Desafios e Oportunidades da GDPR

Transcrição

1 Desafios e Oportunidades da GDPR 26 de abril de 2018 Câmara de Comércio e Indústria Brasil-Alemanha

2 PELO SEGUNDO ANO CONSECUTIVO A KPMG FOI RECONHECIDA COMO LÍDER EM CONSULTORIA DE SEGURANÇA DA INFORMAÇÃO PELO FORRESTER WAVE : INFORMATION SECURITY CONSULTING SERVICES Q & Q CLIENT REFERENCES CONSISTENTLY MENTIONED ONE AREA OF DIFFERENTIATION FOR KPMG THAT PROVIDES HIGH VALUE: CONSULTANTS WITH OPERATIONAL EXPERIENCE WHO HAVE DEEPER INSIGHTS ON THE DAY-TO-DAY BATTLES CLIENTS FIGHT THAN TYPICAL SERVICE DELIVERY PERSONNEL WITH JUST A CONSULTING BACKGROUND, The Forrester Wave : Information Security Consulting Services, Q BUSINESSES LOOKING FOR A CONSULTING PARTNER WITH STRENGTHS IN STRATEGIC ADVICE AND ASSISTANCE WITH COMPLEX BUSINESS PROBLEMS SHOULD STRONGLY CONSIDER KPMG. The Forrester Wave : Information Security Consulting Services, Q1 2016, FIN ALIST PLATINUM SPONSOR

3 Conteúdo 1. Infrações de dados 2. A jornada da GDPR 3. O que é a GDPR? 4. Principais aspectos 5. Os problemas As soluções Recomendações chave Cooperative ( KPMG International ), uma entidade suíça. Todos os direitos reservados. Impresso nobrasil. 3

4 Perspectivas globais Global Privacy Survey Mais de 50% ficaram felizes em compartilhar dados pessoais sobre gênero, educação e etnia online Menos de 20% ficaram felizes em divulgar informações sobre seu histórico de pesquisa on-line, renda, localização, endereço ou registros médicos. 25% usam criptografia para proteger seus dados pessoais PERSPECTIVAS GLOBAIS Os níveis de educação não parecem afetar as opiniões das pessoas sobre privacidade e o que elas consideram assustador ou aceitável. Apenas cerca de metade das pessoas aceitaria produtos gratuitos ou mais baratos em troca de menos privacidade Quase um terço usa os modos de navegação anônima ou "não rastreia" ao navegar na web. Os entrevistados na maioria dos países dizem que o controle sobre a privacidade é mais importante que a conveniência Mais de dois terços de pessoas não estão confortáveis com aplicativos de telefone inteligente e tablet usando seus dados pessoais. 4

5 Infrações de dados Cerca de 56 milhões de cartões de débito e crédito foram expostos. O Relatório de Investigações de Violações de Dados da Verizon de 2015 (DBIR) constatou que quatro em cada cinco incidentes de segurança no setor manufatureiro envolviam ataques de negação de serviço (DoS), espionagem cibernética e crimes membros foram potencialmente afetados por uma violação de dados. A Zomato informou que dados de 17 milhões de usuários foram roubados, incluindo endereços de e- mail e senhas em hash. The Home Depot Verizon Centene Corp Zomato Os Panama Papers são um conjunto de 11,5 milhões de documentos confidenciais vazados detalhando informações sobre mais de empresas offshore Panama Papers 2 milhões de dados de clientes roubados, o preço das acções caiu 0,8%; Mais de contas de clientes vazaram Vodafone 0,5 milhão de informações pessoais de clientes perdidas JP Morgan Chase Manufatura Varejo Health Care Law Firm Telecom Financeira Tecnologia 5

6 Infrações de dados FONTE: 6

7 Infrações de dados FONTE: 7

8 A jornada de GDPR Preocupação Obtenha o máximo de segurança possível Lições difíceis Não há segurança absoluta Início Negar Não acontecerá comigo Falsa confiança Estamos prontos...! Verdadeira liderança Estamos juntos nessa 8

9 Alguns mitos que temos ouvido Nós não somos uma Organização na União Européia Somos certificados ISO DPO é meramente uma formalidade Visão somente dos acessos Este é um problema dos processadores Nossos dados estão na nuvem Somos uma organizaçao pequena Privacidade é como Segurança da Informação 9

10 O que é a GDPR? General Data Protection Regulation Objetivo: proteger os dados pessoais a um nível unificado em toda a UE Meios: como regulamento, é diretamente aplicável em todos os estados membros Escopo: todas as entidades públicas e corporativas que lidam com dados pessoais de clientes e funcionários Prazo: 25 de maio de 2018 Foco: proteção de indivíduos, abordagem baseada em risco, privacidade por design 10

11 O que é a GDPR? GDPR data subject, personal data e identificadores Que tipos de dados de privacidade o GDPR protege? Data Subject Pessoa identificada ou identificável Identifiable Pode ser identificada, diretamente ou indiretamente por referência a um identificador Personal Data Qualquer informação relativa a um Data Subject Identificadores Fatores físicos Fatores fisiológicos Fatores genéticos Fatores Mentais Fatores Econômicos Nomes Números de identificação Localização do dado Identificador online Fatores Culturais Fator de identificação social Informações básicas de identidade, como nome, endereço e números de ID Dados da Web, como localização, endereço IP, dados de cookies Etiquetas RFID Saúde e dados genéticos Dados biométricos Dados raciais ou étnicos Opiniões políticas Orientação sexual 11

12 O quanto ela nos influencia? As organizações e os seus subcontratados terão de aderir ao GDPR, caso tenham a intenção de oferecer os seus serviços a indivíduos que residam na UE ou monitorar o seu comportamento. Exemplos: Oferecendo serviços: Uma organização que possui um site, acessível a indivíduos da UE, oferecendo a eles a opção de se inscrever em seus serviços. O fato de os cidadãos da UE terem de pagar por este serviço é irrelevante. Comportamento de monitoramento: onde uma organização rastreia indivíduos na Europa usando cookies ou registrando endereços IP, o GDPR será aplicável. A coleta acidental de endereços IP da UE pode não ser interpretada como o gatilho para a conformidade com o GDPR. 12

13 Aplicação da GDPR Aplicação indireta do GDPR através de obrigações contratuais À luz da relação de controlador de dados - processador de dados, as empresas podem ser obrigadas a aderir aos requisitos de GDPR por seus fornecedores ou parceiros contratantes. É aqui que essas outras organizações (e, por extensão, seus processadores de dados ou cocontroladores de dados) se enquadram no escopo do regulamento. O GDPR impõe responsabilidade igual nos controladores de dados (a organização que possui os dados) e nos processadores de dados (fora das organizações que ajudam a gerenciar esses dados). Um processador terceiros que não esteja em conformidade significa que sua organização não está em conformidade. O novo regulamento também tem regras rígidas para relatar violações, que todos na cadeia devem ser capazes de cumprir. As organizações também devem informar os clientes sobre seus direitos sob a GDPR. O que isso significa é que todos os contratos existentes com processadores (por exemplo, provedores de nuvem, fornecedores de SaaS ou fornecedores de serviços de folha de pagamento) e clientes precisam especificar responsabilidades. Os contratos revisados também precisam definir processos consistentes de como os dados são gerenciados e protegidos e como as violações são relatadas. 13

14 Impactos da GDPR Reclamações e reclamações de indivíduos No caso de uma empresa não cumprir a GDPR e, consequentemente, violar os direitos dos indivíduos, esses indivíduos têm duas opções: uma é apresentar uma queixa contra a organização na Autoridade de Supervisão. A Autoridade Supervisora pode investigar a denúncia e usar seus poderes para impor a conformidade e / ou sancionar a organização. A outra opção é reivindicar danos em frente a um tribunal europeu. O GDPR também abre as portas para possíveis ações de classe. Muitos esperam que esse mecanismo seja usado quando as violações de segurança de dados afetam um grande número de indivíduos ou quando uma organização desconsidera os novos direitos dos indivíduos. Danos à reputação A aplicação por autoridades de supervisão ou tribunais pode não ser a única razão convincente para que as organizações cumpram o GDPR. O dano potencial à reputação decorrente da recusa em cumprir os requisitos do GDPR é igualmente intimidante. 14

15 O que está acontecendo? O Gartner prevê que, em 2018, mais de 50% das empresas em todo o mundo não estarão em total conformidade com seus requisitos. Se você estiver dentro dos 50% e não estiver em conformidade total, as consequências serão graves: por exemplo, ações judiciais de titulares de dados (cidadãos da UE), danos à marca de sua organização, perda de receita futura, perda de clientes, multas de até 4% do faturamento global ou 20 milhões - o que for maior entre os dois 15

16 Quais são os requisitos gerais do GDPR? Os 99 artigos do GDPR podem ser resumidos nos nove requisitos a seguir para organizações e seus subcontratados: Base legal e legalidade do processamento Gestão de dados Obrigações contratuais Avaliação e mitigação de riscos Notificação de violação de dados Registros de atividades de processamento Oficial de proteção de dados (DPO) Direitos dos titulares de dados Transferência de dados 16

17 Quais são os requisitos gerais do GDPR? Artigo 25 Artigo 32 (2) Proteção de dados por design e por padrão Segurança do processamento PROTEGER O ACESSO a dados pessoais sensíveis Artigo 33 Notificação de violação de dados pessoais Detecte e RESPONDA RAPIDAMENTE a violações no início do ciclo de vida do ataque Artigo 35 Avaliação do impacto da proteção de dados AVALIAR O RISCO e testar a eficácia dos processos de proteção de dados Artigo 82 Proteção contra o não cumprimento DEMONSTRAR CONFORMIDADE e provar que você tem os controles de segurança necessários em vigor 17

18 Os problemas... Direcionando o gerenciamento de mudanças para toda a empresa Demonstrando Conformidade com os Requisitos Regulamentares Colaboração entre funções internas Aderindo às obrigações contratuais do cliente. Desenvolvendo Controles Técnicos e Organizacionais Efetivos Mapas de inventário e fluxo de dados específicos do processo de negócios Interpretar as cláusulas regulamentares e desenvolver um Framework Recrutamento e Upskilling de recursos 18

19 E agora o que fazer? 19

20 As soluções... Direcionando o gerenciamento de mudanças para toda a empresa Campanhas de privacidade e campanhas de conscientização. Capturando a atenção dos entusiastas, retardatários e incumbentes da organização Demonstrando Conformidade com os Requisitos Regulamentares Auditorias externas e internas periódicas Demonstrar conformidade Benchmarking contra a indústria Aderindo às obrigações contratuais do cliente Identificando requisitos regulatórios Estabelecimento de mecanismos de certificação de proteção de dados Canais de Comunicação Eficazes Mapas de inventário e fluxo de dados específicos do processo de negócios Conhecendo suas PII Inventário os dados. Executar mapas de Minimização de Dados, Mapeamento de Dados e Fluxo de Dados.. Interpretar as cláusulas regulamentares e desenvolver um Framework Requisitos regulamentares. Equipe funcional cruzada Estrutura baseada em controle. Colaboração entre funções internas Responsabilidade e prestação de contas Desenvolvendo Controles Técnicos e Organizacionais Efetivos Investindo em tecnologia e implementando soluções Recrutamento e Upskilling de recursos Recursos de Treinamento Contratação de recursos experientes com histórico relevante Novas oportunidades de emprego 20

21 Recomendações chave Implementação no nível de segurança e operações de TI Certifique-se de que as operações de TI e a segurança de TI suportem seu programa de privacidade Desenvolva seus sistemas de processamento: criptografia, pseudonimização, inventário eficiente, prevenção contra perda de dados e retenção de dados, atualize seus controles de acesso As especificações devem vir do seu modelo de governança e não vice-versa, aplicar a privacidade por design Melhorar as habilidades de investigação: você terá que detectar violações para ser protegido de multas e pedidos de compensação Implementação no nível de governança de privacidade Criar regras para classificação e inventário de dados privados Alinhe os existentes e crie procedimentos faltantes para o manuseio de dados pessoais, atualize políticas e contratos, lembre-se de terceiros Certifique-se de que as relações com a autoridade sejam tratadas eficientemente Treine seus funcionários Crie planos e exercícios para gerenciamento de incidentes Estratégia Com base nos resultados da avaliação de maturidade, defina metas de conformidade e eficiência de privacidade Análise os gaps Alterar a estrutura organizacional para garantir supervisão e coordenação Crie um programa de privacidade abrangente para todas as unidades de negócios em todos os locais Monitore resultados Avaliação de maturidade de privacidade Familiarize-se com todos os processos em que os dados pessoais são tratados, lute contra o Processamento de Dados Privados obscuros Mapear todos os dados pessoais enviados, manipulados e encaminhados pela sua organização e verificar a base legal para lidar com eles Verifique se você tem todos os procedimentos e políticas em vigor exigidos pelo GDPR Avaliar os controles de segurança cibernética e privacidade 21

22 Para saber mais: GDPR Booklet GDPR: privacy as a way of life The General Data Protection Regulation Creepy or cool? Cooperative ( KPMG International ), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. O nome KPMG e o logotipo são marcas registradas ou comerciais da KPMG International.

24 Obrigado LEANDRO MARCO ANTONIO SÓCIO LÍDER CYBER SECURITY & PRIVACY T: / E: lantonio@kpmg.com.br Cooperative ( KPMG International ), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. O nome KPMG e o logotipo são marcas registradas ou comerciais da KPMG International.