Regulamento Geral de Proteção de Dados (GDPR–General Data Protection Regulation)

Por Prof. Ms. Edison Fontes, CISM, CISA, CRISC O Regulamento Geral de Proteção de Dados que entrará em vigor na União Europeia em 25 de maio...

Por Prof. Ms. Edison Fontes, CISM, CISA, CRISC

O Regulamento Geral de Proteção de Dados que entrará em vigor na União Europeia em 25 de maio próximo é um marco no tratamento da informação e impactará, de imediato ou mais à frente, todas as organizações que utilizam a tecnologia da informação, inclusive as brasileiras. Apesar de ser uma legislação da União Europeia, este regulamento apresenta características que afetam um universo maior. Este assunto merece um tempo e um texto longo, além do que várias horas de debates. Para facilitar, apresento neste artigo as principais diretrizes que você como executivo de uma organização (CEO, CFO, CIO, CISO) precisa conhecer e avaliar como a sua organização está tratando este tema.

O impacto do GDPR pode ser comparado com a Lei Sarbanes-Oxley dos USA, que afetou empresas de vários países. Muitas empresas querem negociar com os USA e para tanto devem estar adequadas á esta lei. Tem executivos brasileiros (e de outros países) que não podem passear nos USA sob pena de serem detidos.

As definições que apresento aqui estão baseadas no Regulamento (UE) 2016/679 Do Parlamento Europeu e do Conselho de 27 de abril de 2016, cerca de noventa páginas. Porém, apresento as mesmas de uma maneira mais simples baseado na minha experiência profissional e no estudo do assunto.

O primeiro entendimento que devemos ter do GDPR é que o principal direcionador desta legislação é o tratamento de dados pessoais de pessoas singulares. Isto é: o foco é a informação de dados pessoais.
Pessoa singular é uma pessoa que possa ser especificada, diretamente ou indiretamente, por um identificador (nome, CPF, localização).
Dados pessoais é uma informação ou conjunto de informações relativa a uma pessoa singular.

Descrevo abaixo, neste primeiro texto, uma abordagem estruturada para as principais características deste regulamento: Também consolido alguns controles que entendo que facilita o entendimento. Por consequência, este meu artigo não deve substituir a leitura completa de todo o regulamento.

1. Aplicação, empresas de qualquer nacionalidade.

a. Empresas com matriz, filial ou representação física na União Europeia.
b. Empresas sem representação física na União Europeia, mas ofereça produtos ao mercado europeu.
c. Empresas que coletam dados de pessoas singulares localizadas na União Europeia.
d. Empresas que monitoram dados de pessoas singulares localizadas na União Europeia.
e. Empresas que terceirizam o processamento de dados para empresas localizadas na União Europeia.

Note que as empresas podem ser qualquer nacionalidade e os dados de pessoas singulares se referem a pessoas localizadas na União Europeia, não necessariamente cidadãos europeus.

Esta abrangência exige que muitas empresas brasileiras, dos mais variados portes e tipos de negócio devam, se adaptar a este regulamento para o caso de desejar fazer negócio com o mercado europeu. E quem não quer vender ou prestar serviço para os países da União Europeia.

2. Consentimento.

O regulamento declara muito explicitamente que qualquer dado pessoal para ser coletado e utilizado precisa ter formalmente o consentimento da pessoa singular. Simples assim. Vai coletar meus dados, me peça!

Para aquelas empresas que possuem dados pessoais e não realizou este pedido de consentimento, deverão corrigir esta situação. A partir da data de validade do regulamento, estarão em não conformidade com a legislação da União Europeia.

3. Uso com finalidade específica.

A coleta de dado pessoal obrigatoriamente tem que indicar qual será o uso que a empresa fará com esta informação. Não se pode coletar dados pessoais para futuros usos. Se coleta dados pessoais para finalidade específica.

4. A coleta deve ser mínima

A coleta dos dados pessoais deve conter exclusivamente os dados necessários para atender a finalidade específica. Sem enrolação. No Brasil muitas empresas coletam dados para lhe comunicar do resultado do sorteio, porém, você tem que responder um questionário financeiro social e de comportamento.

5. Estruturação dos Dados Pessoais

Os dados pessoais devem ter uma estruturação técnica de maneira a facilitar a sua proteção e sua rastreabilidade. Quem trabalha com tecnologia da informação conhece muito bem como os sistemas aplicativos e como as bases de dados ao longo do tempo se transformam. Este controle facilita o controle seguinte.

6. Mapeamento dos dados pessoais

A empresa deve ter mapeado o fluxo de existência dos dados pessoais. Foram coletados numa ficha de papel na entrada de um hotel, ou foram coletadas elo site de Internet, depois foram armazenados. Existem cópias de segurança, são fornecidos ou vendidos para parceiros ou outros clientes. Enfim, é necessário indicar onde e o que acontece com os dados pessoais. Monitorar, gerenciar e controlar o fluxo dos dados pessoais.

7. Responsabilização solidária

Ao interagir com parceiros, fornecendo ou recebendo, dados pessoais a empresa será solidária na responsabilização sobre a coleta e uso de dados pessoais. Isto é, não adianta terceirizar o trabalho sujo. Sua empresa será responsabilizada se não foi dado o tratamento adequado exigido pelo regulamento europeu.

8. Uso de técnicas de criptografia e similar

É aconselhável demostrar que a empresa trada de maneira adequada a privacidade dos dados pessoais, na medida em que arquivos ou transmissões de dados pessoais utilizam técnicas de criptografia ou similar para aumentar a segurança do sigilo e acesso aos dados pessoais. Armazenar em um pen driver dados pessoais de clientes e funcionários sem criptografia demonstra uma falta de proteção adequada.

9. Data Protection Officer

A empresa deve ter um profissional para exercer as funções de Oficial de Proteção de Dados que tem a principal missão, garantir que a empresa segue ou estar a seguir as regras do regulamento. Ele fará a gestão de risco de dados pessoais e será o responsável pelo monitoramento e tratamento dos dados pessoais nestas empresas.

Este profissional responde pessoalmente e sua função, posição hierárquica não devem ter conflito de interesse. Para empresas maiores será um profissional dedicado. Empresas menores podem ter profissionais parciais. Todas devem ter uma solução adequada ao seu porte, tipo de negócio e que havendo uma auditoria, a solução seja razoavelmente aceita.

10. Data Protection Impact Assessments

A empresa deve ter no seu conjunto de Controles Corporativos, a Avaliação de Impacto na Proteção de Dados Pessoais. Este mapeamento deve ser apresentado para o corpo diretivo da organização para que os executivos tomem conhecimento dos possíveis impactos para a empresa, em função de vulnerabilidades e tratamento não adequado dos dados pessoais.

11. Comunicação de incidentes de dados

A empresa é obrigada a comunicar ao mercado e a autoridade europeia, a ocorrência de qualquer incidente que comprometa o sigilo e uso adequado dos dados pessoais. Entendo que começaremos a conhecer situações de perda, roubo ou vazamento de dados em empresas brasileiras.

12. Penalidades

As multas deste regulamento são pesadas. Afinal o bolso é o órgão mais sensível dos gestores, conselhos de administração e acionistas. Podem chegar a vinte milhões de euros ou até 4% do faturamento bruto do ano anterior.

13. Política de Dados Pessoais

Considerando a importância da proteção de dados pessoais, é recomendável que a empresa possua uma política específica para este tema. Este documento deve ser assinado pela presidência da empresa ou aprovado pelo conselho de administração.

14. Direito ao esquecimento

É o direito que a pessoa singular tem para solicitar que seus dados sejam apagados, quando não forem relevantes para as motivações que coletaram estes dados inicialmente. Porém é definido que o interesse público na disponibilidade dos dados deverá ser considerado para o atendimento destas solicitações. Entendo que a praticabilidade desta questão irá depender muito de algumas leis específicas de cada país. À princípio esta regra está um pouco aberta neste regulamento.

CONCLUSÃO

O Processo Organizacional de Segurança da Informação facilita o atendimento aos diversos controles exigidos pelo GDPR. Não só facilita como são obrigatórios para uma adequada proteção dos dados pessoais. Pouco adiante a existência de vários controles exigidos pelo GDPR, se o controle de acesso lógico dos sistemas que acessas aos dados pessoais não funcione adequadamente. A questão dos dados pessoais será mais uma dimensão para a segurança da informação.

O Brasil ainda não possui uma legislação do tipo GDPR, porém, está em andamento (será?) no Congresso Nacional um projeto de legislação de Proteção de Dados Pessoais, inspirado no GDPR. Será um grande avanço para o país e para a nossa ordem jurídica. Porém, pensando no mercado, no negócio das nossas organizações que vendem produtos e realizam serviços para todos os países, seguir o GDPR é uma decisão estratégica de negócio.

Se a sua organização, eventualmente, não tenha controles adequados para atender o GDPR, minha sugestão é que ela deve se programar e definir etapas. Afinal o ritmo de implantação de controles deve ser coerente com o negócio da organização.


Edison Fontes, CISM, CISA, CRISC
[email protected]
www.nucleoconsult.com.br

  • Núcleo Consultoria
  • Estrategista, Consultor e Gestor: Segurança da Informação, Riscos, Continuidade e Combate à Fraude, Compliance.
  • Coordenador do Comitê de Segurança da Informação da ABSEG.



COMENTÁRIOS

Nome

14136,1,14136:2002,1,16280,11,abastecimento,7,Abinee,2,ABNT,22,Abraceel,3,abradee,7,ação social,3,acidentes,9,ADASA,1,administração de condomínios,6,AES,2,água,28,Alston,1,ambiente interno,1,ANA,1,Anatel,5,Android,1,aneel,67,Angra,1,ANP,1,apagão,8,Aplicações,2,aplicativo,5,Apple,2,aquecedor solar,2,aquecimento,3,ar condicionado,3,arquitetura,4,ART,2,Asolar Energy,1,associações,3,assosindicos,29,assosindicos-df,25,aterramento,2,audiência pública,5,autoconsumo remoto,1,autogeração,4,autogeradores,2,automação,1,automóvel,6,autônomo,5,Baidu,2,bairro,1,banda-larga,6,bandeiras tarifárias,55,barrageiro,1,bateria,27,Belo Monte,9,bicicleta,2,biodiesel,2,bioenergia,5,biogás,1,biohacking,1,biomassa,5,biotecnologia,1,blog,4,blogueiros de brasília,7,BNDES,11,boletos,1,bom negócio,2,Bovespa,1,bricolagem,1,BRICS,2,burocracia,1,cabeamento estruturado,2,Cade,2,CAESB,3,calculadora,1,campanha,4,carnaval,1,carregador,6,carreira,15,carro elétrico,23,cartel,3,cartilha,5,carvão,2,catavento,2,CCEE,7,CEB,32,CELG,2,celular,11,células de combustível,1,centrais hidrelétricas,1,cesp,1,cftv,2,charge,3,chefe,1,China,9,chip,1,choque,4,choque elétrico,6,cidade inteligente,4,Ciência,8,Cinema,2,classe,1,CLDF,6,climatização,1,CO2,7,código de posturas,1,cogeração qualificada,1,coletores solares,1,combustíveis,4,comércio,2,computadores,4,comunicação,11,concessionárias,8,concurso público,1,condomínio,27,Condomínios,27,congresso,3,conjuntura,1,construção civil,3,consulta pública,7,consumo,77,conta,69,controle de acesso,1,convenção,1,convênios,1,convivência,5,CoP21,4,Copel,2,corrupção,7,CPFL,10,CREA,5,CREADF,4,crise,10,crise energética,12,crise hídrica,58,CSEM,2,cultura,4,currículo,5,cursos,22,custos,4,decreto,1,defesa civil,4,desabastecimento,2,descarga atmosférica,6,descarga elétrica,6,descargas elétricas,5,desmatamento,3,diesel,3,direito tributário,1,disjuntores,1,Dispositivo de Proteção contra Surtos,2,Dispositivo DR,2,distribuidora,15,Distrito Federal,7,dívida,4,Doe Sangue,1,DPS,2,drones,3,ecológico,2,economia,158,Edificações,7,Eduardo Braga,3,educação,12,eficiência energética,25,elétrica,11,eletricidade,46,eletricista,3,eletrobras,8,eletroeletônicos,1,Eletrolão,1,eletrônica,4,Eletros,1,elevadores,3,empreendedorismo,9,emprego,15,empreiteiras,2,Empresa de Pesquisa Energética,3,Empresas,4,Empresas abertas,1,Empresas brasileiras,1,Empresas estatais,1,endividamento,3,energia,88,energia elétrica,85,energia eólica,30,energia limpa,19,energia nuclear,4,energia renovável,32,energia solar,107,energia sustentável,13,energias alternativas,17,engenharia,28,ensino,6,entidades,1,entretenimento,1,eólica,16,EPE,6,escola,4,escolaridade,1,estágio,1,Estatais brasileiras,1,estatísticas,1,estatuto,1,evento,18,exposição,6,fábrica,7,facebook,2,falta de energia,9,família luz,1,feira,5,FGTS,4,Fiepa,1,finanças,4,financeiro,2,fios e cabos elétricos,11,fluorescentes,4,FMI,1,fontes renováveis,19,fotovoltaico,52,fraude,7,frente parlamentar,2,Funai,1,futuro,5,gás,8,gás natural,8,gasoduto,1,GDF,30,General Electric,1,gênero,1,geração compartilhada,1,geração de empregos,2,geração de energia,25,geração distribuída,8,geração eólica,18,geração solar,26,gerador,7,geradores a diesel,1,Gere sua energia,1,gestão,9,golpe,1,google,6,governo,67,greenpeace,2,greve,1,grupo gerador,1,habitíssimo,1,halógenas,3,heliotermia,4,heliotérmica,4,Hemocentro,1,hidrelétrica,20,hidrelétricas,27,hídrica,1,hidrometração,2,hidrômetro,1,história,3,HORÁRIO DE BRASÍLIA,6,HORÁRIO DE VERÃO,7,HORÁRIO DE VERÃO 2014/2015,2,hospital,1,HTTP/2,1,ibge,1,ICMS,9,idade,1,identificação,1,IDV,1,iluminação,24,imóveis,3,impeachment,2,impostos,12,inadimplência,3,incandescentes,4,individualização,1,indústria,18,inflação,3,informação,7,infraestrutura,7,Inmetro,1,inovação,66,inspeção,6,instalações,13,internet,34,investimentos,41,iPhone,1,irregularidades,5,Israel,1,ISSE 2016,1,Itaipu,7,Jirau,4,lâmpadas,12,laudo,7,laudo técnico,10,laudo termográfico,1,led,13,legislação,5,lei,18,leilão,12,licitação,3,light,3,linguagem de programação,2,linhas de transmissão,3,linux,1,literatura,2,lítio,1,livros,5,lixo,5,LUOS,5,luz,67,manutenção,14,marco civil,7,marketing,1,matriz elétrica,8,MDIC,1,megausinas,1,megawatts,1,MEI,1,Meio Ambiente,6,mercado,37,mercado de trabalho,7,mercado imobiliário,4,Mercosul,1,metrô-df,7,MG,2,Micro Empreendedor Individual,2,microgeração,26,microgeração de energia,28,microgeração distribuída,13,microsoft,5,microtorres eólicas,2,Minas Gerais,2,minigeração distribuída,4,Ministério de Minas e Energia,22,MMA,2,MME,14,mobilidade,1,Módulos Fotovoltaicos,4,monitoramento remoto,1,Montes Claros,1,mortes,3,motores a diesel,2,motores elétricos,1,MP,3,MTE,2,multinacional,2,museu,3,nanotecnologia,1,NBR,19,negócios,3,no-break,2,Normas,25,normativa,3,Norte de Minas,1,Novas tecnologias,2,NR-10,3,nuvem,2,onedrive,1,ONS,17,orelhões,1,outorga,1,painéis solares,29,painel fotovoltaico,41,palestra,7,para-raio,3,parecer técnico,1,Parque Tecnológico Itaipu,5,parques eólicos,8,pás de rotor,1,pátio,1,patrão,1,Pequenas empresas,2,perfil,1,pesquisa,25,petróleo,3,pilha,1,PL,21,placa fotovoltaica,26,planejamento,6,plano de privatização,4,plantas,2,plástico,1,PLS,5,pocel,1,política,7,poluição,5,portabilidade,7,Portugal,1,potabilidade,1,PPCUB,5,PPP,1,preço,4,Prefeitura de São Paulo,1,premiação,1,prevenção,3,primeira indústria de painéis,3,procel,3,professor,1,profissional habilitado,17,profissional liberal,7,Project Sunroof,1,projeto de lei,25,projetos na área,16,pronatec,1,proposta,7,Proteste,2,qualidade da água,1,QUANDO COMEÇA O HORÁRIO DE VERÃO,5,QUE HORAS SÃO,5,racionamento,9,rádio JK FM,1,raio,3,raios,5,recarga,1,reciclagem,4,rede inteligente,5,redes de smart grid,6,redes sociais,11,Reformas,10,registro profissional,4,regras,5,regras de convivência,5,reservatórios,16,resíduos,2,resolução,7,retrofit,1,revisão,1,revolução,2,RFID,1,risco de apagão,3,robôs voadores,1,rolamentos,1,salário,3,Santo Antônio,2,saúde,8,Sebrae,2,sedhab,1,segurança,30,seminário,1,Senai,3,Serviços,3,setor,4,setor elétrico,91,similares,1,síndico,15,Síndicos,20,sistema elétrico,5,smart grid,18,smartphone,6,sobrecarga,1,Socioeconomia,2,software,9,solar,26,Spotify,1,startup,2,stj,2,subsíndico,4,sustentabilidade,32,tarifa,92,TCDF,1,teatro,1,Técnicas,2,técnico,5,técnico de grau médio,10,técnicos industriais,15,tecnologia,41,tecnologia da informação,34,telecomunicações,16,telemedidores,2,temperatura,1,termelétrica,8,termografia,1,termologia,1,tesla,5,trânsito,1,transmissão de energia,6,tributação,7,turbina,4,turbina eólica,9,TV Digital,5,Ubuntu,1,UnB,6,União Européia,1,urbanismo,1,usina hidrelétrica,15,usina nuclear,2,usina solar,19,usinas eólicas,10,vento,1,video,6,videovigilância,1,vistoria,3,vizinho,3,voltagem,1,web,6,webinar,3,whatsapp,7,workshop,1,zelador,1,
ltr
item
apservtec: Regulamento Geral de Proteção de Dados (GDPR–General Data Protection Regulation)
Regulamento Geral de Proteção de Dados (GDPR–General Data Protection Regulation)
https://2.bp.blogspot.com/-HzkbJgRCQms/WsEAGja9uyI/AAAAAAAArKw/DL05_Nq6OacAcTkbzjlvlBFkfjCS_-e6wCLcBGAs/s1600/Regulamento-Geral-de-Protecao%2Bde-Dados-GDPR%25E2%2580%2593General-Data-Protection-Regulation.jpg
https://2.bp.blogspot.com/-HzkbJgRCQms/WsEAGja9uyI/AAAAAAAArKw/DL05_Nq6OacAcTkbzjlvlBFkfjCS_-e6wCLcBGAs/s72-c/Regulamento-Geral-de-Protecao%2Bde-Dados-GDPR%25E2%2580%2593General-Data-Protection-Regulation.jpg
apservtec
http://servicos.atualidadepolitica.com.br/2018/04/regulamento-geral-de-protecao-de-dados.html
http://servicos.atualidadepolitica.com.br/
http://servicos.atualidadepolitica.com.br/
http://servicos.atualidadepolitica.com.br/2018/04/regulamento-geral-de-protecao-de-dados.html
true
104026982293760891
UTF-8
Carregar todos Post não encontrado Ver Todos Ler Mais Responder Cancelar resposta Deletar Por Início PÁGS POSTS Ver TUDO RELACIONADAS TÓPICO ARQUIVO BUSCAR TODOS A busca não retornou respostas Início Domingo Segunda Terça Quarta Quinta Sexta Sábado Dom Seg Ter Qua Qui Sex Sáb Janeiro Fevereiro Março Abril Maio Junho Julho Agosto Setembro Outubro Novembro Dezembro Jan Fev Mar Abr Maio Jun Jul Ago Set Out Nov Dez agora 1 minuto há $$1$$ minutos 1 hora há $$1$$ horas Ontem há $$1$$ dias há $$1$$ semanas há mais de 5 semanas Seguidores Seguir CONTEÚDO EXLUSIVO - COMPARTILHE PARA ACESSAR 1º Compartilhe em suas redes sociais para liberar 2º Clique no link compartilhado em sua rede social Copiar TUDO Selecionar TUDO Todos os códigos foram copiados Códigos/textos não copiados, pressione [CTRL]+[C] (ou CMD+C no Mac) para copiar Sumário