1. Modulo 1
1.1. SGPD Gerenciar melhor os dados corporativos e mitigar os riscos
1.1.1. Fase 1 - Preparação Estudo de Caso (Análise Documental, Entrevistas, Observação Direta)
1.1.1.1. 1 - Realizar análise de privacidade
1.1.1.2. 2 - Coleta de leis de privacidade
1.1.1.2.1. 1. É preciso haver um processamento legítimo para os dados pessoais. 2. Dados pessoais devem ser obtidos apenas para as finalidades especificadas. 3. Dados pessoais devem ser relevantes de acordo com a finalidade. 4. Dados pessoais precisam estar corretos e atualizados. 5. Dados devem ser processados somente durante o período necessário para o propósito. 6. Dados devem ser processados de acordo com os direitos dos titulares de dados. 7. Medidas técnicas e organizacionais precisam ser tomadas para proteção. 8. Não pode haver transferência de dados pessoais para outros países fora da AEE, a menos que exista um nível de proteção adequado.
1.1.1.3. 3 - Analisar o impacto da privacidade
1.1.1.4. 4 - Realizar auditorias e avaliações dos dados iniciais
1.1.1.5. 5 - Estabelecer organização de governança de dados
1.1.1.5.1. Criar um comitê de governança de dados
1.1.1.6. 6 - Estabelecer fluxos de dados e inventário de dados pessoais
1.1.1.6.1. Inventário de dados pessoais mantidos por vários departamentos e sistemas de TI, incluindo: • Todos os tipos de dados: eletrônico e em papel. • Quais funcionários são responsáveis por esses dados. • Tipo de dado tratado(dados de funcionários, de clientes, com copropriedade com outra organização, etc.). • Onde são mantidos (servidores, disponíveis móveis, na nuvem, etc.).
1.1.1.7. 7 - Estabelecer programa PD & P
1.1.1.8. 8 - Esboçar planos de implementação de ações de PD & P
1.1.1.8.1. Elaborar e enviar para diretoria um relatório contendo: - A análise e os resultados das atividades de análise; - Orçamento; - Planos de ação específicos para a execução do processo completo de proteção de dados e privacidade de cada fase
1.1.2. Fase 2 - Organização Estabelecer estruturas organizacionais e mecanismos para as necessidades de privacidade da organização.
1.1.2.1. 1 - Manter programa, políticas e controles de governança de privacidade de dados
1.1.2.2. 2 - Atribuir e manter responsabilidades na PD & P (matriz RACI).
1.1.2.2.1. Matriz RACI
1.1.2.2.2. Designar um DPO e suas responsabilidades
1.1.2.3. 3 - Manter o envolvimento da gerência sênior em PD & P.
1.1.2.4. 4 - Manter o compromisso na organização com PD & P
1.1.2.4.1. Contrato de trabalho
1.1.2.4.2. Código de conduta assinado
1.1.2.4.3. Todos os colaboradores devem aderir as politicas de PD e P.
1.1.2.5. 5 - Manter comunicações regulares para questões de PD & P.
1.1.2.5.1. Integrar o pensamento de proteção de dados em toda a organização
1.1.2.6. 6 - Manter o envolvimento das partes interessadas em questões de PD & P.
1.1.2.7. 7 - Implementar e operar sistemas computadorizados para PD &P
1.1.2.7.1. Sistemas computadorizados:
1.1.2.8. Principais entregas
1.1.2.8.1. 1 - Nomeação do DPO 2 - Plano de treinamento, comunicação e conscientização de privacidade atualizado 3 - Sistemas automatizados de PD & P.
1.1.3. Fase 3 - Implementação Execução, Medidas Proteção de Dados (ISO-27002/ISO-27701) SGPI
1.1.3.1. 1 - Desenvolver e implementar estratégias, planos e políticas de PD & P.
1.1.3.1.1. Desenvolver um sistema de classificação de dados pessoais
1.1.3.1.2. Selecionar estratégias, planos, políticas e controles a serem implementados.
1.1.3.2. 2 - Implementar o procedimento de aprovação para processamento de dados pessoais.
1.1.3.3. 3 - Registrar bancos de dados para dados pessoais.
1.1.3.4. 4 - Desenvolver e implementar um sistema de transferência internacional de dados.
1.1.3.4.1. Ao transferir dados pessoais a terceiros em um país com proteções de privacidade inadequadas, a organização pode adotar cláusulas contratuais padrão em seus contratos para garantir melhor proteção.
1.1.3.5. 5 - Executar atividades de integração de PD & P.
1.1.3.6. 6 - Executar o plano de treinamento de PD & P.
1.1.3.6.1. Organizações treinam sua equipe para melhor implementar a proteção de dados e a privacidade em todos os seus programas, sistemas, projetos e funções
1.1.3.7. 7 - Implementar controles de segurança de dados.
1.1.3.7.1. Etapa 1: Incluir privacidade de dados na política de segurança corporativa.
1.1.3.7.2. Etapa 2: Incluir privacidade de dados na política de segurança da informação.
1.1.3.7.3. Etapa 3: Incluir privacidade de dados na política de uso aceitável.
1.1.3.7.4. Etapa 4: Incluir a privacidade de dados nas avaliações de riscos de segurança.
1.1.3.7.5. Etapa 5: Implementar os controles de segurança técnica de TI.
1.1.3.7.6. Etapa 6: Implementar controles de segurança de recursos humanos.
1.1.3.7.7. Etapa 7: Incluir privacidade de dados no planejamento de continuidade de negocio.
1.1.3.7.8. Etapa 8: Desenvolver e implementar uma estratégia de prevenção de perda de dados.
1.1.3.7.9. Etapa 9: Realizar testes regulares de segurança de dados.
1.1.3.7.10. Etapa 10: Manter a certificação de segurança, se houver.
1.1.3.8. Principal resultado
1.1.3.8.1. Medidas implementadas para governar dados pessoais com mais efetividade.
1.1.4. Fase 4 - Governança Suporte, Atender as demandas, Manter
1.1.4.1. 1 - Implementar práticas para gerenciar o uso de dados pessoais
1.1.4.1.1. Inclui políticas e procedimentos específicos para coleta e uso de dados pessoais sensíveis.
1.1.4.2. 2 - Manter avisos de privacidade sobre dados pessoais.
1.1.4.3. 3 - Executar um plano de solicitações, reclamações e retificações.
1.1.4.3.1. A organização executa as atividades relacionadas ao tratamento de reclamações, gerenciando solicitações de acesso e de atualização de informações feitas pelos titulares de dados.
1.1.4.3.2. Prazo de 1 mês na GDPR para responder ao titular de dados
1.1.4.4. 4 - Executar uma avaliação de riscos de proteção de dados(AIDP ou DPIA)
1.1.4.4.1. Análise riscos ajuda a priorizar os gaps(brechas) de segurança existentes.
1.1.4.4.2. GDPR informa as situações necessárias para fazer o AIDP ou DPIA.
1.1.4.5. 5 - Emitir relatórios de PD & P
1.1.4.6. 6 - Manter documentação de privacidade de dados.
1.1.4.7. 7 - Estabelecer e manter um plano de resposta de violação de privacidade.
1.1.4.7.1. As funções deste plano são:
1.1.5. Fase 5 - Avaliação Avaliar e melhorar todos os aspectos específicos de proteção de dados e privacidade da organização (controles, políticas, procedimentos, práticas, etc.).
1.1.5.1. 1 - Realizar auditoria interna de PD & P.
1.1.5.2. 2 - Envolver uma parte externa para avaliações PD & P.
1.1.5.3. 3 - Realizar avaliações e estabelecer benchmarks (comparações).
1.1.5.3.1. Podem ser feitas autoavaliações e os resultados usados para comparação com avaliações anteriores, com unidades internas ou com entidades similares no mercado
1.1.5.3.2. Os resultados das comparações servem como entrada para melhoria.
1.1.5.4. 4 - Executar avaliações de riscos de proteção de dados.
1.1.5.5. 5 - Resolver riscos de PD & P.
1.1.5.6. 6 - Relatar análise de riscos de PD & P e resultados.
1.1.5.7. 7 - Monitorar as leis e regulamentos de PD & P
1.1.5.8. Principal resultado
1.1.5.8.1. Relatórios de auditoria, análise de gaps e análise de riscos e um plano de melhoria.
2. Modulo 2
2.1. Políticas de proteção de dados
2.1.1. Políticas são requeridas pelo GDPR
2.1.1.1. O GPDR recomenda o uso de políticas para ajudar a cumprir conformidade
2.1.1.2. Responsabilidade do controlador
2.1.1.2.1. Aplicação de políticas adequadas em matéria de proteção de dados pelo controlador
2.1.1.3. Papel do DPO (encarregado de proteção de dados)
2.1.1.4. Tipos de políticas requeridas pelo GDPR
2.1.1.4.1. Políticas gerais
2.1.1.4.2. Politicas de Proteção de Dados
2.1.2. Estrutura ou conteudo para uma politica
2.1.2.1. Conteúdo
2.1.2.1.1. ▪ Justificativa: explicação do porquê é necessária.
2.1.2.1.2. ▪ Escopo: tópicos e aspectos cobertos por ela.
2.1.2.1.3. ▪ Definições de contatos (papéis) e suas responsabilidades.
2.1.2.1.4. ▪ Um objetivo: pelo menos um descrevendo o que se pretende alcançar e como ele se relaciona com objetivos empresariais mais amplos.
2.1.2.1.5. ▪ Tratamento de violações: procedimentos envolvidos.
2.1.3. Políticas para demonstrar conformidade
2.1.3.1. Demonstram que sua organização pelo menos estabeleceu sua abordagem fundamental para a privacidade.
2.1.3.2. Uma política disponível publicamente apoia a transparência, permitindo que clientes e parceiros a avaliem e forneçam uma declaração clara de que as autoridades supervisoras e outros reguladores podem avaliar a organização.
2.1.4. Política de privacidade & proteção de dados
2.1.4.1. Tópicos importantes
2.1.4.1.1. ▪ Especificar a posição da organização sobre privacidade e proteção de dados.
2.1.4.1.2. ▪ Ser assinada por uma autoridade apropriada, como o conselho ou CEO.
2.1.4.1.3. ▪ Estar em conformidade com o GDPR e outras leis relevantes de proteção de dados.
2.1.4.1.4. ▪ Refletir sua adesão aos Princípios e fazer referência específica à sua conformidade com os Princípios do GDPR ou LGPD.
2.1.4.1.5. ▪ Identificar o mecanismo de recurso independente da organização para informar os titulares dos dados sobre o processo para apresentar uma queixa ou procurar outra forma de recurso.
2.1.4.1.6. ▪ Ser disponibilizada publicamente, potencialmente como uma cópia física, se a sua organização não tiver um site público.
2.1.4.2. Conteúdo exigido
2.1.4.2.1. →Identificação e detalhes de contato do controlador.
2.1.4.2.2. →Informações sobre a intenção de transferir dados pessoais a um país terceiro.
2.1.4.2.3. →Informações relativas aos períodos de retenção e direitos dos titulares dos dados.
2.1.4.2.4. →Período de retenção.
2.1.4.2.5. →Direitos do titular dos dados
2.2. Proteçao de Dados
2.2.1. By Desing
2.2.1.1. Conceito
2.2.1.1.1. Uma abordagem para projetos que promove a conformidade com a privacidade e proteção de dados desde o início.
2.2.1.1.2. Desde a concepção
2.2.1.1.3. O controlador aplica medidas técnicas e organizacionais para assegurar que, por padrão, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento
2.2.1.2. Exemplos de Medidas
2.2.1.2.1. Minimização do processamento
2.2.1.2.2. Pseudoanimização
2.2.1.2.3. Criação de transparência em relação ao processamento
2.2.1.2.4. A realização de uma AIPD - DPIA em inglês
2.2.1.3. Possui 7 princípios
2.2.1.3.1. Proativo não reativo
2.2.1.3.2. Privacidade como configuração padrão
2.2.1.3.3. Privacidade incorporada ao design
2.2.1.3.4. Funcionalidade total - soma positiva, não soma zero
2.2.1.3.5. Segurança de ponta a ponta - proteção total do Ciclo de Vida
2.2.1.3.6. Visibilidade e transparência - mantendo aberto
2.2.1.3.7. Respeito pela privacidade do usuário - centrado no usuário
2.2.2. By Default
2.2.2.1. Conceito
2.2.2.1.1. A proteção by design é expandida no GDPR para incluir "por padrão”, que insiste em que a organização assegure que todos os projetos levarão em conta a proteção de dados.
3. Modulo 3
3.1. Papéis do Controlador, Processador e Data Protection Officer (DPO)
3.1.1. Controlador
3.1.1.1. Responsável pelo tratamento
3.1.1.2. Determina as finalidades e os meios de processamento de dados pessoais
3.1.1.3. Responsabilidades e obrigações
3.1.1.3.1. É parte responsável por garantir que os dados pessoais sejam processados de acordo com os regulamentos
3.1.1.3.2. Será a entidade com interface direta com o público que fornece informações
3.1.1.3.3. Determinar a finalidade
3.1.1.3.4. Implementar os princípios de proteção de dados by design e por padrão
3.1.1.3.5. Análises de impacto de proteção de dados (AIPDs).
3.1.1.3.6. Notificar violações de dados pessoais à autoridade supervisora e titular
3.1.1.3.7. Assegurar que qualquer processador terceirizado cumpra as regras do GDPR
3.1.2. Processador
3.1.2.1. Trata os dados pessoais em nome do controlador
3.1.2.2. É preciso estabelecer contratos com um processador, esclarecendo os requisitos exigidos no Artigo 28 do GDPR
3.1.2.3. Responsabilidades e Obrigações
3.1.2.3.1. Somente executar atividades de processamento sob controle de um controlador
3.1.2.3.2. Garantir confidencialidade no processamento/ tratamento
3.1.2.3.3. Não subcontratar outro processador sem autorização prévia específica por escrito do controlador.
3.1.2.3.4. Apenas realizar processamento que é regido por um contrato ou outro ato jurídico
3.1.2.3.5. Disponibilizar ao controlador todas as informações necessárias para demonstrar conformidade.
3.1.3. Controlador e Processador Fora da UE
3.1.3.1. Qualquer organização que queira processar os dados pessoais de qualquer individuo residente na UE precisa cumprir o GDPR.
3.1.3.2. O GDPR exige que todas as organizações tenham um representante designado na UE
3.1.3.2.1. Exceção
3.1.4. Registro de Operações
3.1.4.1. As organizações devem manter registros para provar sua conformidade, caso a autoridade fiscalizadora solicite provas
3.1.4.1.1. Não são obrigadas caso tenham menos de 250 funcionários
3.1.5. DPO
3.1.5.1. Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)
3.1.5.2. Resposabilidades
3.1.5.2.1. Ser responsável pela proteção de dados e independente
3.1.5.2.2. Estar envolvido em todas as questões relacionadas à proteção de dados pessoais.
3.1.5.2.3. Conduzir suas tarefas com sigilo e confidencialidade
3.1.5.2.4. Estar acessível para os titulares de dados
3.1.5.2.5. Reportar ao nível mais alto de gestão do controlador
3.1.5.3. Tarefas
3.1.5.3.1. ▪ Informar e aconselhar o controlador ou o processador e os funcionários relacionados às suas obrigações em relação ao GDPR/LGPD.
3.1.5.3.2. ▪ Monitorar a conformidade com o GDPR/LGPD.
3.1.5.3.3. ▪ Atuar como ponto de contato para a autoridade supervisora
3.1.5.3.4. ▪ Fornecer conselhos quando solicitado, no que diz respeito à avaliação do impacto da proteção de dados (AIPD).
3.1.5.3.5. ▪ Cooperar com a autoridade supervisora.
3.1.5.3.6. DPO pode exercer outras tarefas desde que não ocorra conflitos de interesses
3.1.5.4. DPO x Autoridade Surpevisora
3.1.5.4.1. Atua como um intermediador
3.1.5.4.2. Atuando como mediador no caso de uma violação de dados.
3.1.5.5. Obrigatoriedade do DPO
3.1.5.5.1. O tratamento for realizado por uma autoridade ou organismo público
3.1.5.5.2. Processamento em grande escala de categorias especiais de dados
3.1.5.6. GDPR Sugere ter um DPO as a Service
4. Modulo 4
4.1. Avaliação de Impacto sobre a Proteção de Dados (AIPD)
4.1.1. Objetivo: Serve para identificar riscos específicos aos dados pessoais como resultado das atividades de processamento
4.1.2. Identificar e minimizar os riscos de privacidade relacionados a um tratamento.
4.1.3. Ser realizado antes da implementação de novos processos, projetos ou políticas.
4.1.4. Revisar sistemas ou processos existentes
4.1.5. Conteúdo obrigatório
4.1.5.1. Descrição do processamento e dos propósitos.
4.1.5.2. Interesses legítimos prosseguidos pelo controlador.
4.1.5.3. Avaliação da necessidade e da proporcionalidade do processamento.
4.1.5.4. Avaliação dos riscos para os direitos e liberdades dos titulares de dados.
4.1.5.5. Medidas previstas para abordar os riscos.
4.1.5.6. Salvaguardas e medidas de segurança para demonstrar conformidade e uma indicação de prazos se o processamento estiver relacionado com o apagamento (exclusão).
4.1.5.7. Indicação de qualquer proteção de dados by design e por padrão.
4.1.5.8. Lista de destinatários de dados pessoais.
4.1.5.9. Confirmação da conformidade com os códigos de conduta aprovados, detalhes sobre se os titulares de dados foram consultados.
4.1.6. Responsável pelo AIDP
4.1.6.1. É de responsabilidade do controlador de dados garantir que as AIPDs sejam realizadas
4.1.6.1.1. Ele determina o processamento
4.1.6.1.2. Se o processador realizar um DPIA a pedido do controlador o controlador ainda é o responsavel
4.1.7. O GDPR estabelece que "o responsável pelo tratamento deve procurar o parecer do DPO, quando designado, quanto à realização de uma avaliação do impacto na proteção de dados"
4.1.7.1. O DPO Tecnico pode realizar o AIDP ou DPIA
4.1.8. Etapas da AIPD de acordo com o ICO
4.1.8.1. Etapa 1 - Identificar a necessidade de uma AIPD
4.1.8.1.1. Existem situações específicas que levam à obrigatoriedade
4.1.8.1.2. Uma AIPD não é obrigatória em todas as operações de tratamento e sim quando implicar em um elevado risco para os direitos e liberdades das pessoas
4.1.8.1.3. Condições obrigatórias
4.1.8.1.4. Na maioria dos casos, o controlador pode considerar que um tratamento que satisfaça dois critérios exige a realização de uma AIPD.
4.1.8.1.5. Uma única AIPD pode ser utilizada para avaliar múltiplas operações de tratamento que sejam semelhantes em termos de natureza, âmbito, contexto, finalidade e riscos
4.1.8.2. Etapa 2 - Descrever os fluxos de informação
4.1.8.2.1. Esta etapa pode ajudar a identificar o potencial uso imprevisto ou não intencional dos dados
4.1.8.2.2. Inclui explicar como as informações serão obtidas, usadas e retidas
4.1.8.3. Etapa 3 - Identificar a privacidade e os riscos relacionados
4.1.8.3.1. ▪ Registrar os riscos para os indivíduos, incluindo possíveis intrusões em privacidade.
4.1.8.3.2. ▪ Avaliar os riscos corporativos, incluindo ações regulatórias, danos à reputação e perda de confiança pública.
4.1.8.3.3. ▪ Realizar uma verificação de conformidade com a legislação aplicável.
4.1.8.3.4. ▪ Manter um registro dos riscos identificados.
4.1.8.4. Etapa 4 - Identificar e avaliar as soluções de privacidade
4.1.8.4.1. Para cada risco identificado, deve ser tomada uma decisão de risco
4.1.8.4.2. Sempre que o responsável pelo tratamento de dados não conseguir encontrar medidas suficientes a fim de reduzir os riscos para um nível aceitável, é obrigatório consultar a autoridades de controle
4.1.8.5. Etapa 5 - Autorizar e registrar os resultados da AIPD
4.1.8.5.1. – Registrar as decisões para cada risco com o plano de tratamento de riscos.
4.1.8.5.2. – Fornecer uma cópia do plano de tratamento de riscos consolidado à alta gerência para aprovação e comprometimento dos recursos (orçamento).
4.1.8.5.3. – Tornar o relatório da AIPD disponível para as partes interessadas.
4.1.8.6. Etapa 6 - Integrar os resultados no plano de projeto
4.1.8.6.1. ▪ Garantir que as ações recomendadas pela AIPD sejam implementadas.
4.1.8.6.2. ▪ Continuar a usar a AIPD durante todo o ciclo de vida do projeto, quando apropriado.
4.1.8.6.3. ▪ A implementação de soluções de privacidade é realizada e registrada.
4.1.8.6.4. ▪ A AIPD será consulta se o projeto for revisado ou se seu escopo mudar no futuro
4.1.8.7. Etapa 7 - Consultar as partes interessadas
4.1.8.7.1. As partes interessadas devem ser consultadas adequadamente durante todo o processo.
5. Modulo 5
5.1. Violação de dados, notificação e resposta a incidentes
5.1.1. Aplicação dos requisitos do GDPR em relação a violações de dados pessoais
5.1.1.1. Violação de dados pessoais
5.1.1.1.1. É uma violação da segurança que provoca, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
5.1.1.2. Plano de resposta a incidentes de segurança
5.1.1.2.1. Possui 3 Etapas
5.1.1.3. Aplicação dos requisitos obrigatórios para notificação de violação de dados pessoais
5.1.1.3.1. Notificações Processador -> Controlador
5.1.1.3.2. Notificações Controlador -> Autoridade Surpevisora
5.1.1.3.3. Exceção de notificação
5.1.1.3.4. Notificação aos titulares de dados
5.1.1.3.5. Carta de notificação aos usuarios