0

Privacidade de dados

26 de Janeiro de 2017

1

02 03

Será a proteção da privacidade um afterthought?

INTRODUÇÃO

Enquanto pessoas, organizações e governos exploram oportunidades

digitais, alguém tem que ser responsável pela monitorização e pela gestão

dos riscos de privacidade

1EY’s Global Information Security Survey (GISS) 2015, www.ey.com/giss

dos inquiridos no Global Information

Survey (GISS) 20151 da EY indicam que

a sua organização não tem requisitos

formalizados para utilizar Big Data

não têm procedimentos

formalizados para tratar de

preocupações de privacidade

relacionadas com as redes sociais

afirmam não ter ordens para

minimizar a recolha de informação

pessoal, ou apenas o fazem em

circunstâncias especiais

Como é que as pessoas e as organizações podem garantir que os fornecedores de

serviços de cloud são de confiança?

01

Quem está, por exemplo, a monitorizar e a proteger todos os dados associados a

estas tecnologias “inteligentes”?

Quem está a garantir que todos os dados pessoais recolhidos (Big Data) são

mantidos seguros e não colocam em causa a privacidade da pessoa?

54% 37% 61%

Mundo Digital Big DataNecessidade de Informação vs. Excesso de Informação

2

INTRODUÇÃO

Dada a velocidade da mudança, os reguladores e as pessoas estão a

exigir que as organizações assumam esta responsabilidade

Quase todos os europeus são a favor da igualdade de direitos de proteção em toda a UE (89%)

Dois terços dos europeus pensam que empresas online devem ser responsáveis pela proteção dos seus dados pessoais (67%)

Mais de quatro em cada dez europeus defendem que as regras de proteção de dados deve ser tratada a nível da UE (45%)

Oito em cada dez europeus sentem que não têm controlo total sobre os seus dados pessoais (81%)

Special Eurobarometer 431, Data Protection – June 2015, http://ec.europa.eu/public_opinion/archives/ebs/ebs_431_en.pdf

Durante anos, as empresas trabalharam para cumprir as obrigações mínimas de conformidade sem assumir

adequadamente o seu papel na proteção da informação dos seus clientes ou colaboradores

O GDPR da UE coloca a responsabilidade da proteção da privacidade onde devia estar – nas mãos das entidades que recolhem, armazenam e analisam informações de carácter

pessoal – criando confiança

PASSADO FUTURO

3

O GPDR

Os residentes da UE vão ter mais

controlo sobre os seus dados

pessoais

Todos vão ter de seguir as mesmas

regras

As organizações vão ter de reportar a

uma autoridade de supervisão

Mais organizações vão precisar de um

Data ProtectionOfficer (DPO)

As regras defendem uma abordagem baseada no risco

PbD torna-se uma exigência

As organizações têm 72 horas para denunciar uma

violação

As multas por violação vão ser

substancialmente mais altas

A segurança está ligada ao risco

A definição de “consentimento” foi significativamente

restringida

As transferências transfronteiriças são permitidas,

sob certas condições

As organizações precisam de definir

regras transparentes

GPDR Principais Destaques

O GDPR é uma lei de proteção de dados que substitui, em última

instância, a Diretiva 95/46/CE relativa à proteção de dados

4

O GPDR

O que precisa de ser feito para responder aos requisitos GPDR e estar preparado para 2018?

Explorando

5

O GPDR

Cada empresa deve colocar estas perguntas a si mesma:

A criação de programas de privacidade de dados adequados ao negócio e

que cumpram os requisitos GPDR é vital para as empresasExplorando

• É um processador de dados ou um controlador de dados que processa dados

pessoais dentro da UE ou processa dados pessoais de cidadãos da UE?Âmbito

• Realiza a monitorização sistemática em grande escala (incluindo dados de

funcionários) ou processa grandes quantidades de dados pessoais confidenciais?DPO

• Tem um programa de proteção de dados e é capaz de fornecer provas de como a

sua organização cumpre os requisitos GDPR da UE?Responsabilidade

• Caso existisse uma violação de dados, conseguiria notificar uma autoridade de

supervisão de proteção de dados dentro de 72 horas?

Notificação da Violação

• Cria requisitos de proteção de dados e privacidade no desenvolvimento dos seus

processos de negócio?PbD

• Sabe como irá cumprir os novos direitos: o “direito a ser esquecido”, “o direito à

portabilidade dos dados” e o “direito de se opor ao perfil”?Novos Direitos

• Os seus termos de proteção de dados estão em conformidade com os novos

requisitos de consentimento (não ambíguo) e aviso (interesse legítimo)?

Consentimento e Notificação

As respostas que fornecer vão ter impacto nas medidas necessárias para estabelecer um programa de privacidade de dados que esteja

em conformidade com os múltiplos requisitos GPDR

6

O GPDR

Um exemplo:

FASE 1Clarificar o processamento de

dados

Identificar dados pessoais, localizá-los na organização, a sua origem e o seu destino,

assim como o grau de proteção dos mesmo

FASE 2Analisar a relevância dos

novos requisitos

Compreender as lacunas de conformidade existentes e

avaliar riscos, nos sistemas e processos, associados aos

dados pessoais

FASE 3Desenvolver planos de

remediação

Definir planos de ajuste para a gestão da proteção de dados

FASE 4Executar os planos de

remediação

Implementar políticas, processos e controlos de gestão

de proteção de dados

Explorando

Neste contexto, as organizações vão precisar de perceber a sua posição de compliance atual

A criação de programas de privacidade de dados adequados ao negócio e

que cumpram os requisitos GPDR é vital para as empresas

7

O GPDR

Governance

Nomeação do Data Privacy Officer (DPO)

Definição da visão, missão e estratégia de privacidade de dados como base para a estrutura de governo

Integração de regras e processos de privacidade de dados na segurança da informação

Integrar o risco de privacidade de dados em avaliações de risco de segurança

Integrar a privacidade dos dados nas políticas de segurança de informação

Manter medidas para encriptar dados pessoais

Manter procedimentos para restringir o acesso a informações pessoais

Integrar a privacidade de dados em planos de continuidade de negócios

Manter uma estratégia de prevenção de dados

IIlustrativo

Não exaustivo

Explorando

Identificação dos processos e sistemas de negócios abrangidos

Realização de um Inventário de Dados Pessoais e de um PrivacyImpact Assessment (PIA)

Privacy Risk

Assessment

Revisão e/ou definição das normas de privacidade de dados

Alinhamento da normativa de privacidade de dados com a normativa existente para tópicos relacionados

Policy Framework

Desenvolvimento e formalização de processos e procedimentos para:

1. Pedidos e reclamações

2. Contratos com terceiros (BCR)

3. Relatórios de violação

4. Integração do PbDno core business

Processes

Definição dos objetivos e atividades de gestão de mudanças para a privacidade de dados

Desenvolvimento de materiais de formação, sensibilização e comunicação da execução do plano

Training, Awareness

& Communication

Definição de um framework de proteção de dados com o registo de todos os processos e controlos de privacidade

Desenvolvimento de KPIs e dashboards

Control Plan

Quais são os tópicos principais a ter em conta?

A criação de programas de privacidade de dados adequados ao negócio e

que cumpram os requisitos GPDR é vital para as empresas

8

O GPDR

Em última análise, o GDPR trará benefícios que transcendem em muito o

aspeto regulamentar!Explorando

Simplificação da expansão

das empresas, devido à redução

dos obstáculos ao comércio transfronteiriço

Impulso à inovação, pois o PbD

vai exigir novas ideias de negócio e métodos para garantir a proteção de

dados

Diminuição dos custos, devido à

homogeneidade jurídica em 28 países, reduzindo a necessidade de aconselhamento

jurídico

Concorrência

transparente, devido à

portabilidade dos dados entre prestadores de serviços

Maior satisfação do

cliente, devido a regras

transparentes e maior controlo sobre dados pessoais

Quais os benefícios esperados para as empresas?

9Direcção de Desenvolvimento Organizacional17Dez15-DigitalDoc-DDO

Obrigado.