proteÇÃo de dados nas empresas - nerbe.pt€¦ · conhece as penalidades no caso de incumprimento...

PROTEÇÃO DE DADOS NAS EMPRESASNovo Regulamento l Obrigações e boas práticas

Beja, 11 de janeiro de 2018

Filipe Pereira | LCG Consulting

Novo Regulamento l Obrigações e Boas Práticas

[email protected]



Conferências

Estudo PMEs

Seminários

Sessões de formação

PROGRAMA

1. Inquérito às PMEs para Aferição do Estado de Preparação2. Tratamento e Proteção de Dados3. O novo Regulamento Geral de Proteção de Dados 4. Realidade Empresarial5. Segurança e Privacidade de Dados e de Informação6. Boas práticas

7. Portugal2020 | Instrumentos de Apoio

4


Caracterização do estado atual das empresas e dos seus profissionais ao nível deconhecimento sobre o RGPD e preparação para implementar as suasdirectrizes.

➢Realização do inquérito: Março de 2017;

➢ Inquérito com 21 questões, enviado para cerca de 20.000 entidades;

➢Aproximadamente 1800 respostas de profissionais, representando mais de1600 empresas


A sua empresa tem conhecimento sobre o novo Regulamento Geral de Proteção de Dados aprovado pelo Parlamento Europeu em maio de 2016?

➢Apenas 4,8% das empresas conhecem detalhadamente o RGPD e as principais obrigações;

➢38% não conhece o regulamento ou não sabe se a sua empresa conhece;

➢48% diz conhecer o RGPD mas desconhecer os detalhes;

➢Das empresas com mais de 250 colaboradores, 30% afirmam conhecer bem o regulamento.


Conhece as penalidades no caso de incumprimento do RGPD?

Considera que a sua organização sofreria uma penalização financeira se o RGPD fosse hoje aplicado?

42% afirmamdesconhecerpor completo

35% afirmamdesconheceros detalhes

77%

afirmam não saber se seriam penalizadas financeiramente

têm consciência de que não cumprem e sofreriam penalizações

aparentam estar convictas de que não seriam penalizadas

47%

2%

19%


➢Apenas 3% afirmam ter este plano;

➢Há ainda cerca de 14% que afirmam ter apenas ações pontuais em áreas específicas.

A sua organização tem um plano a decorrer para garantir conformidade com o RGPD em Maio 2018?

➢Apenas 6% das empresas afirmam que não estarão preparadas para o RGPD;

➢Mais de 22% afirmam que vão estar totalmente preparadas. No entanto, mais de 1/5 destas afirma não ter qualquer plano em curso para garantir esta conformidade.

A sua organização vai estar totalmente preparada para o RGPD em Maio de 2018?


Quais os motivos mais relevantes para o programa de privacidade de dados da organização?

➢A Salvaguarda de dados contra ameaças e ataques externos (43%);

➢ “Decisão ética quanto ao tratamento de dados pessoais” (34%);

➢ “A minha empresa não tem programa de privacidade de dados” (28%);

➢ “Manter ou aumentar o valor da informação” foi o factor menos selecionado (15%).

➢ A organização não tem programa de privacidade de dados (31,9%);

➢ Salvaguarda de dados contra ameaças e ataques externos (31,1%);

➢ Informação e formação aos colaboradores sobre o RGPD e impacto (30,8%).

Quais as áreas que considera necessitarem de maior intervenção?


Principais observações

➢O nível de desconhecimento sobre o RGPD, sobre as suas principais directrizes e as suas implicações é significativo.

➢Este fenómeno é mais acentuado nas empresas mais pequenas, sendo que nas grandes existe uma maior consciência, preparação e proactividade para tomar as acções necessárias ao compliance.

➢Há uma necessidade premente de consciencialização e formação das empresas.


11

Tratamento e Proteção de Dados:

As obrigações das organizações no âmbito do novo

Regulamento Geral de Proteção de Dados (RGPD)


12

Reforço dos direitos dos cidadãos como titulares dos dados;

Novas obrigações para empresas;

Extensão do âmbito de aplicação;

Orientações, regulação e aplicação efetiva de coimas;

Principais alterações


13


Enquadramento | O Impacto da Privacidade de dados

2016State Fishing And Hunting License Sites USA

Foi identificado acesso a informação a mais de 6 milhões de pessoas

2013 e 2014Yahoo estava no processo de compra pela Verizon e foram roubados mais de 500 Milhões de dados de utilizadores de contas com prejuízo estimado em 1 Bilião de USD na venda da empresa

2016Departamento de Justiça U.S.

Os hackers divulgaram dados sobre 10.000 funcionários do Departamento de Segurança Interna num dia e, no dia seguinte, divulgaram dados sobre 20.000 funcionários do FBI. As informações roubadas incluíam nomes, títulos, números de telefone e endereços de e-mail

2016Apple Outubro 2016 Empregados da Apple despedidos por partilharem fotos de telemóveis de clientes

2015Anthem e Premera

Duas principais seguradoras de saúde,, foram “hackeadas”, provavelmente pelo mesmo ator, resultando no maior roubo de registos médicos até a data

2016Hewlett PackardEnterprise Services

Roubaram informações de nomes e números de Segurança Social de mais de 134.000 funcionários atuais e ex-funcionários da Marinha

2017• Disney 15 de Maio

Ataque informático roubou filme da Disney Pirata das caraíbas. Hackers pediram resgate!

• Wanna Cry/Petya

Ataques Globais com impactos ainda não estimados

• Eventos RGPD

2018

14

Target foi alvo de uma acção colectiva por comprometimento de dados de clientes e pagou 10 milhões de USD para resolver o caso fora dos tribunais.

Empresas parceiras lesadas avançaram com litígio e a TARGET procedeu a novo acordo, por 20 milhões de USD.

Neiman Marcus teve que pagar 1.6 milhões de USD como parte de um acordo por fuga de informação referente a cartões de crédito de 350 mil clientes.


15

Dados “associados com pelo menos 500 milhões de contas " foram roubados.

Verizon renegociou o preço de aquisição que estava em 4.8 mil milhões USD.

Analistas apontaram como possível a redução do valor em 200 milhões de USD. Três anos depois, a redução foi de quase mil milhões USD.


16


17

Apple: ”...We are investigating aviolation of Apple’s businessconduct policy at our store inCarindale, where severalemployees have already beenterminated as a result of ourfindings."


18


• Cidadão encontrou os dados numa pesquisa em motor de busca e considerou-os de potencial risco;

• Autarquia multada em 70.000 £ pelo ICO pela disponibilização de informaçãopessoal sem controlo;

19


20


"Spain’s AEPD said an investigation into how Facebook collects, stores and uses data for advertising purposes found it is doing so without obtaining adequate user consent."

Facebook multado em 1.2 M€ por três irregularidades (20/09/2017)

21


http://breachlevelindex.com/

http://breachlevelindex.com/

22

http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/


- Publicados acidentalmente

- Erros de configuração

- Hacking

- Inside job

- Leak

- Dispositivo perdido/roubado

- Fraca segurança

Nº de registos de dados violados

desde 2004:

5.300.000.000

http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

23

Dados pessoaisQuaisquer informações relativas a uma pessoa individual identificada ou identificável através das mesmas (designadamente, «por referência a um

número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social»).

A recolha e tratamento é apenas admissível em caso de consentimento ou seguintes finalidades:

— execução de contratos (ex. comunicar valor do rendimento anual a um banco para obtenção de empréstimo);

— cumprimento de obrigação legal (ex. fornecer dados a autoridades no contexto de um processo penal);

— proteção de interesses vitais do titular, se estiver física ou legalmente incapaz de dar o seu consentimento;

— execução de uma missão de interesse público ou no exercício de autoridade pública;

— prossecução de interesses legítimos (ex. dados clínicos, para se accionar responsáveis por doença ou morte).


Exemplos: Identitidade / Estado Civil, Vida pessoal, Vida Profissional, Informaçãoeconómica e Financeira, Localização, Dados de Conectividade e Dispositivos;

24

Dados pessoais sensíveisCategorias Especiais de Dados Pessoais

(lista completa de acordo com o RGPD)

Dados Pessoais reveladores de raça ou origem étnica;

Dados Pessoais reveladores de opiniões políticas;

Dados Pessoais reveladores de crenças religiosas ou filosóficas;

Dados Pessoais reveladores de atividade sindical;

Dados Genéticos e Biométricos;

Dados Clínicos;

Dados relativos à vida ou orientação sexual do indivíduo;

Dados Pessoais relativos a registo criminal;


25

Dados pessoais sensíveisOutros Dados Pessoais Sensíveis

Número de Identificação do País (Cartão do Cidadão, Segurança Social,Identificação Fiscal);

Outros números de identificação emitidos pelo Estado como carta de conduçãoou passaporte;

Número de conta bancária;

Número de cartão de crédito/débito e informação referente a créditos;

Data de Nascimento, quando o ano é incluído;

Subsídios ou benefícios sociais ou outra assistência social recebida.


26

Nunca é demais relembrar


O tratamento dos dados pessoais é concebido para servir as pessoas;

Os dados pertencem aos seus titulares;

Sistema atual centrado no prestador de serviço sistema centrado no indivíduo;

Uma realidade na qual as pessoas gerem/controlam a sua própria identidade

online;

Proteção contra tratamento ilícito de dados e técnicas intrusivas de

seguimento/profiling;

Regras para maior transparência e direitos dos cidadãos.

27

Novo Regulamento Geral de Proteção de

Dados (RGPD)


28

Evolução Legislativa

1970

Criada a primeira lei de proteção de dados do mundo, em Hessen,

Alemanha.

1981

Convenção nº 108 do Conselho da Europa, sobre proteção individual e

processamento automatizado de dados pessoais

1991

Entra em vigor a Lei nº 10/91, de 29 de Abril, primeira lei portuguesa de

proteção de dados pessoais.

1995

Criada a Diretiva Europeia de Proteção de Dados como elemento

essencial da Lei Europeia de DireitosHumanos e Privacidade.

2012

A Comissão Europeia propõe extensareforma do regulamento de 1995 para

reforçar privacidade de dados e fomentar a economia digital.

2015

Após 3 anos de negociação, o Parlamento Europeu e o Conselho

da Europa chegam a acordo sobre a versão final do RGPD para votação.

2016

A versão final do Regulamento é formalmente

adotada em Abril de 2016.

Globalização e o progresso tecnológico transformam profundamente a forma como os dados são recolhidos, acedidos e utilizados.

O RGPD substitui a Diretiva Geral de Proteção de Dados de 1995 e tem aplicação direta sobre todos os estados membros.


29

Contexto Nacional

Artigo 35º da Constituição da República Portuguesa – utilização da informática;

Lei 67/98 – Lei da proteção de Dados Pessoais;

Lei 103/2015 – adita o artigo 45º-A - A Inserção de dados falsos - à Lei 67/98;

Lei 2/94 – mecanismos de controlo e fiscalização do Sistema de Informação Schengen;

Lei 68/98 – entidade nacional na Instância Comum de Controlo da EUROPOL;

Lei 36/2003 – regula o estatuto e competências do membro nacional da EUROJUST;

Lei 43/2004 – Lei da organização e funcionamento da CNPD.


30

Contexto Europeu e Transcontinental

Regulamento (UE) 2016/679 do Parlamento e do Conselho revoga a Diretiva 95/46/CE;

Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (relativa ao tratamentode dados pessoais pelas autoridades no âmbito de infrações penais ou execução desanções penais, e à circulação desses dados);

Diretiva (UE) 2016/681 do Parlamento Europeu e do Conselho, (relativa à utilização dosdados dos registos de identificação dos passageiros [PNR] no âmbito do combate àsinfrações terroristas e criminalidade grave);

Criação do Comité Europeu de Proteção de Dados composto por representantes dasautoridades de controlo de cada Estado-Membro;

Alteração dos acordos de transferência de dados (acórdão Schrems): Safe Harbor Privacy Shield Em definição.


31

Âmbito e ObrigaçõesO Quê – Novo Regulamento Europeu de Proteção de Dados (RGPD), publicado a 25 Maio 2016, relativo à proteção das pessoas físicas no que respeita ao tratamento dos dados pessoais e à livre circulação destes;

Porquê – O Novo Regulamento Geral de Proteção de Dados reforça os direitos individuais de proteção de dados, facilita a livre circulação de dados pessoais no mercado único digital e reduz a carga administrativa associada.

Quem – Todas as empresas que tratem de dados pessoais, i.e. que realizem operações com dados de pessoas singulares. As alterações afetam também as empresas que façam negócio com cidadãos da UE, mesmo que sediados fora da união;

Quando – Aplicável a partir de 25 Maio 2018. Após esta data o novo regulamento tem aplicação direta a todas as entidades públicas e privadas que tratem dados pessoais;

Onde – Em todo o território da União Europeia, sem necessidade de ser incorporado pelo ordenamento jurídico de cada estado membro. Empresa estabelecida fora do espaço da UE com prestação de serviços a cidadãos europeus;


32

Uma oportunidade para entregar mais valor para o cliente

• 50% dos consumidores Alemães só partilha dados com empresas em que confiam (1).

• 2/3 dos consumidores globais estão disponíveis para partilhar dados pessoais com as empresas se tiverem como contrapartida um serviço

personalizado (2)

(1) Ponemon Institute(2) Forrester Consulting


33

Uma dimensão estratégica

Confiança dos

clientes

Diferenciação no mercado

Informação sobre os clientes

Personalização dos seus

produtos e serviços

Entrega de valor no

produto ou serviço

A proteção de dados não é apenas uma questão de conformidade

É uma forma de obter vantagens competitivas no mercado


34

• Direito à portabilidade dos dados (entre prestadores de serviços): “O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento” (Artigo 20º, secção 3);

• Direito ao esquecimento: o titular tem o direito a requerer a eliminação de seus dados e rasto electrónico na web. As empresas têm necessariamente que salvaguardar o ciclo de vida dos dados (Classificar / Localizar / Eliminar / Notificar)

• Direito à oposição a profiling, ou seja qualquer forma automatizada de processamento de informação pessoal, com o objetivo de avaliar e tipificar indivíduos com base nos seus dados pessoais

Direitosdos

titularesdos dados

Âmbito e Obrigações


35

• Deveres de accountability;

• Reforço da segurança dos dados na componente técnica dos sistemas;

• Realização de Privacy Impact Assessments;

• Notificação obrigatória de data breaches em 72h;

• Nomeação de DPO, envolvido em todas as “questões relacionadas com a proteção de dados pessoais” (Artigo 32º, secção 3).

Obrigaçõesdas

Empresas



36

Responsáveis pelo tratamento de dados dentro e fora da UE. As alterações afetam também as empresas que façam negócio com cidadãos da UE, mesmo que sediados fora da união;

Em caso de data breach, a responsabilidade recai sobre:• Os processadores perante os controladores;• Os controladores perante a autoridade;• Os controladores perante os titulares.

Controller + Processor(subcontratados)

Extensãodo âmbito

de aplicação



37

• Consentimento claro e expresso;

• Medidas técnicas adequadas – segurança de sistemas;• Medidas organizativas adequadas – políticas e processos internos;

• Privacy by default e Privacy by design;

• Penalizações severas:

Violação dos direitos: 20 000 000 € ou 4% do volume de negócios anual;

Violação das obrigações: 10 000 000 € ou 2% do volume de negócios anual;

Class actions: Representadas por terceiros e indeminização por danos morais e não apenas materiais;

Novasorientações



38


• Medidas técnicas adequadas – segurança de sistemas;

• Medidas organizaivas adequadas – políticas e processos internos;




Violação das obrigações: 10 000 000 € ou 2% do vol. de negócios anual;

Class actions: Direito a indeminização por danos morais e não apenas materiais;


39










40









Novas Orientações – Processamento de Dados

O processamento é lícito apenas se e na medida em que pelo menos uma das seguintescondições se verificar:

• Consentimento: a pessoa em causa tenha dado o seu consentimento para oprocessamento de dados pessoais;

• Contrato: necessário para desempenho de contrato;

• Obrigação legal: necessário para cumprir obrigação legal;

• Interesse público ou no exercício de autoridade pública;

• Interesse vital: necessário para proteger os interesses vitais da pessoa em causa;

• Interesse legítimo: necessário para fins e interesses legítimos do responsável.


41









Novas Orientações - Consentimento

Especificamente dado para o tratamento de dados, com especial cuidado aos menores:

Exigido consentimento prévio do titular de dados, de forma clara e inequívoca;

Tem que ser livre, específico e informado;

A sua recusa não pode ter impacto discriminatório;

É possível revogá-lo (salvo necessidades comerciais ou legais, em contrato);

Exemplo de insuficiência

Consentimento no registo de cliente mas falta de consentimento para Mkt ou CRM;

Forma e circunstâncias de obtenção, com base legal para tratamento de dados pessoais;

O consentimento obtido pelo responsável pelo tratamento respeita as novas exigências;

Obter novo consentimento dos titulares em conformidade com as disposições do RGPD;

Particular atenção no consentimento dos menores ou representantes legais;


42










Consentimento – Do(s) and Don’t(s)

O que é aceitável nos termos do RGPD

• Clicar numa check-box não preenchida;

• Consentimento expresso (declarações afirmativas expressas);

• A assinatura em como dá o seu consentimento.

O que não é aceitável nos termos do RGPD

• Check-boxes pré-preenchidas;

• Consentimento dado através de uma não-ação;

• Consentimentos tácitos.

43


44









Novas Orientações – Privacy by Design e Privacy by Default

• Privacy by default: limitar recolha ao estritamente necessário garantindo a privacidade;

• Privacy by design: parte integrante de todos os projetos, produtos, tecnologia,operações e arquitetura de sistemas;

Avaliar rigorosamente o tipo de tratamento de dados que serão executados;

Analisar a natureza, contexto e potenciais riscos para os titulares dos dados;

Aplicar com eficácia os princípios da proteção de dados desde a conceção e por defeito.

• Algumas das medidas ajustadas:

Pseudonimização;

Minimização dos dados;

Cumprimento dos prazos de conservação da informação;

Acessibilidade dos dados;


45









Principais Alterações na Legislação

Definição de dados pessoais (clarificação e inclusão de dados genéticos e biométricos);

Aplica-se a cidadãos na EU*, mesmo se quem os processa esteja fora da UE;

Eliminação da necessidade de pedido de autorização prévia;

Direitos: Esquecimento, Portabilidade de Dados e Oposição a Profiling;

Transparência das políticas de privacidade e consentimento expresso;

Privacidade desde a concepção e por defeito (privacy by design/privacy by default);

Encarregado de Proteção de Dados (Data Protection Officer);


* O data subject é ainda uma matéria que requer esclarecimento – o texto não é claro.

46









Principais Alterações na Legislação

Alargar o âmbito a entidades terceiras (data controllers e data processors);

Registo de Actividade de Tratamento;

Reforço de políticas e procedimentos de segurança (pseudonimização e cifragem);

Procedimentos em caso de violação de dados (notificar autoridades/titulares em 72h);

Códigos de conduta e certificação;

Balcão Único (One Stop Shop), Cooperação Internacional e Comité Europeu;

Representação do titular dos dados para apresentar reclamação em seu nome;

Regime sancionatório mais rígido;


47

2 semanas 2 semanas2 semanasRevisão das componentes jurídica, processual e tecnológicaA análise do nível de preparação para o novo regulamento implica uma revisão das três componentes.

1. Avaliação da licitude do tratamento de dados;2. Salvaguarda dos direitos dos titulares dos dados;3. Adequação contratual com clientes e subcontratados;4. Garantia de cumprimento de acordo com a legislação.

ComponenteJurídica

1. Identificação, recolha, processamento e armazenamento;2. Manuais de políticas e processos de processamento de dados;3. Estabelecimento de procedimento de notificação;4. Identificação inequívoca de responsabilidades.

ComponenteProcessual

1. Segurança e confidencialidade de dados pessoais;2. Governance de partilha e acesso dos dados;3. Autenticação e rastreio de utilizadores;4. Privacy by Default e Privacy by Design

ComponenteTecnológica


48









Realidade Empresarial


49









Realidade Empresarial - vulnerabilidade


As empresas converteram-se nos principais alvos dos hackers;

É desvalorizado o risco de ser vítima de ataque;

Incapacidade de medir, avaliar e mitigar os riscos de segurança;

Inexistência de uma estratégia de segurança da informação;

Sensibilização e formação quase nula ou inexistente;

Poucos recursos para dedicar à segurança da informação;

Retorno do investimento “não visível”.

50









Contexto Empresarial

Eurobarómetro Especial 359

Attitudes on Data Protection and Electronic Identity in the European Union [Atitudes em relação à

proteção de dados e à identidade eletrónica na União Europeia], junho de 2011


• Operações Globais

• Dados transacionais vs Data Warehouses

• Servidores on-premises vs Cloud

• Captura de dados vs. Processamento de dados

Autoridades e instituições merecem mais confiança do que as empresas:

A maioria entende que estariam mais protegidos se as empresas foremobrigadas a ter um responsável pela proteção de dados (88%);

70% receia utilização de dados para finalidades diferentes da recolha;

Violação de regras deve ser multada (51%), as empresas proibidas de utilizaresses dados (40%) ou obrigadas a compensar as vítimas (39%);

51









Casos Práticos (retirados do Manual Proteus – APAV)


Um funcionário de um banco, com acesso a homebanking de cliente, vendeos dados a criminosos que transferemdinheiro.

Titular pesquisa sobre antivírusna internet e nos resultadosencontra uma página dúbia. Fechou e continuou a suaatividade normal, procedendo a pagamentos online. Mais tardedeparou-se com ausência de dinheiro.

52









Casos Práticos (retirados do Manual Proteus – APAV)


Colaborador recebeu email de spam, emnome do webmail para atualização da password. Colegas de trabalhocomeçaram a receber mensagens de correio eletrónico em que o colaboradorlhes pedia ajuda financeira.

Titular recebe email de spam, em nomedo webmail para atualização da password e introduz os dados dandoacesso a informação. É contactada porcompanhias de crédito para confirmarcandidaturas, sendo declinadas. Quandopediu empréstimo, foi recusado devidoàs candidaturas existentes em seu nome.

53









Impacto específico na gestão de RH


Recrutamento e Selecção | Formação | Processamento de salários | Avaliações de desempenho | Sanções disciplinares | Atestados médicos | Medicina no Trabalho | Teletrabalho | Videovigilância | Controlo de utilização de dispositivos | Controlo de

consumo de substâncias psicoativas | Dados biométricos | Geolocalização de viaturas… entre outras.

Riscos: utilização indevida; perda; divulgação; destruição;

Exemplos:

Falta de controle de acesso físico à documentação (porta aberta);

Falhas na destruição de documentação/dados (paper schreders, discos);

Perda ou extravio de um computador;

Furto de um telemóvel ou ligação a rede não protegida (ex. aeroportos, hotéis);

54









Desafios na gestão de RH

• Implementação de programas de gestão da mudança, com sessões de awareness eformação para colaboradores e parceiros;

• Garantir controlo de acessos à documentação e destruição de documentação e dadosquando não necessários;

• Políticas de utilização de dispositivos (ex. smartphones/tablets/laptops, webmail),salvaguardando a segurança de acesso aos dados corporativos, bem como aprivacidade de dados pessoais;

• Equilíbrio entre privacidade de dados dos trabalhadores e prerrogativa dosempregadores em casos mais delicados (ex. câmaras de vigilância, geolocalização,utilização de internet, email e redes sociais).


55

Impacto noutras unidades e processos (exemplos)

• O processo de “esquecimento” tem que estar tão disponível como o de registo;

• Falta mapeamento do fluxo de informação e análise do impacto na privacidade;

• Documentação incompleta sobre recolha/manutenção processual de metadata;

• Consentimento para recolha de dados no registo enquanto cliente mas ausência deconsentimento para efeitos de Marketing, CRM ou de cedência a terceiros;

• Omissão dos responsáveis pelo processamento de dados em todas as suas etapas;

• Faltam mecanismos de notificação/comunicação, em 72h, para fugas de informação;


56









Impacto noutras unidades e processos (exemplos)

• Vulnerabilidade do sistema a ataques externos nos terminais móveis (telemóvel/laptop);

• Falta de atualização de software e utilização de software não suportado (End of Life, Endof Support) instalado pelo colaborador;

• Falta de granularização de acessos lógicos não permite o rastreio de quem acedeu a quedados, quando e de que localização/terminal;

• Arquitecturas de segurança de rede sólida e ao nível do sistema operativo para anularvulnerabilidade; Reduzir/anular a utilização de software não suportado;

• Necessário efetuar testes de intrusão e sistemas de vulnerability scanning bem comodefinir políticas de backup & restore e de Disaster Recovery;


57









Segurança e Privacidade

de Dados e Informação


58


Diz o regulamento…

… tomar as medidas técnicas e organizativas necessárias para assegurar,

relativamente ao tratamento em questão, a aplicação do presente regulamento…

…adoção de medidas razoáveis, incluindo a aplicação de medidas técnicas…

…deverá adotar as medidas que se afigurarem razoáveis, tendo em conta a tecnologia

disponível e os meios ao seu dispor, incluindo medidas técnicas…

Garantir

• “Privacy by Design”

• “Privacy by Default”

Security by Design

segurança desde a concepção

59


O que é a Segurança

Temos que tomar decisões

compromisso/compensação

(componente económica)

Respondemos à sensação de segurança,

não à realidade.

Sensação de segurança = realidade.

Não existe certo ou erradoA pergunta que fazemos não é se essas

decisões fazem com que estejamos mais

seguros, mas se vale a pena o compromisso.Sensação Realidade

60


Pessoas

Processos Tecnologia

Legal

Processual Tecnológica

RGPD

Integridade

Disponibilidade Confidencialidade

61


“privacy by design” e “privacy by default”

Implica a necessidade de:

• Alteração nos requisitos técnicos e organizativos;

• Impacto na arquitectura dos Sistemas de Informação;

• Impacto no ciclo de vida dos projetos;

• Controlos adicionais;

• Auditorias de conformidade;

• Cláusulas contratuais para serviços externalizados.

62









Rede ServidoresBases de Dados

Aplicações Utilizadores

Segurança Segurança e Privacidade

Segurança e Privacidade

Hoje

Amanhã

Macro

Micro

Foco: consciencializar para políticas de segurança e privacidade nascamadas de suporte às operações do negócio negligenciadas.Enquadramento

Redes

Empresariais

Operadoras

MóveisInternetCloud

PCs FixosPOS (Point of

Sale)

Computadores

Portáteis

Mobilidade

(telemóveis,

tablets, relógios)


63

Falhas de segurança mais comuns

Políticas de Segurança, Privacidade e Governance definidas, mas não implementadas

Falta de updates e utilização de software não suportado (End of Life, End of Support)

Emails corporativos: Acessíveis com um click nos dispositivos móveis; semtemporizador para logout; Usados para aceder às redes sociais

Falta de controles de acesso físico; Falhas na destruição de documentação e dados; cartões de acesso ao edifício; dossiers e tapes não controladas e disponíveis; localizaçãode servidores;

Localização activa nos dispositivos móveis e fixos

Falta de granularização de acessos lógicos: Bases de dados com acesso de administrador; acessos disponibilizados a empresas subcontratadas para manutenção da aplicação.


64

Hoje

Arquitecturas de segurança de rede sólida

Servidores locais vs. redes cloud

Segurança ao nível do sistema operativo

Data Centers controlados

Implementação de Segurança aplicacional

Disclaimer de Privacidade

Software updates

Testes de Intrusão e sistemas de Vulnerability scanning

Políticas de Backup & Restore e de Disaster Recovery

Controle de acessos de utilizadores granularizado

Políticas de protecção


65

Amanhã

Informar, consciencalizar e alterar políticas de RH

Definir e implementar Políticas de Segurança e Privacidade

Validação de iniciativa de negócio pelo DPO e pelo CISO

Auditorias internas periódicas a cargo do Compliance

Sessões de formação e awareness para staff e utilizadores

Biometria e protocolos de transferência de dados

Implementar modelos de Least Privileged

Reduzir/anular a utilização de software não suportado.

Colaboração Com./Mkt, IT, RH, Legal e Fornecedores

Políticas de protecção


66









Boas Práticas


67









Desenvolver um Programa de Conformidade


68









Boas práticas


• Nova mentalidade sobre a segurança da informação se as organizações pretendemmanter-se preparadas e um passo à frente dos hackers, sendo mais eficazes naproteção contra fugas de informação;

• O correto mapeamento de riscos e desafios na gestão interna da privacidade dedados, permite aproveitar oportunidades e desenvolver sinergias entredepartamentos;

• A integração do diagnóstico de privacidade de dados com outras iniciativas deauditoria interna e de certificação de processos, permite reduzir custos associados;

• Processo de validação de projetos pelo DPO e pelo CISO/CIO;

• Manuais, códigos de conduta e regimes de certificação;

69









Desenvolver um Programa de Conformidade

➢ Realizar diagnóstico das dimensões jurídica, processual e tecnológica para identificarpontos de não-cumprimento e as necessárias alterações:

➢ Revisão contratual que identifique as componentes de consentimento, transparência,responsabilidade e proteção de dados;

➢ Revisão das políticas, processos e responsabilidades que respondem às condiçõesexigíveis para a disponibilização de dados pessoais;

➢ Mapeamento de procedimentos de recolha/tratamento/eliminação de dados pessoais;

➢ Definição de processos de notificação à autoridade e titulares dos dados no caso deacesso indevido ou de fuga de informação;

➢ Revisão da política de segurança, através de mecanismos de autenticação, gestão deperfis de acesso, configuração de plataformas e dispositivos, confidencialidade dastransmissões de dados e o registo dos acessos;


70

Nomear encarregado de proteção de dados / DPO


Obrigatoriedade

Autoridade ou Organismo Público;

Operações com controle regular, processamento em grande escala ou dados sensíveis;

Quando já obrigados por lei nacional (ex. Alemanha);

Tarefas

Aconselha a organização, subcontratado e colaboradores;

Aconselha nas avaliações de impacto e avalia riscos;

Controla conformidade e coopera com entidades de controlo (ponto de contacto);

Características

Conhecimentos especializados de legislação e práticas de proteção de dados;

Implementação de uma estratégia de proteção de dados;

Desafios

Conhecer a estrutura da empresa e consciencializar stakeholders relevantes;

Implementar a privacidade desde a conceção, por defeito e garantir avaliações de impacto

71









Gerir violações de informação e fugas de dados

Garantir existência de rastreio de acessos à informação e registo de atividade;

Mecanismos de bloqueio e “wipe out” de dispositivos comprometidos;

Identificar especificamente quaisquer dados impactados;

Mecanismos de notificação e comunicação à autoridade e titulares dos dados, em 72h;

Plano comunicacional de gestão de crises para mitigar risco reputacional;


72









Implementar ações de sensibilização e formação

Programa efetivo de gestão da mudança;

Realização de ações de conscencialização e formação dos colaboradores;

Reforço dos códigos de conduta e manuais de procedimentos e processos;

Sensibilizar os colaboradores para a necessidade de proteger os dados pessoais erespeitar a privacidade de cada um;


73










• Mapeamento dos dados pessoais e atividades de processamento;

• Identificação de pontos de conformidade e não-conformidade com o RGPD;

• Relatório de PIA (análise de impacto de risco);

• Plano de implementação de ações de melhoria e medidascorrectivas;

74


Abordagem que permita um entendimento 360º do estado atual da privacidade de dados na sua organização, o nível de conformidade com o RGPD e a identificação das medidas a implementar

1 - Diagnósticopara avaliação

do nível de conformidade

2 -Implementaçãode políticas, de processos e de

acçõescorrectivas

3 - Avaliações e auditoriasperiódicas

0 - Sessão de awareness e

sensibilização da

administração e quadros

executivos

75


Levantamento de Informação:

76


Foram analisadas 118 instâncias para 77 áreas de abrangência do RGPD:• 68 das áreas demonstram uma ou

mais instâncias de não-conformidade;• 50 das áreas demonstram uma ou

mais instâncias de conformidade;

Áreas RGPD.xlsx

77


Para o cálculo e quantificação do risco contribuem:

1. as ameaças identificadas;

2. o impacto da ameaça na integridade dos dados;

3. o nível de severidade atribuído ao impacto;

4. e a probabilidade de que a ameaça se concretize.

78


79


80


81


82


“… as organizações que• Forem transparentes sobre a

informação que recolhem, • Permitam acesso e controlo dos dados

pessoais aos seus titulares, • E ofereçam um valor justo e adequado

pelo serviço, …

…serão alvo de confiança e conquistarão cada vez mais credibilidade e acesso aos seus clientes.

Aqueles que• Escondem a forma como usam dados

pessoais,• E não providenciam valor adicional

após tratamento dos dados, arriscam-se a perder a boa-vontade dos clientes – e o seu negócio.…”

May 2015, Harvard Business Review

84









Ferramenta de Auto-Avaliação: http://dlp.lcg.consulting


http://dlp.lcg.consulting/

Obrigado!

Contactos:

Filipe Pereira | +351 910 622 236

[email protected]

proteÇÃo de dados nas empresas - nerbe.pt€¦ · conhece as penalidades no caso de incumprimento...

Documents