLETA não seja prejudicada.
Segurança de ponta a ponta – proteção total do Ciclo de Vida: 
As proteções de privacidade seguem os dados pessoais onde quer que eles estejam.
Visibilidade e transparência- mantendo aberto:
A proteção “by design” procura assegurar a todas as partes interessadas que, seja qual for a pratica ou tecnologia de negócio envolvida, está de fato operando de acordo com as promessas e objetivos declarados, sujeita à verificação independente.
Respeito pela privacidade do usuário – centrado no usuário:
Centrar-se no usuário, neste caso, significa elevar os interesses dos usuários acima de tudo.
Avaliação do Impacto da Proteção de Dados (AIPD)
Processo concebido para descrever o processamento, avaliar a necessidade e a proporcionalidade de um processamento e ajudar a gerir os riscos para os direitos e liberdades das pessoas resultantes do processamento de dados pessoais. Pesquisa possíveis problemas para que possam ser mitigados antecipadamente.
Objetivos da AIPD:
Impedir mudanças dispendiosas em processos, redesenho de sistemas ou termino de projetos;
Reduzir as consequências da supervisão e da fiscalização;
Melhorar a qualidade dos dados;
Melhorar a prestação de serviços;
Melhorar a tomada de decisão;
Aumentar a conscientização sobre privacidade em uma organização (A organização prova que considera a privacidade com seriedade e visa à conformidade com o GDPR);
Melhorar a visibilidade do projeto;
Melhorar a comunicação em relação à privacidade e proteção de dados pessoais;
Reforçar a confiança dos titulares dos dados na forma como os dados pessoais são processados e a privacidade é respeitada.
Quando a AIPD é requerida?
Sempre que um tipo de processamento, em especial utilizando novas tecnologias, e tendo em conta a natureza, âmbito, contexto e finalidade do processamento, possa resultar num risco elevado para os direitos de liberdade das pessoas singulares, o controlador processamento deve proceder na avaliação do impacto das operações de processamento previstas na proteção de dados pessoais.
Tópicos de um relatório AIPD: 
Breve descrição da AIPD que foi conduzida;
Breve descrição do projeto, modelo e fluxo de dados;
Descrição do impacto e dos riscos;
Decisões de Go/No-Go (viabilidade) do projeto;
Considerações para o sistema/política etc. para um maior desenvolvimento;
Abordagem de solução de descrição;
Nome do responsável (encarregado) pela gestão e avaliação da AIPD;
Espaço para comentários do cliente.
Aplicações práticas relacionadas ao uso de dados, marketing e mídias sociais
Marketing é o processo de manter uma relação direta com um Titular de Dados por razões comerciais ou de caridade.
Isso significa: Coletar dados pessoais, criar perfis e enviar (todos os tipos de) malas diretas; Comprar dados pessoais de terceiros; Contratar terceiros para organizar suas correspondências.
Gerenciamento do Ciclo de Vida dos Dados (Data Life Cycle management – DLM)
O Artigo 5 do GDPR descreve os princípios relativos ao processamento de dados pessoais desde a criação até a minimização;
O Gerenciamento do Ciclo de Vida dos Dados (GCVD ou DLM em inglês) é um processo que ajuda as organizações a gerenciar o fluxo de dados em todo o seu ciclo de vida;
Isso ajuda a determinar onde aplicar os controles de segurança.
Proteção por todo Ciclo de Vida: Incorporar medidas de segurança para proteger os dados a partir do momento em que são coletados, durante todo o processamento e até sua destruição no final do processo.
Cookies e privacidade na internet
Um cookie é um arquivo muito pequeno que é baixado para o seu dispositivo quando você visita um site;
Geralmente contém dados como o nome do site e um ID de usuário exclusivo;
Um cookie pode ser um tipo de identificador de dados pessoais indiretos!
Sempre considerar o consentimento, com base no GDPR;
Tipos de cookies comuns: 
Sessão: Permitem que os usuários sejam reconhecidos dentro de um site;
Persistentes: Permanecem no disco rígido do usuário até serem apagados ou até expirarem;
Rastreamento: São colocados no disco rígido de um usuário por um site de um domínio diferente daquele que o usuário está visitando. Por isso são chamados de “cookies de terceiros!”.
Lei dos Cookies: O uso de Cookies são melhor governados pela Diretiva ePrivacy 2002/58/EC (conhecida como a Lei dos Cookies).
Um processador só pode excluir os dados mediante autorização do controlador, inclusive nos casos de término de contrato, onde o processador deve atender à escolha do controlador entre a exclusão ou a devolução dos dados ao controlador, acompanhado de exclusão de quaisquer cópias existentes.
Autoridade supervisora que exerce a liderança: A autoridade no estado membro onde o principal estabelecimento da empresa estiver situado
O GDPR NÃO se aplica ao processamento de dados pessoais por uma pessoa física “no curso de uma atividade pessoal ou doméstica”. “O titular dos dados é o amigo”, “Processador é o contador”
O Processador deve elaborar um contrato com os titulares dos dados a serem processados
Processamento de dados: Uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não, tais como a recolha, o registro, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição. 
Dados pessoais processados por pessoas não autorizadas caracteriza uma violação de dados. (Pessoas diferentes do controlador, processador ou, possivelmente, subprocessador)
Autoridade supervisora deve responder uma notificação de dados investigando aspectos de conformidade com os requisitos de segurança do GDPR, no tocante à proteção dos dados.
Controlador é o responsável pela determinação dos propósitos(finalidades) e os meios para processamento dos dados.
O processador deve assegurar que as pessoas que trabalhamno processamento dos dados estejam comprometidas com a confidencialidade, e que o processamento deve ocorrer unicamente de acordo com as instruções do controlador. Clausula declarando que o processamento deve ocorrer unicamente de acordo com as instruções do controlador e uma clausula impondo uma obrigação de confidencialidade ao processador.
Cookie – principal finalidade é identificar usuários, registrar as preferências dos usuários e salvar informações para login no site
Para garantir a conformidade com o GDPR, faz-se necessário analisar a capacidade do processador em suprir os requisitos de segurança
Segundo o GDPR, não é necessário dizer que, para poder demonstrar conformidade, o controlador e o processador precisam documentar como estão em conformidade. Também, não é obrigatório um controle de dados obtidos e do tempo necessário para reter os dados.
GDPR não se aplica ao processamento de dados pessoais por uma pessoa física “no curso de uma atividade puramente pessoal ou doméstica”, isto é, execução de atividades sem ligação com atividades profissionais ou comerciais, como correspondência pessoal e um livro de endereços que é mantido para esse fim, redes sociais (foto publicada por um vizinho) e atividade online nesse contexto.
A qualidade dos dados é garantida, ou seja, os dados são atualizados, corretos e completos? Tópico de Segurança dos dados
NÃO é permitido transferir dados pessoais para fora da AEE em resposta a uma EXIGÊNCIA de um terceiro país.