Proteção de Dados Pessoais

Documentos relacionados

Lei Geral de Proteção de Dados Pessoais

Conhecendo a GDPR e a LGPD sob o olhar de Segurança da Informação

anos Impactos da legislação europeia sobre proteção de dados no Brasil

Data Protection 360º Regulamento Geral de Proteção de Dados

REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS ABRIL 2017

Definição. Sistema de Gestão Ambiental (SGA):

Lei Geral de Proteção de Dados O que você precisa saber

IMPACTO LGPD NO MERCADO DE TELCO. COMPLIANCE Piero Formica

REGULAMENTO DA AUDITORIA INTERNA CORPORATIVA

Data Protection Officer. Sobre o curso. Objetivos: Proteção de Dados. Com certificação. Nível: Duração: 94,5h

POLÍTICA SEGURANÇA CIBERNÉTICA COMPUTAÇÃO EM NUVEM

Academia Data Protection Officer

POLÍTICA DE GESTÃO DE RISCOS CONTAX PARTICIPAÇÕES S.A CAPÍTULO I OBJETIVO E ABRANGÊNCIA

Edição ou última data de revisão:

NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS (RGPD)

GDPR - GENERAL DATA PROTECTION REGULATION - CONSIDERAÇÕES INICIAIS

Gestão da Tecnologia da Informação

Política de Gerenciamento de Risco de Liquidez Maio 2018

A Nova Lei Geral de Proteção de Dados Brasileira

Copyright Proibida Reprodução. Prof. Éder Clementino dos Santos

A regulamentação LGPD. e as implicações práticas nas empresas brasileiras

Questões sobre a IS014001

CHECKLIST LGPD. Como se preparar para a nova regulamentação sobre Proteção de Dados Brasileira Lei /18

Data de Publicação 23/02/2017. Prazo de Validade 23/02/2018. Política de Controles Internos e Risco Operacional

Certificação ISO

Recomendação de políticas Equilíbrio entre direitos humanos e segurança pública

Política de Controles Internos

Ações de compliance não devem ser deixadas para o último minuto, mas tratadas com a mesma seriedade que qualquer outra grande decisão estratégica

O Regulamento Europeu de Proteção de Dados: os novos desafios do tratamento de dados para as empresas - Isabel Ornelas

Norma 2110 Governança

Regulamento Geral de Proteção de Dados (UE) GDPR. Lei Geral de Proteção de Dados Pessoais (BR) LGPD

POLÍTICA DE GERENCIAMENTO

Segurança e Auditoria de Sistemas

Dados pessoais como insumo. Sociedade orientada por dados (Data-Driven-Society)

POLÍTICA DE GERENCIAMENTO DO RISCO DE LIQUIDEZ Junho de 2013

Marketing Promocional Ao abrigo do novo acordo ortográfico.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA

Obrigações de controlo de fornecedor externo. Processo de pagamentos

DECLARAÇÃO DE PROTEÇÃO DE DADOS DE FUNCIONÁRIOS

Interpretação da norma NBR ISO/IEC 27001:2006

Cibersegurança - aspetos económicos - Um desafio ou uma oportunidade?

POLÍTICA CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO

Política de Controles Internos BM&FBOVESPA. Página 1

Política Controles Internos

Auditoria Contínua Uma visão do IIA Global. Oswaldo Basile, CIA, CCSA, QAR. CEO Trusty Consultores Presidente IIA Brasil

Maio de 2018: estou em compliance com o novo Regulamento Geral de Proteção de Dados?

POLÍTICA DE CONTROLES INTERNOS

Soluções Completas de Consultoria no novo Regulamento Geral de Proteção de Dados Regulamento (EU) 2016/679

CONSELHOS ÚTEIS PARA O RGPD*

Os primeiros passos para o RGPD. Regulamento Geral de Proteção de Dados

PROGRAMA DE COMPLIANCE

POLÍTICA DE COMPLIANCE E CONTROLES INTERNOS

Política Responsabilidade Socioambiental (PRSA)

Sancionada a Lei Geral de Proteção de Dados Brasileira

6 pontos de atenção. Lei de Proteção de Dados. na hora de se adequar à. segundo o PK Advogados. Conteúdo. Conteúdo. patrocinado

BM&FBOVESPA. Política de Controles Internos. Diretoria de Controles Internos, Compliance e Risco Corporativo. Última Revisão: março de 2013.

Os processos de segurança da informação devem assegurar a integridade, a disponibilidade e a confidencialidade dos ativos de informação da Apex.

Elaboração: Everaldo Mota Engenheiro Mecânico/Pós-Graduação em Engenharia de Segurança do Trabalho e Gestão Ambiental.

Auditoria. Controle de Qualidade. Professor Marcelo Spilki.

A Nova Lei Geral de Proteção de Dados brasileira

Política de Risco Operacional BM&FBOVESPA. Página 1

Sistemas da Qualidade

Regulamentação europeia de proteção de dados Notícias do IAB Brasil sobre a Regulamentação Geral de Proteção de Dados (GDPR) e eprivacy.

DOCUMENTO DE USO INTERNO 1

SÉRIE ISO SÉRIE ISO SÉRIE ISO GESTÃO AMBIENTAL E DA QUALIDADE GESTÃO AMBIENTAL E DA QUALIDADE SISTEMAS DE GESTÃO AMBIENTAL

Política de Privacidade

Solvência II e as funções Atuariais. Por Cesar Luiz Danieli (*)

GERENCIAMENTO INTEGRADO DE RISCOS CORPORATIVOS, CONTROLES INTERNOS E COMPLIANCE. Histórico de Revisões. Elaboração do Documento.

Curso de Engenharia Industrial Madeireira UFPR Prof. Umberto Klock

Política de Privacidade e de Proteção de Dados

Política de Segurança da Informação

Gestão da Tecnologia da Informação

Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos PROJETO DE PARECER. dirigido à Comissão da Indústria, da Investigação e da Energia

Especificar os requisitos de um Sistema de Gestão Ambiental, permitindo à organização desenvolver e implementar :

O Regulamento Geral de Proteção de Dados e a PSD2: existem conflitos entre os 2 regulamentos? Maria de Lurdes Gonçalves Associada Sénior

Conectando Tecnologias

POLÍTICA PCT 007 GERENCIAMENTO DE RISCOS E CONTROLES INTERNOS

RECURSOS HUMANOS. 18 de janeiro de Margarida Costa Gomes

Recomendação de políticas Acesso governamental aos dados

Controle de Qualidade da Auditoria de Demonstrações. Contábeis

abril 2018 veja como a BMS o pode ajudar.

40º. CONAC & 32º. CONAEC. Compliance como diferencial competitivo. Abril de 2018

VISÃO MACRO DE APLICABILIDADE DO RGPD UE 2016/679 DE 27 DE ABRIL DE 2016

Rabobank Segurança Cibernética

STANDARD CHARTERED BANK ANGOLA, S.A. (O SCBA ) REGULAMENTO DA COMISSÃO DE RISCO E DE CONTROLO INTERNO ( BRC )

POLÍTICA DE COMPLIANCE, CONTROLES INTERNOS E CUMPRIMENTO DA INSTRUÇÃO CVM 558/15

LGPD e GDPR: Por que dar atenção aos dados pessoais?

Guia de Preparação para o Novo Regulamento Geral Europeu para a Protecção de Dados

AULA 02 Qualidade em TI

ISO 14001:2015 Quão diferente será sua auditoria. Whitepaper

POLÍTICA DE GESTÃO DE RISCOS - ELETROPAULO

Avenida Presidente Wilson, andar Rio de Janeiro- RJ RELATÓRIO DA ESTRUTURA DE GERENCIAMENTO DE CAPITAL

Versão integral do inquérito em PDF. Para obter a sua avaliação e recomendações basta preencher o inquérito online!

Política de privacidade

OHSAS 18001:2007 SAÚDE E SEGURANÇA OCUPACIONAL

Tudo o que você deve saber sobre a lei europeia de privacidade de dados

Política de Supervisão e Controles Internos. Turim 21 Investimentos Ltda.

Transcrição:

Risco Regulamento Proteção de Dados Pessoais Segurança da Informação Preparando seu negócio para o GDPR

Índice O que é GDPR e como isso afeta o seu negócio? Seção O que é GDPR e como isso afeta o seu negócio? Compreenda as principais mudanças Página 01 02 A regulamentação de proteção de dados europeia (GDPR) entrou em vigor no dia 25 de maio de 2018. Como podemos ajudar a preparar seu negócio para o GDPR? 04 Implementado para a União Europeia, o GDPR rege todos os negócios em operação e insere uma proteção de dados mais consistente aos países membros. Adicionalmente, empresas que realizam negócios com empresas europeias também são sujeitas a atender ao GDPR, além de conhecer as mudanças e estar em compliance com a norma. Multas pelo não cumprimento da legislação podem chegar a 20 milhões ou 4% da receita global anual. Por que a legislação de proteção de dados foi renovada? Desde 1995, a Diretiva de Proteção de Dados Europeia (Directive 95/46/EC) determina a maneira como os dados pessoais dos indivíduos europeus estão protegidos na União Europeia. Porém, houve diversos desdobramentos no que tange a sofisticação e escala de criação e coleta de dados como nas mídias sociais, computação na nuvem e serviços de geolocalização, por exemplo. Como a Diretiva é anterior a esses desdobramentos, a norma supracitada não era mais suficiente diante do panorama de proteção de dados que vivemos atualmente. Sendo assim, a Diretiva precisava ser atualizada para endereçar as preocupações relacionadas à privacidade moderna e facilitar esta consistência de transmissão de dados pela União Europeia. É isso que o GDPR propõe. Nesse contexto, a União Europeia preparou sua agenda para desenvolver formas de proteger seus cidadãos e suas informações privadas. O GDPR define novos direitos aos indivíduos e fortalece as proteções já existentes, aplicando medidas mais rígidas para adequar os negócios para o uso dos dados pessoais. Se houver alguma falha no cumprimento das normas, as sanções serão bastante severas. O que isso significa para o seu negócio? O GDPR é uma oportunidade valiosa para entender os dados que estão sob seu negócio e usá-los de forma mais efetiva. Contudo, isso pede uma aderência rígida à legislação e um entendimento claro das mudanças a fim de evitar punições severas. Primeiramente, é importante estar atento que o GDPR substitui todas as legislações já existentes sobre proteção de dados, e isso aumenta as obrigações às empresas sobre a proteção de dados e probabilidade de falha na prestação de contas. Isso também se aplica a uma gama completa de engajamento de dados desde a coleta de dados pessoais até seu uso e descarte. Sua companhia precisa inserir políticas e procedimentos para assegurar que seu monitoramento de GDPR (controles e documentos) estão em compliance. As novas regras se aplicam às empresas de todos os portes que tratam dados pessoais. Qualquer que seja a natureza do seu negócio, o GDPR causa um impacto substancial. Com a implementação desde o dia 25 de maio de 2018, a sua empresa deve cumprir o que a norma exige. Todas as empresas, seja europeia ou que faça negócios com companhias europeias, devem estar em compliance com o GDPR. Proteção de Dados Pessoais 1

Compreenda as principais mudanças O GDPR introduz mudanças abrangentes que requer entendimentos rigorosos, aceitação dos investidores, preparação apropriada e implementação em toda a companhia. Para promover uma visão geral, relacionamos abaixo as principais mudanças: Aperfeiçoamento de direitos para proteção de dados A maior mudança com o GDPR é voltada para o indivíduo dono do dado pessoal, que vai se beneficiar com os direitos aprimorados, como o de contestar determinado tipo de caracterização de dados e automatização para tomada de decisões, por exemplo. O pedido de consentimento também está mais rigoroso: deve estar explícito e assertivo, além de ser dado para casos específicos e fáceis de serem rejeitados. Os indivíduos também podem pedir que seus dados pessoais sejam excluídos ou removidos se não tiver uma razão específica para continuar sendo processado. Aumento de prestação de contas As empresas têm mais obrigações e responsabilidades. Elas devem publicar de forma detalhada e justa os avisos de processamento informando aos indivíduos sobre os direitos de proteção de dados que eles possuem, adicionalmente, explicando como, por que e por quanto tempo seus dados serão utilizados. O novo regulamento abrange, ainda, o conceito de privacidade customizável, significando que as organizações devem customizar a proteção de dados em novos negócios de processamento e sistemas. Processos formais de gerenciamento de riscos Empresas devem identificar formalmente os riscos em ascensão relacionados à privacidade, particularmente os que estiverem associados à novos projetos, ou onde houver atividades de processamento de dados sensíveis. Elas também devem manter os registros das atividades de processamento criando inventários/relatórios internos. Para a atividade de processamento de dados de alto risco, a Avaliação de Impacto de Proteção de Dados (AIPA ou DPIAs Data Protection Impact Assessments) será obrigatória. Também será obrigatório indicar um responsável pela proteção de dados, isto é, um Data Protection Officer (DPO). Relatório de violação de dados Buscando maior responsabilidade, os relatórios de violação de dados estão se tornando mais rigorosos. Em caso de uma violação de dados significativa, deverá ser comunicada aos reguladores (europeus) em até 72 horas e, em alguns casos, ao indivíduo afetado sem atrasos indevidos. Sanções significativas As multas pelo nã o cumprimento do GDPR aumentarã o consideravelmente até 10 milhões de euros ou 2% da receita global anual (o que for maior) para infrações menores ou técnicas, e 20 milhões de euros ou 4% da receita global anual da empresa, por falhas operacionais mais graves. Requisitos de processamento de dados O regulamento do GDPR impõe novas regras para os responsáveis pelo processamento dos dados, o que inclui elementos que devem ser abordados contratualmente entre quem processa os dados e quem controla os dados. Características fundamentais do GDPR Aperfeiçoamento de direitos para proteção de dados o direito de contestar determinados tipos de uso e automatização de tomada de decisões e pedidos para a exclusão de dados pessoais quando desnecessários. Aprimoramento de obrigações para empresas por exemplo, a publicação detalhada no aviso de processamento a fim de informar os indivíduos sobre seus direitos de proteção de dados e como suas informações pessoais são usadas e por quanto tempo. Pedido de consentimento rigoroso ao indivíduo o consentimento deve ser explícito, informando o objetivo específico e de fácil retirada da base de dados. Reporte rígido de violação de dados as violações significativas de dados devem ser reportadas aos reguladores (europeus) em até 72 horas e, dependendo do caso, ao indivíduo também. Avaliação de impacto de privacidade rígida as empresas devem identificar e formalizar os riscos de privacidade, particularmente, para novos projetos. Privacidade customizável empresas devem customizar a proteção de dados em procedimentos e sistemas de negócios novos e existentes. Aumento da proteção de registros de dados empresas devem manter os registros das atividades de processamento quando executadas, com a Avaliação de Impacto de Proteção de Dados para o alto risco de processamento de dados. Sanções significativas o tamanho potencial das multas para o não cumprimento são consideráveis, alcançando até 20 milhões de euros ou 4% da receita global anual da empresa, qual for maior. Nomear um DPO nomear um Data Protection Officer é mandatório para diversas empresas. Escopo regulamentar amplo o GDPR aplica-se tanto para o controlador quanto para o responsável pelo processamento do dado. 2 Proteção de Dados Pessoais Proteção de Dados Pessoais 3

Como podemos ajudar a preparar seu negócio para o GDPR? O panorama jurídico para proteção de dados está em constante evolução e apresenta desafios para os negócios, governos e autoridades públicas. Se a sua empresa lida com consumidores, opera online, atua no setor financeiro ou na posse de dados sensíveis, ela pode ser atingida. Já que estamos sob a vigência do GDPR, as empresas devem examinar e fiscalizar as mudanças regulatórias e entender como elas afetam as operações dentro de seus negócios. Tenha em mente que o impacto do GDPR não está restrito a uma área específica isso exige que amplie seus negócios a fim de adotar uma aproximação orientada para a execução destes processos. É provável que sua empresa precise alterar suas práticas de negócio para o cumprimento do GDPR e a implementação de novos controles. Então, como iniciar? Criamos um fluxograma simples para lhe ajudar a atingir o cumprimento da norma: GDPR "Check list" de proteção de dados Análise e resultados da auditoria Roteiro de implementação Implementação Medição de efetividade da proteção de dados Melhoria contínua Entenda os principais pontos que esta legislação impõe. Avalie a arquitetura de dados da sua empresa, procedimentos e riscos de controle e de compliance. Identifique os riscos de proteção de dados na sua empresa; Rever quão preparado seu negócio está para o GDPR. Desenvolva um roteiro de implementação que englobe a arquitetura adequada de compliance e regulatória; Garanta que o plano é realista e alcançável para sua empresa. Defina um consultor de confiança para: Identificar e documentar as atividades de processamento de dados; Executar as avaliações de impacto de proteção de dados; Desenvolver um plano de ação para os casos de violação de dados; Implementar os procedimentos de dados em andamento. Escrever uma política de proteção de dados e definir um padrão que garanta que seu negócio está em conformidade com o GDPR; Oportunamente, determine o Data Protection Officer e um sistema de gerenciamento de proteção de dados para os controles em andamento. Realize uma análise de FIT/GAP para GDPR ou ISO 27001 FIT/GAP essa é uma avaliação de aderência do seu ambiente para o GDPR. Mantenha regularmente auditorias de GDPR e Avaliação de Impacto de Dados Pessoais; Garanta que o gerenciamento de risco de dados está integrado à estrutura de gerenciamento de riscos geral; Revise regularmente os dados da sua empresa tempestivamente. 4 Proteção de Dados Pessoais Proteção de Dados Pessoais 5

Contate-nos Fabiano Castello Sócio-líder de Advisory E fabiano.castello@br.gt.com Adriana Moura Sócia de Advisory E adriana.moura@br.gt.com Vitor Pedrozo Diretor de Advisory FIDS E vitor.pedrozo@br.gt.com grantthorntonbrasil@br.gt.com /company/grant-thornton-brasil /GrantThorntonBrasil grantthornton.com.br 2018 Grant Thornton Brasil - Todos os direitos reservados. Grant Thornton refere-se à marca sob a qual as empresas membro da Grant Thornton fornecem serviços de auditoria, tributos e consultoria aos seus clientes. Grant Thornton Brasil é uma empresa membro da Grant Thornton International Ltd (GTIL). GTIL e as firmas- membro não são uma parceria mundial. GTIL e cada empresa membro é uma entidade jurídica independente e os trabalhos são entregues pelas firmas membro. A GTIL não fornece serviços aos clientes diretamente. GTIL e suas empresas membros não são agentes, não se obrigam umas às outras e não são responsáveis por atos ou omissões realizadas por outras firmas-membro.

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback