Categoria: Segurança da Informação

Em um webinar sobre o novo regulamento da UE GDPR (General Data Protection Regulation), regulamento que afeta todas as empresas e instituições públicas da União Europeia, bem como empresas estrangeiras que operam na EU, a empresa Safetica recebeu e respondeu diversas perguntas sobre o tema.

Dada a semelhança entre a GDPR e a LGPD Lei Geral de Proteção de Dados, podemos analisar o questionário e adequar ao cenário brasileiro.

Existe um documento disponível on-line que lista tudo o que é considerado dados pessoais?

No regulamento GDPR, a definição de dados pessoais é formulada de forma muito genérica, infelizmente, dada a amplitude do regulamento, não é fácil listar todos os tipos de dados considerados pessoais. O que pode ser dito é que o regulamento se aplica a qualquer tipo de dados relativos a um indivíduo determinado ou determinável (identificado ou identificável).

Eu mantenho um registro de nomes, sobrenomes e e-mails de indivíduos em um aplicativo da web. Esses dados são de competência do GDPR? E fazer tanto o operador do aplicativo da web e eu preciso tratá-los dessa maneira?

Sim. Os dados de contato de uma pessoa natural são considerados dados pessoais. E os dados pessoais são da competência do GDPR. Você e o operador do aplicativo da Web precisam abordá-los de acordo.

Como o GDPR se aplica aos dados prestados à polícia (DNA, impressões digitais, etc.)?

Os dados exigidos por um determinado ato jurídico (como em uma investigação policial) podem ser coletados sem o consentimento explícito do sujeito. Mas, é claro, os dados devem seguir outros requisitos do GDPR. Por exemplo, eles precisam ser protegidos contra uso indevido pela polícia.

O direito de ser esquecido é absoluto? Se um cliente pedir mercadorias e eu precisar de suas informações para concluir o pedido, eu preciso excluir essas informações mediante solicitação?

O direito de ser esquecido não é um direito absoluto. É possível colocá-lo em vigor somente se os dados não forem mais necessários para o propósito para o qual foram originalmente reunidos ou processados. Outro caso em que os dados pessoais não podem ser excluídos é quando há outra obrigação legal ou lei que obstrui diretamente a exclusão (por exemplo, a lei de arquivamento - que exige que alguns documentos contendo dados pessoais sejam mantidos por um período definido por lei)

No CRM, mantemos registros de endereços de e-mail e números de telefone dos funcionários de nossos clientes. Será que agora precisamos pedir permissão explícita para armazená-los?

Depende se você já pediu consentimento ao coletar as informações e também por que as coletou. Se você precisar processar os dados para fornecer produtos ou serviços, os dados também poderão ser minimamente processados ​​sem o consentimento. Por exemplo, você definitivamente precisa de um endereço para poder enviar um produto para um cliente. No seu caso, você deve considerar se realmente precisa ou não das informações de contato de cada cliente - isso depende dos seus propósitos.

Foi mencionado que o consentimento dos pais é necessário para processar os dados de crianças menores de 16 anos. Nesse sentido, todos os serviços precisam manter um registro da idade dos usuários? É suficiente pedir ao usuário para declarar sua idade, ou é necessário também verificar a idade indicada?

Sim, é essencial verificar a idade declarada da pessoa que dá o consentimento para o processamento de dados.

O consentimento dos pais é exigido no processamento de dados pessoais de pessoas até a faixa etária de 13 a 16 anos. O limite superior de idade específico é definido por cada país na UE deve ser selecionado com base no respectivo país.

O direito à portabilidade de dados é gratuito - um banco é obrigado a fornecer informações gratuitas?

Sim, eles são obrigados a fornecer informações gratuitamente.

Quem regula/controla a redação do consentimento para o documento de processamento de dados pessoais?

Não existe uma linguagem de consentimento específica e regulamentada. Você pode se referir a recomendações de idiomas da UE ou, preferencialmente, consultar escritórios jurídicos que prestem serviços de consultoria.

A quem exatamente o GDPR se aplica? Que tal um e-shop que tem apenas 2 funcionários, mas processa dados de centenas de clientes?

Qualquer e-shop que processe dados pessoais de clientes deve estar em conformidade com o GDPR. Basicamente, qualquer organização com pelo menos 1 funcionário tem que processar dados pessoais de funcionários e, portanto, tem que proteger esses dados também.

As agências de emprego devem designar um responsável pela proteção de dados (DPO)?

Com relação à quantidade e ao caráter dos dados pessoais, ousamos dizer que as agências de emprego terão a obrigação de designar um DPO.

O GDPR afirma que o processamento de dados pessoais em “grande escala” aciona a designação de um DPO. Como é "grande escala" definida? Existe uma certa quantidade de dados especificados?

Termo "grande escala" não está claramente definido no regulamento. De acordo com as diretrizes do Grupo de Trabalho 29, “grande escala” é definida por vários fatores: número de indivíduos, volume de dados, duração do processamento de dados e abrangência do território. Um exemplo de processamento em larga escala é o processamento dos dados dos pacientes como parte das atividades hospitalares de rotina (diferentemente do processamento de dados do paciente por um médico individual - isso não é considerado "grande escala"). Outros exemplos de processamento em grande escala são o uso de mecanismos de pesquisa para direcionar dados pessoais para publicidade e processar dados de clientes como parte das atividades de vendas rotineiras de uma companhia de seguros ou de um banco.

Se usarmos um DPO terceirizado, com que frequência ele tem que fazer um controle?

O manuseio de dados pessoais deve ser constantemente monitorado. Cada empresa deve decidir por si própria se designará um DPO interno ou externo.

Quem assume a responsabilidade em caso de incidente? E quem paga a multa? O administrador ou o processador?

Não há resposta definitiva para essa questão. Depende se o incidente acontecer no lado do administrador ou do processador. Recomendamos uma definição muito precisa de responsabilidade de ambos os sujeitos em um contrato.

Como o GDPR se aplica aos funcionários da empresa?

Os requisitos do GDPR aplicam-se às organizações, mas as responsabilidades de proteção de dados também passam naturalmente para os funcionários que trabalham com os dados.

O próprio processador tem a responsabilidade de cumprir com o GDPR?

Se o processador tem funcionários e, portanto, processa seus dados pessoais, então o processador, é claro, deve estar em conformidade com o GDPR. Essa empresa pode, então, ter duas funções - para seus clientes, pode servir como processador, enquanto para seus funcionários ela serve como administrador.

Se o nosso gerenciamento GDPR é conduzido por uma empresa externa, quem seria multado em caso de vazamento de dados pessoais? A responsabilidade é nossa ou pode ser contratualmente transferida para o provedor?

De acordo com o GDPR, a obrigação de proteger os dados pessoais aplica-se tanto ao administrador como ao processador (empresa externa que processa os dados). Assim, ambas as entidades são responsáveis ​​por sua proteção, uma vez que ambas trabalham com os dados - mesmo que o administrador apenas colete os dados e os envie para o processador.

A política de privacidade pode ser tratada de maneira semelhante à política de cookies? Colocando um banner com um link para toda a política de privacidade na Web?

Para uma empresa que processa dados pessoais, a política de privacidade é um dos documentos mais importantes. Recomendamos confiar a preparação da diretiva às mãos dos advogados.

Eu li que, no caso de um visitante não dar consentimento para o processamento de dados pessoais, seu acesso ao site deve ser completamente negado. Isso é verdade?

Um dos novos princípios que o GDPR traz é a necessidade de obter consentimento inequívoco e incondicional para o processamento de dados pessoais de um sujeito de dados. Se um titular de dados não conceder seu consentimento ao administrador de um serviço, isso não justificará a falha em fornecer o serviço, a menos que o consentimento seja um requisito do provedor do próprio serviço. Aqui está um exemplo de um ambiente de e-shop: se eu fornecer a um operador de e-shop dados pessoais essenciais para a compra de um produto, o operador de e-shop não pode cancelar meu pedido apenas porque não lhe dei permissão para me enviar e-mails de marketing.

Um cliente pode nos impedir de coletar seus dados pessoais? Por exemplo, dizendo que ele / ela não quer que seu número de telefone ou endereço IP seja armazenado por nós?

Depende do objetivo legal de processar seus dados pessoais. Se o propósito é dado, por exemplo, por um interesse público, então o cliente não pode proibir explicitamente que você colete as informações. Mas, ao empregar o direito de acesso ao assunto, o cliente pode levantar uma objeção / dúvida sobre por que um determinado tipo de informação está sendo processado. O processamento deve sempre ocorrer com base no consentimento do cliente - assim, o cliente é quem decide quais dados serão processados.

O número de telefone comercial de um cliente, o endereço de e-mail comercial e o endereço IP comercial também são considerados dados pessoais?

Sim, se é possível identificar uma pessoa singular em particular com base nesta informação.

Uma empresa pode ter contratos com mais de um DPO?

O gerenciamento de dados pessoais exige trabalho em equipe, mas as empresas são obrigadas a fornecer informações de contato para apenas uma pessoa executando a função do DPO. Esta será a principal pessoa de contato, por exemplo, a autoridade supervisora.

Nossa empresa já está em conformidade com a ISO 27001. Isso é suficiente?

Primeiro de tudo, é necessário examinar a extensão do SGSI para descobrir se ele realmente se aplica a todos os tipos de processamento de dados pessoais na organização. Um dos pontos importantes da ISO 27001 é a conformidade com os atos legais - incluindo o GDPR. Por último, mas não menos importante, o GDPR não se aplica apenas à segurança de dados pessoais, mas também a muitas outras áreas (direitos dos titulares dos dados, transferência de dados pessoais para o exterior, etc.) - portanto, certifique-se de que os processos para essas áreas.

Estou construindo uma loja virtual hospedada por terceiros (webhosting). Quem tem o papel de DPO? Eu, o host da web ou o proprietário do contrato?

O DPO é uma entidade autônoma responsável pelo processamento de dados pessoais em uma organização.

Uma solução de videovigilância para locais públicos é abrangida pelo GDPR?

Sim, os sistemas de videovigilância também processam dados pessoais (identificando atividades de uma pessoa natural), de modo que também são abrangidos pelo GDPR. Conseguir a permissão das pessoas obviamente não é fisicamente possível nesses casos. É por isso que é importante identificar a base jurídica para o processamento de gravações de vídeo e, em seguida, escolher uma abordagem transparente para a privacidade dos cidadãos (sendo a condição principal a notificação adequada na área monitorizada). Outros requisitos do GDPR são obviamente válidos.

Até que ponto o histórico de backup e arquivamento se aplica ao direito de ser esquecido?

Se não houver nenhum ato legal que exija o arquivamento de dados pessoais, você deverá excluí-los de todos os arquivos de memória, incluindo arquivos.

Mantemos o registro de dados e os armazenamos em serviços na nuvem, por exemplo, o Google Suite. Existem ferramentas de proteção de dados fornecidas e regras de segurança podem ser definidas. Mas quem tem a responsabilidade de protegê-los - nós ou o Google?

Provedores desse tipo de serviço, é claro, devem garantir a conformidade de seus serviços com o GDPR. O Google e a Microsoft anunciaram recentemente que estão trabalhando duro para colocar seus serviços em conformidade com o GDPR. No entanto, é importante mencionar que, ao utilizar esses serviços, você não está automaticamente se libertando de sua responsabilidade por cumprir o GDPR. O GDPR afeta toda a sua organização e, ao transferir todos os dados pessoais para o G-Suite, você não está fazendo o suficiente para cumpri-lo.

A participação dos funcionários também é considerada como dados pessoais?

Certamente sim. Um funcionário é uma pessoa natural e, se um registro de sua participação estiver inequivocamente conectado ao seu identificador, ele será considerado um dado pessoal.

Depois que o GDPR entrar em vigor, poderemos continuar declarando que documentos e identificadores que um candidato nos forneceu para o propósito do procedimento de seleção não serão retornados?

Cada empresa determina as regras dos próprios procedimentos de seleção, mas deve cumprir as obrigações estabelecidas pelo GDPR sobre o manuseio e o processamento de dados pessoais. Não temos certeza do tipo exato de documentos a que a pergunta se refere, mas as empresas são obrigadas a proteger todos os documentos que contenham os dados pessoais de pessoas físicas.

O GDPR também se aplica às informações de contato coletadas antes da entrada em vigor do regulamento? Precisamos pedir novamente a permissão de nossos clientes, para que os novos requisitos sejam atendidos?

Sim, PIBR se aplica às informações coletadas antes de 25 de maio th , 2018. Recomendamos que você revise todos os consentimentos reuniu até este ponto, e para se certificar de que eles não são ambíguas e designado para o efeito particular de processamento. Se os dados tiverem que ser processados ​​para algum outro propósito legalmente ordenado (por exemplo, interesse público), então o consentimento não é necessário. Pode ser útil executar uma auditoria da empresa de títulos legais nos quais o processamento de dados é baseado.

Eu tenho me perguntado sobre as agências de relações públicas. Eles têm listas de mídia (listas de repórteres com suas informações de contato) e processam dados pessoais para seu próprio funcionamento. Eles também vêm sob GDPR? E como posso garantir a permissão para usar o endereço de e-mail de um repórter, se essa informação estiver disponível publicamente on-line?

Se as informações estiverem publicamente acessíveis no site da pessoa em questão, para que as pessoas possam contatá-la, você não precisará pedir permissão à pessoa. Mas se você pretende usar essa informação por outras razões (digamos, marketing direto de seus serviços), recomendamos que você peça o consentimento da pessoa.

Vamos dar um exemplo de modelo - eu sou um dentista que processa registros pessoais e médicos de pacientes. De acordo com a lei, tenho que manter registro desta documentação por 10 anos - seja em formato impresso ou eletronicamente com uma assinatura eletrônica. O direito de ser esquecido não se aplica a mim. Eu tenho duas opções: armazenar os dados no software em meu computador no consultório do meu dentista ou armazenar os dados on-line - na nuvem. Entendo corretamente que em qualquer uma dessas opções eu de fato transferirei a carga do GDPR (para o provedor de nuvem / para o administrador dos dados - o produtor de software)?

No caso em que o arquivamento é exigido de você por um determinado ato legal, o direito de ser esquecido não se aplica a você - você está certo nesta parte.

Para responder a outra parte - usando qualquer uma das duas opções que você nomeou, você não transfere o ônus do GDPR para qualquer outra pessoa. É você quem é considerado o administrador de dados e quem assume a responsabilidade pelo GDPR, o provedor permanece apenas como provedor.

Há informações disponíveis sobre quais materiais precisarão ser apresentados (no próximo ano) para auditorias investigando se uma organização está em conformidade com o GDPR?

Prevê-se que o cumprimento do GDPR se torne, com o tempo, um dos itens auditados nas empresas. Mas, neste momento, quando o regulamento ainda não está em vigor, ainda não há informações sobre isso disponíveis.

O consentimento para o processamento de dados pessoais pode ser concedido por telefone?

Sim, mas este consentimento deve ser registrado e documentado para casos de um controle por uma autoridade supervisora, e ele deve atender a todos os requisitos do GDPR para a concessão correta do consentimento.

Mantemos registros sobre nossos funcionários, parceiros e funcionários de todo o mundo. Os registros são armazenados em servidores nos EUA usando SAP e Microsoft Cloud (não tenho certeza de onde esses servidores MS Cloud estão localizados). Quais são os nossos deveres para proteger os dados quando os servidores estão fora do nosso alcance?

Este é um tópico muito complexo, mas as regras GDPR ainda se aplicam, pois você está armazenando dados pessoais. A parte mais importante para você são regras sobre a transferência de registros para fora das fronteiras da UE, já que seus servidores estão localizados nos EUA e na nuvem. Então, essa é a primeira coisa que você precisa aprender - onde seus dados estão realmente armazenados.

Em seguida, você deve analisar o estado atual de como os dados pessoais estão sendo processados. Isso deve mapear como sua organização lida com dados pessoais e fornecer recomendações claras sobre como melhorar processos, transformação organizacional ou medidas técnicas.

Temos uma pensão familiar onde somos obrigados por lei a reportar dados pessoais de nossos hóspedes às autoridades. Precisamos anonimizar esses dados? 
A anonimização não é necessária para todos os cenários de manipulação de dados pessoais. O artigo 32 do GDPR não fornece uma lista completa de cenários para anonimização - é antes uma lista de áreas em que sua empresa deve se concentrar. Se uma lei específica se aplica ao seu negócio, então você deve segui-lo.

Estou trabalhando em uma empresa de serviços on-line e coleciono os endereços de e-mail e endereços IP dos meus clientes. Eu uso esses endereços de e-mail para enviar mensagens promocionais. Eu uso uma ferramenta de e-mail em nuvem para enviar e-mails em massa. Preciso estender meus Termos de Uso com um contrato de processamento de dados pessoais ou preciso tomar medidas adicionais para proteger endereços de e-mail?

Sim, o regulamento GDPR se aplica ao seu caso de processamento de dados pessoais. Você deve ir passo a passo através de todos os requisitos GDPR e fazer uma análise de lacunas para se certificar de que você está em conformidade. No seu caso, pode ser muito rápido e fácil de fazer (por exemplo, o direito de ser excluído após a solicitação de um cliente pode ser feito removendo uma única linha em uma planilha do Excel).
Aqui estão algumas dicas:

  • Você está analisando ou coletando dados na medida necessária para o seu negócio
  • Coleta de endereço IP é realmente necessário?
  • Você garante a segurança dos dados pessoais (por exemplo, os dados são criptografados e o acesso é protegido por senha para certas funções)
  • Você está pronto para os direitos dos titulares de dados (por exemplo, pedir para remover quaisquer registros relacionados a um cliente ou exportar dados em um formato universal legível por uma máquina - veja o direito para a portabilidade de dados)
  • Você está removendo dados pessoais que não são mais necessários regularmente
  • Você documentou como você lida com dados pessoais (todas as partes exigidas pelo GDPR)

Traduzido e adaptado de: https://www.safetica.com/blog/38-questions-and-answers-about-gdpr/