Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - … · 2020. 5. 8. · como EAD e games, para...
Transcript of Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - … · 2020. 5. 8. · como EAD e games, para...
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
A PECK SLEIMAN EDUCAÇÃO tem como missão CONECTAR
pessoas através do CONHECIMENTO. Pensar, Planejar e Promover
INOVAÇÃO, CONSCIENTIZAÇÃO e CAPACITAÇÃO para o mercado,
especialmente para atender os novos desafios dos profissionais e
gestores de empresas, nos mais diversos segmentos e áreas já
inseridas no contexto de Sociedade Digital, com oportunidades e
riscos associados ao uso de tecnologia e seu impacto nos negócios.
O nosso objetivo é ENSINAR através de um modelo diferenciado
de Educação Continuada que abrange desde treinamentos
tradicionais a soluções que apliquem tecnologia e novos recursos,
como EAD e games, para garantir a atualização dos profissionais e
o desenvolvimento de novas competências dentro do contexto
atual e futuro da Sociedade Digital.Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
PARTE 5 – Ciber segurança e Resposta a Incidente dentro daprevisão da LGPDSUMÁRIO DA AULA▪ Qual o conceito de violação de segurança e de violação de dados pessoais?▪ Quando é necessário reportar aos titulares?▪ O que fazer se houver uma violação de dados pessoais? ▪ E se forem dados pessoais sensíveis?▪ Como fica a responsabilidade a partir de eventos ocorridos com terceiros ou
tercerizados?
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
Qual o conceito de violação de
segurança e de violação de
dados pessoais?Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
Porque a LGDP surgiu agora?▪ Diversos escândalos envolvendo o vazamento de
dados pessoais;
▪ Insegurança jurídica da ausência de lei específica;
▪ A influência do General Data Protection Regulation(GDPR), o regulamento europeu sobre proteção de dados.
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
REQUISITOS DO GDPR FRENTE ÀS VIOLAÇÕES DE DADOS PESSOAIS – art. 33
Em caso de violação de dados pessoais, o Controlador deve notificar Autoridade
Supervisora competente nos termos do Artigo 33, sem demora injustificada e, sempre que
possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos
dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das
pessoas físicas.
Se a notificação não for enviada à Autoridade Supervisora no prazo de 72 horas, o
Controlador deve remeter conjuntamente os motivos do atraso.
Quando a violação de dados pessoais poder resultar em um alto risco aos direitos e
liberdades das pessoas físicas, o Controlador deverá comunicar a violação de dados
pessoais aos Titulares de Dados afetados, sem demora indevida. O Controlador
documentará toda e qualquer violação de dados pessoais e disponibilizará essa informação
à autoridade supervisora.Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
“
”Patricia Peck PinheiroPrivacidade e cibersegurança. 2018. p. 31
.
Violação de dados pessoais: uma violação da segurançaque provoque, de modo acidental ou ilícito, a destruição,a perda, a alteração, a divulgação ou o acesso, nãoautorizados, a dados pessoais transmitidos, armazenadosou sujeitos a qualquer outro tipo de tratamento.
INSIGHT ACADÊMICO!
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
Compreendendo os incidentes
Uma violação de segurança só se torna uma violação de dados
pessoais quando envolve a perda de dados pessoais ou se o
processamento ilegal de dados pessoais não puder ser
razoavelmente excluído.
VIOLAÇÃO DE SEGURANÇA
VIOLAÇÃO DE DADOS PESSOAIS=/
“incidente de segurança” Por exemplo, perda de uma chave
USB ou laptop, hack do sistema.
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
Quando é necessário reportar
aos titulares?
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
É preciso notificar o titular quando...
a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das
pessoas físicas.
Nestes casos o Controlador deve comunicar a violação de dados pessoais ao Titular dos dados sem demora injustificada.Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
A comunicação deve descrever em linguagem clara e simplesa natureza da violação dos dados pessoais e fornecer, pelomenos, as informações e as seguintes medidas:
▪O nome e os contatos do DPO ou de outro ponto de contato onde possam ser obtidas mais informações;
▪As consequências prováveis da violação de dados pessoais;▪As medidas adotadas ou propostas pelo Controlador para
reparar a violação de dados pessoais, inclusive, as medidas para atenuar os seus eventuais efeitos negativos.
O que deve conter a notificação ao titular?
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
▪ O Controlador tiver aplicado medidas de proteção adequadas aos dados pessoais afetados pela violação, tanto técnicas como organizacionais, especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a acessar esses dados, tais como a criptografia;
▪ O Controlador tiver tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos Titulares dos dados não é suscetível de se concretizar; ou,
▪ Implicar um esforço desproporcionado. Nesse caso, é feita uma comunicação pública ou semelhante por meio da qual os Titulares dos dados são informados de forma igualmente eficaz.
A comunicação ao Titular dos dados não é obrigatória se for preenchida uma das seguintes condições:
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
O que fazer se houver uma violação de dados pessoais?
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
O que fazer em caso de incidente?GDPR/2016
Artigo 33. Notificação de uma violação de dados pessoais à autoridade de controlo
1. Em caso de violação de dados pessoais, o responsável pelo tratamentonotifica desse facto a autoridade de controlo competente nos termos do artigo55.o , sem demora injustificada e, sempre que possível, até 72 horas após tertido conhecimento da mesma, a menos que a violação dos dados pessoais nãoseja suscetível de resultar num risco para os direitos e liberdades das pessoassingulares. Se a notificação à autoridade de controlo não for transmitida noprazo de 72 horas, é acompanhada dos motivos do atraso.
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
O que fazer em caso de incidente?Lei nº 13.709/18Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a
ocorrência de incidente de segurança que possa acarretar risco ou dano relevante
aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade
nacional, e deverá mencionar, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos
dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos
do prejuízo.Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
Dever de Notificação (Report)[art. 48, § 1º/LGPD] [art. 33/GDPR]
O Processador deve notificar o Controlador sem demora indevida após
tomar conhecimento de uma violação de dados pessoais. Em caso de
violação de dados pessoais, o Controlador deve, sem demora injustificada e,
sempre que possível, no prazo de 72 horas (na LGPD ficou prazo razoável)
após ter tomado conhecimento do mesmo, notificar a violação dos dados
pessoais à autoridade supervisora.
Quando a violação de dados pessoais poder resultar em um alto risco aos
direitos e liberdades das pessoas físicas, o Controlador deverá comunicar a
violação de dados pessoais aos Titulares de Dados afetados, sem demora
indevida. O Controlador documentará toda e qualquer violação de dados
pessoais e disponibilizará essa informação à autoridade supervisora.Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
O que fazer em caso de incidente?Dever de Notificação (Report) [art. 48, § 1º/ Lei nº 13.709/18]
A RESPOSTA A INCIDENTES DEVE ABRANGER:
▪ Procedimento escrito detalhado de Resposta a incidente considerando as duas situações de violação desegurança e de violação de dados, tempo de notificação e quais as medidas devem ser tomadas em cadauma delas;
▪ Ter os textos de resposta pré-validados;▪ Ter a resposta à crise de imagem já estabelecida inclusive para combater eventuais informações falsas
ou exageradas (fake news) que possam circular em mídias sociais e grupos de whatsapp para fins dealgum tipo de manipulação (especialmente se for empresa aberta em bolsa);
▪ Ensaiar tudo isso antes que aconteça, para que os envolvidos já saibam seus papéis, como agir, quantotempo têm para responder ao evento com um SLA estabelecido e testado (fazer o teste);
▪ Verificar a possibilidade de ter um seguro para Ciber Risks que cubra vazamento de informações (CiberInsurance)
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com
Contato
PeckSleiman EDUTelefone: +55 11 [email protected]
Obrigada!
Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com