Post on 21-Apr-2017
www.pwc.com/pt
Privacy Transformation Regulamento Geral de Proteção de Dados
26 de janeiro 2016
1. Porque é importante?
PwC
Porque é importante?
3
Multas até 20 milhões
ou 4% do volume de negócios
Impacto
PwC
Porque é importante?
4
Impacto na imagem e
reputação
Impacto
PwC
Porque é importante?
5
Setores mais vulneráveis:
• Estado
• Saúde
• Seguros & Banca
• Retalho
• Tecnologia
Industry Company/Organization Date Country N. Records
National Electoral Institute 4/22/2016 Mexico 93,400,000
Commission on Elections 4/23/2016 Philippines 54,363,329
Department of Health and 3/28/2016 United States 4,000,000
National Electoral Institute 5/20/2016 Mexico 2,072,585
California Correctional Health 5/13/2016 United States 400,000
Banner Health 08/03/2016 United States 3,700,000
21st Century Oncology Services03/04/2016 United States 2,200,000
Centene Corporation 1/25/2016 United States 950,000
Bon Secours Health Systems 08/12/2016 United States 655,000
Highline Medical Center 09/07/2016 United States 655,000
YJFX 02/02/2016 Japan 185,626
Invest Bank 12/02/2015 United Arab Emirates 100,000
State Farm Insurance 06/09/2016 Canada 77,000
HSBC USA 01/06/2016 United States 39,684
Bank of Jerusalem 1/24/2016 Israel 36,000
Alibaba 02/02/2016 China 99,000,000
Interpark 7/25/2016 South Korea 10,000,000
Sanrio 12/21/2015 Japan 3,300,000
Menulog 3/31/2016 Australia 400,000
The Kroger Company 05/06/2016 United States 1,100,000
Myspace 5/31/2016 United States 427,000,000
Tumblr 05/12/2016 United States 65,469,298
iMesh 6/13/2016 United States 51,000,000
VerticalScope 6/14/2016 Canada 45,000,000
Lifeboat 4/26/2016 United States 7,000,000
T-Mobile 6/14/2016 Czech Republic 1,500,000
Verizon Enterprise Solutions 3/24/2016 United States 1,500,000
Deutsche Telekom 6/28/2016 Denmark 64,000
Tanzania Telecommunications 2/15/2016 United Republic 64,000
Time Warner Cable 2/28/2016 United States 4,191
Communications
Financial services
Government
Healthcare
Retail
Technology
Top Customer Data Breaches Of The Past 12 Months
Source: CyberFactors
Probabilidade
PwC
Porque é importante?
6
Exemplo da Saúde:
• Dados pessoais de saúde são 10 vezes mais valiosos do que os dados financeiros quando vendidos na ‘dark web’
• Orçamento para lidar com riscos relacionados com ciber-segurança são extremamente reduzidos
• O estudo ‘Global State of Information Security Survey 2016’ revela que as maiores fugas de informação da história ocorreram durante o ano passado.
Probabilidade
PwC
Porque é importante?
7
Probabilidade
PwC
Porque é importante?
8
Dificilmente uma organização consegues estar em cumprimento
total com o RGPD….
…e o regulador passa a ter direitos de supervisão direta.
Probabilidade
2. Quais as novidades?
PwC
Quais as novidades?
10
Multas O RGPD define que o limite máximo de uma multa pode atingir os €20 milhões ou 4% do volume de negócios a nível internacional.
Consenti mento
As entidades são obrigadas a obter consentimento explícito do consumidor para a utilização e tratamento da sua informação pessoal e a comprová-lo se solicitado.
Direito a ser esquecido
O consumidor pode solicitar a uma entidade para apagar todos os seus dados pessoais em qualquer altura e mesmo que esta informação tenha sido distribuída a terceiros a responsabilidade de eliminação destes dados é da entidade.
Supervisão Apesar de ter sido removida a obrigatoriedade de notificação sobre a utilização de dados pessoais ao regulador, passam a ter direitos de supervisão direta sobre entidades .
Aplicação territorial
O RGPD é muito mais abrangente em termos territoriais. Todas as organizações que operem na Europa terão de cumprir o RGPD, incluindo organizações sem entidades fiscais na UE, mas com operação de bens e serviços a pessoas na EU.
Notificação de fugas de informação
As entidades têm a responsabilidade de informar os reguladores e pessoas afetadas num prazo máximo de 72 horas (se possível).
Compliance Monitorização contínua da proteção de dados e segurança. Realizar “Privacy Impact Assessments” (PIA) em todas as novas situações, seja novos projetos ou tratamentos.
Data protection officer (DPO)
De forma a assegurar o cumprimento da organização com o RGPD deverá nomear um encarregado da proteção de dados (DPO).
PwC
Quais as novidades?
11
Multas O RGPD define que o limite máximo de uma multa pode atingir os €20 milhões ou 4% do volume de negócios a nível internacional.
Consenti mento
As entidades são obrigadas a obter consentimento explícito do consumidor para a utilização e tratamento da sua informação pessoal e a comprová-lo se solicitado.
Direito a ser esquecido
O consumidor pode solicitar a uma entidade para apagar todos os seus dados pessoais em qualquer altura e mesmo que esta informação tenha sido distribuída a terceiros a responsabilidade de eliminação destes dados é da entidade.
Supervisão Apesar de ter sido removida a obrigatoriedade de notificação sobre a utilização de dados pessoais ao regulador, passam a ter direitos de supervisão direta sobre entidades .
Aplicação territorial
O RGPD é muito mais abrangente em termos territoriais. Todas as organizações que operem na Europa terão de cumprir o RGPD, incluindo organizações sem entidades fiscais na UE, mas com operação de bens e serviços a pessoas na EU.
Notificação de fugas de informação
As entidades têm a responsabilidade de informar os reguladores e pessoas afetadas num prazo máximo de 72 horas (se possível).
Compliance Monitorização contínua da proteção de dados e segurança. Realizar “Privacy Impact Assessments” (PIA) em todas as novas situações, seja novos projetos ou tratamentos.
Data protection officer (DPO)
De forma a assegurar o cumprimento da organização com o RGPD deverá nomear um encarregado da proteção de dados (DPO).
Direito a ser esquecido
PwC
Direito a ser esquecido
Dificuldade em garantir a eliminação por completo dos dados em toda a organização (e.g. complexidade dos sistemas de informação, dados no poder de terceiros, dados em computadores locais/pessoais, registos em papel, etc.).
Com a massificação do requisito este poder tornar-se num processo muito exigente em termos de consumo de recursos internos e que poderá obrigar a implementação de processos e pessoas dedicadas ao tema.
Inexistência de mecanismos nos sistemas de informação para remoção dos dados de uma entidade (porque pode por em causa a integridade da base de dados).
Quais as principais questões?
13
PwC
Direito a ser esquecido
• Que dados tenho?
• Onde estão os dados?
• Quem tenho de notificar?
• Qual o processo / procedimento a adotar?
• Quem é o responsável?
• Existem outras entidades envolvidas? Como proceder ao roll-forward do pedido?
• Que garantia tenho de que os dados foram removidos?
• Consigo executar o pedido?
… e se este pedido fosse concretizado amanhã?
14
PwC
Dados na organização
15
Quem tem acesso a esta informação?
Qual a idade desta informação e ainda se mantém válida?
Qual a origem desta informação?
Onde se encontra esta informação? Que informação é
esta?
PwC
O que deve saber sobre os seus dados
16
1. Onde estão os dados sensíveis?
2. Os dados estão seguros contra acessos indevidos?
3. Existem dados distribuídos, duplicados ou obsoletos?
4. Está a manter dados mais tempo que o necessário?
5. Quem são os donos e utilizadores dos dados?
6. Que dados estão sujeitos a restrições legais?
7. Que controlos de prevenção de fuga de informação tenho?
PwC
Qual o custo de não conhecer e proteger os dados
17
PwC
Poupanças relativas a custos com armazenamento
Redução da complexidade dos dados
Proteção de dados contínua
Redução de risco de segurança
Redução de risco de regulação
Quais os benefícios de gerir os dados
18
PwC
8 princípios para a proteção de dados
19
1. Obter e processar os dados de forma justa
2. Manter os dados pessoais para um fim concreto e lícito
3. Apenas utilizar dados pessoais com consentimento
4. Manter os dados pessoais seguros (acesso restrito)
5. Manter dados pessoais exatos, completos e atualizados
6. Garantir que os dados pessoais guardados são relevantes e não excessivos
7. Reter os dados pessoais não mais do que o necessário
8. Envolver o DPO no caso de receber um pedido de tratamento ou acesso a dados de pessoais
PwC
Complexidade tecnológica
Aplicação
Base de Dados
Infraestrutura de suporte
(sistema operativo e rede de dados)
20
PwC
Complexidade tecnológica
Aplicação
Base de Dados
Infraestrutura de suporte
(sistema operativo e rede de dados)
SQL, NoSQL,
NewSQL
ERP, CRM,
POS, BI, etc.
Infra-estrutura
física ou cloud
computing
21
PwC
Complexidade tecnológica
SAP
Negócios Emergentes
103
Backoffice
Barco
Gestão e controlo da produção de malhas
Gestão e controlo da produção de tecidos
Ring Expert
Sliver Expert
XRT
Tesouraria - Reconciliação
Bancária
TIM(AS400)
Fiação
MAIS
COPS
Malhas
Tricotagem
DISPO
MASH
SOS K2DEY
Acabamentos
Confeção
Produção
Tecidos
Produção
Encomendas
Compras
Vendas
Stocks Facturação
Lab Expert
Millmaster
GES Quatro
Processamento de salários
Têxtil101
LB102
FI/CO
MM
SD
Cyland
Winstore(Frontoffice)
SCF
Gestão de Produção
Storeland(Backoffice)
SQL/Broker(Têxtil & LB)
Portal/Intranet
Análise de contratos(ANC)
Processo de reclamação(criação de encomendas)
Relatórios de gestão
WinMac
Gestão de Manutenção
Qualidade
Gestão de qualidade
Au
tom
oti
ve
Tê
xte
isL
igh
tnin
g B
olt
Receção de peças da Somelos
Encomendas de venda (tamanhos)
Encomendas de venda das Feiras(Multix)
Criação de clientes
Criação de fornecedores
Lançamentos FI (comissões, planos de viagem)
SAP
Automotive105
PP
FI/CO
MM
SD
SQL/Broker(Automotive)
Portal/Intranet
Análise de contratos(ANC)
Relatórios de gestão
Encomendas de venda (tamanhos)
Criação de clientes
Criação de fornecedores
MSQL
(55DB)
MSQL
MSQL
MSQL
Arquiteturas aplicacionais cada vez mais complexas
22
PwC
Complexidade tecnológica
Aplicação
Base de Dados
Infraestrutura de suporte
(sistema operativo e rede de dados)
23
PwC
Complexidade tecnológica
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP Callcenter SGFC
24
PwC
Complexidade tecnológica
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #2 (cloud)
Replica online
Datacenter #1
25
PwC
Complexidade tecnológica
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #2 (cloud)
Replica online
Datacenter #1 (PROD)
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #1 (TST)
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #1 (DEV)
26
PwC
Complexidade tecnológica
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #2 (cloud)
Replica online
Datacenter #1 (PROD)
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #1 (TST)
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #1 (DEV)
Backup
27
• Transaction logs and
database dump logs
• Backup para disco ou tape
• Backup off-site
PwC
Complexidade tecnológica
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #2 (cloud)
Replica online
Datacenter #1 (PROD)
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #1 (TST)
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #1 (DEV)
Backup Logs
28
PwC
Complexidade tecnológica
Responsável pelos dados
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #2 (cloud)
Replica online
Datacenter #1 (PROD)
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #1 (TST)
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #1 (DEV)
Backup Logs
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #2 (cloud)
Replica online
Datacenter #1 (PROD)
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #1 (TST)
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #1 (DEV)
Backup Logs
Subcontratado #1
29
PwC
Complexidade tecnológica
Base de dados estruturadas vs Base de dados noSQL
Distribuição inerente dos dados
Controlos de acesso pouco maduros
PwC
Modelo de governação de dados
Business Governance
Data Governance Board Business and IT Representatives
Business – Data Owners Processes, Procedures and Systems
Data Governance Centre of Excellence Assess, support and On-going compliance monitoring
Data Governance Framework Principles based ‘rules’ or ‘values’ by which
you manage information
3r
d L
ine
of
de
fen
ce
2n
d
Lin
e
1s
t L
ine
Policy & Standards
Data Directory and
Business Glossary
Deficiency & Change
Management
PwC
Diretório de dados
32
O diretório de dados é o pilar de toda a gestão de dados
Este deve descrever:
• A utilização dos dados
• Requisitos de qualidade
• Origem dos dados
• Donos dos dados
• Controlos e métricas
Abordagem PwC
PwC
Abordagem PwC
34
Gap Analysis & Priorização
Exemplos
Avaliar segurança e acessos
Modelo de governação dos dados
Desenvolvimento de políticas
Gestão de identidade e acessos
Gestão de risco de terceiros
Auditoria e cumprimento
Identificar e mapear dados
Monitorização e Indicadores
Gestão de ameaças e vulnerabilidades
Revisão de processos e controlos
Privacy Impact Assessment
Caraterísticas Especiais
Recursos e plano de projeto
Cultura e Ética
Estrutura e Organizaçã
o Legal
Localizações e Geografia
Apetite de Risco
Operação do Negócio
Plano de Negócios
Registo histórico
regulamentar
Indústrias Resultados
R.A.T.
Rea
din
ess
Ass
essm
ent
To
ol
Gap Analysis Workstreams Workshop de
Características Especiais R.A.T
Resultados Enforcement Tracker
Compreender Medir Implementar
www.pwc.com/pt
© PricewaterhouseCoopers Limitada 2016 Todos os direitos reservados. “PwC” refere-se à rede de entidades que são membros da PricewaterhouseCoopers International Limited,
cada uma das quais é uma entidade legal autónoma e independente.