Decisões de Adequação, BCRs e Whitelists

Entendendo Transferências de Dados Transfronteiriços na Era da GDPR

 

Não há dúvida de que o GDPR deixou sua marca nas relações comerciais em todo o mundo. Os reguladores da UE decidiram criar um padrão para a regulamentação da privacidade de dados, que realizaram não apenas para a UE, mas também para o mundo. O GDPR exige que os países que buscam transferências de dados transnacionais sem descontinuidades tenham seus próprios regulamentos de privacidade que atendam aos requisitos rígidos do GDPR, o que estimulou um aumento mundial da legislação de privacidade no último ano.

O Artigo 45 do GDPR declara: “Um controlador ou processador pode transferir dados pessoais para um terceiro país ou uma organização internacional somente se o controlador ou processador tiver fornecido as devidas salvaguardas.” Portanto, antes que uma organização possa transferir informações de participantes da informação da UE para um país fora da UE, os padrões de privacidade deste país devem ser aprovados pela Comissão Europeia ou devem ser estabelecidas regras corporativas vinculativas (BCRs). As BCRs são estabelecidas entre a organização e a Comissão Européia ou um DPA da UE. Este post analisa os requisitos do GDPR para acordos de adequação, as etapas que os países devem seguir para receber um, e o que se tornou o “Plano B” de muitas organizações: regras corporativas vinculantes.

Compreender os acordos de adequação

Para continuar as relações comerciais com a UE no âmbito do GDPR, muitos países não pertencentes à UE buscaram acordos de adequação nos últimos meses. Os acordos de adequação minimizam consideravelmente a carga regulatória sobre as organizações que precisam transferir dados internacionalmente para realizar negócios. Para obter um acordo de adequação, esses países devem aprovar seus próprios regulamentos de privacidade que correspondam de maneira suficiente aos requisitos do GDPR. Atualmente, a Comissão Europeia reconheceu 11 países ou territórios, incluindo Argentina, Israel, Nova Zelândia e Japão , como fornecendo proteção de dados adequada.

Como são tomadas as decisões de adequação?

Para obter uma decisão de adequação, um país deve primeiro avaliar se sua estrutura de proteção de dados atende aos requisitos estabelecidos no Artigo 45 do GDPR. Existem dois factores principais que a Comissão Europeia utiliza para determinar se um país estabeleceu um nível de protecção adequado:

  1. Nível de Segurança Humana: A Comissão examina a similaridade entre a regulamentação de outro país quando se trata de seu estado de direito, a legislação de direitos humanos e a implementação de regulamentos de privacidade e segurança. Esta é a razão pela qual muitos países publicaram recentemente regulamentações de privacidade de dados que imitam o GDPR quando se trata de solicitações de sujeitos de dados, notificação de violação de dados e funções de DPO ( ver Brasil , Israel e Coréia do Sul). A UE está aberta sobre o fato de que considera o GDPR como o “padrão ouro” de proteção de dados, e que sua expectativa é de que os outros subam ao seu nível.
  2. Estabelecimento de uma Autoridade Supervisora ​​Independente: A Comissão também considera se o país possui uma autoridade supervisora ​​e o sucesso dessa autoridade na implementação e regulamentação das leis de privacidade de dados dentro do país (assemelhando-se às Autoridades de Proteção de Dados da UE ). Para avaliar isso, a Comissão analisa as multas monetárias do país por violações de padrões de proteção de dados. É por isso que as autoridades federais de supervisão independentes estão se tornando uma tendência global, juntamente com o aumento da regulamentação global de privacidade.

Depois que a Comissão determinar que um país atende a seus padrões de adequação, ele adicionará esse país à sua “lista de permissões”, permitindo a transferência irrestrita de dados. Uma vez estabelecida essa relação, a Comissão tem autoridade para realizar uma revisão periódica do acordo de adequação do país a cada quatro anos, ou simplesmente sempre que julgar necessário.

Plano B: Regras Corporativas Vinculantes

As regras corporativas vinculativas (BCRs) são um conjunto de regras para transferências de dados estabelecidas entre empresas multinacionais e governos da UE. Nos termos das BCR, uma organização pode transferir dados pessoais da UE para o estrangeiro para as suas instalações fora da UE. As organizações têm a capacidade de construir suas próprias BCRs, desde que essas regras se alinhem com os padrões do European Data Protection Board (EDPB) para proteção de dados.

Como receber autorização BCR

  1. Selecione um DPA da UE para ser a autoridade principal (dependendo da localização da sua organização dentro da UE). O DPA líder circula suas metodologias entre outras DPAs para garantir o acordo entre as autoridades de supervisão.
  2. Receber e endereçar quaisquer comentários ou preocupações das DPAs.
  3. Inscreva-se e aguarde a aprovação.

As BCRs ajudam significativamente organizações com instalações em países que não têm um acordo de adequação com a UE. Atualmente, existem mais de 100 grandes empresas com BCRs estabelecidas – 75% das quais são organizações sediadas nos EUA. As BCRs são consideradas a melhor opção para organizações que são compatíveis com GDPR, mas não estão estabelecidas em um país da lista de permissões da UE.


Os dados são o novo ouro para as empresas, e os acordos de adequação permitem que os países negociem esse valioso recurso tecnológico. O número de países que procuram um acordo de adequação continuará a aumentar, com esses países emitindo suas próprias variações sobre o PIBR da UE. Para organizações em países sem um acordo de adequação, a construção de programas de privacidade e segurança que se alinhem com o GDPR e tomem as medidas necessárias para estabelecer um acordo de BCR deve ser uma prioridade.

 

 

ARTIGO TRADUZIDO DE: https://blog.focal-point.com/understanding-cross-border-data-transfers-in-the-gdpr-era

Petter Anderson Lopes

Petter Anderson Lopes

Perito Judicial em Forense Digital, Criminal Profiling & Behavioral Analysis

Especialista em Criminal Profiling, Geographic Profiling, Investigative Analysis, Indirect Personality Profiling

CEO da PERITUM – Consultoria e Treinamento LTDA.

Perito em Forense Digital, Investigação de Fraudes | Perfilação Criminal e Análise Comportamental | OSINT, HUMINT | Autor e Professor | SI, Arquitetura Segura e Software Developer

Certified Criminal Profiling pela Heritage University(EUA) e Behavior & Law(Espanha), coordenado por Mark Safarik ex diretor da Unidade de Análise Comportamental do FBI, endossado pela CPBA (Criminal Profiling & Behavioral Analysis International Group).

Certificado em Forensic Psychology (Psicologia Forense, Entrevista Cognitiva) pela The Open University.

Certificado pela ACE AccessData Certified Examiner e Rochester Institute of Technology em Computer Forensics.

CBO 2041-10  "Elaboram laudo pericial, organizando provas e determinando as causas dos fatos. Realizam diligências, examinando locais, buscando evidências, selecionando e coletando indícios materiais e encaminhando peças para exames com ou sem quesitos. Analisam provas, peças, materiais, documentos e outros vestígios relacionados aos fatos. Efetuam cálculos, medições, assim como, solicitam e/ou realizam ensaios laboratoriais, utilizando e desenvolvendo técnicas e métodos científicos"

FEATURED

Cursos populares

Curso Perito Forense Digital

Atualizações constantes

Seja um Perito Forense Digital

 A estrutura essencial para você poder entrar no mercado da perícia digital.

Neste curso de 20h, você encontrará aulas de conhecimento obrigatório para quem deseja se aventurar na Forense Digital. Compreendendo OSINT, Forense em Memória, Forense em e-mails, introdução à Investigação, Inteligência Cibernética e muito mais.

Operadores da lei que desejam entender os procedimentos iniciais de uma atuação na perícia digital e alguns exemplos de análise/exame de material digital coletado. Compreender os princípios básicos da Forense Digital. Os conceitos irão fazer a diferença na sua carreira profissional.

OSINT - Investigação Cibernética em Fontes Abertas

Certificado em Investigação Cibernética em Fontes Abertas

(OSINT, HUMINT, SIGINT)

Este curso irá te apresentar conceitos, técnicas e ferramentas para conduzir uma Investigação Cibernética em Fontes Abertas. Aqui será possível entender como fazer a investigação e manter-se no anonimato, investigar incidentes cibernéticos para apoio a equipes de resposta a incidentes. São abordados também assuntos como Criminal Profiling e o Ciclo de Inteligência do FBI, ampliando a visão no processo de investigação.

.

Curso Perfilação Indireta da Personalidade

Certificado

Curso - Introdução à Perfilação Indireta da Personalidade

A aplicação da Perfilação Indireta da Personalidade permite uma avaliação da personalidade do sujeito sem que ele saiba que está sendo avaliado, por meio de seus comportamentos e relações interpessoais. É uma técnica para coletar informações sobre a personalidade tanto da vítima quanto do agressor e a relevância da personalidade cruzada entre ambos.
Qual a contribuição para Análise de Credibilidade e Investigação de Fraudes? Qual a sua importância para  a Entrevista (forense, recrutamento e seleção, em casos de negociação com reféns, negociação empresarial, interrogatório, etc...)? É útil conhecer a personalidade de alguém para planejar uma intervenção policial com ele? A personalidade pode nos ajudar a entender por que um determinado crime ocorreu? É útil com um entrincheirado? com uma testemunha? com fonte humana? Para preparar um disfarce para um agente disfarçado? Para esclarecer um crime simulado?
Importante também no procedimento de autópsia psicológica.
Conteúdo:
1.Criminal Profiling;
2.Perfil Criminal;
3.Negociação (Com reféns, comercial, etc…);
4.Persuasão;
5.Entrevista (vítimas, suspeitos, testemunhas, …);
6.Levantamento de informações de fontes humanas (HUMINT);
7.Atendimento ao público (clínicas, hospitais, etc…)

.

Engenharia Reversa na Forense Digital - Udemy

Em nova plataforma

Atualizações constantes

Certificado em Engenharia Reversa e Análise de Malwares na Forense Digital

Aqui você compreenderá a utilização da Engenharia Reversa aplicada em Forense Digital, bem como a Análise de Malware.

O curso aborda diversos conceitos de forma prática. O estudo é baseado, em sua maioria, no .NET e .NET Core, pois é uma tecnologia que está sempre em evolução, sendo adicionada inclusive em Linux e MAC, ou seja, com o .NET Core, agora é multiplataforma.

Introdução ao Criminal Profiling

Análise de casos reais

Curso - Introdução ao Criminal Profiling

O Criminal Profiling é o processo de observação e reflexão com base na análise das evidências coletadas na cena do crime . A técnica de criação de perfil visa identificar e interpretar o comportamento ou as ações do crime com o objetivo de prever a personalidade do infrator, seu modus operandi e, possivelmente, as motivações para o crime. O objetivo da definição de perfil é, no entanto, não apenas obter uma possível identificação de características importantes do ofensor, mas também evitar a repetição de crimes semelhantes no futuro.

Aqui você conhecerá:

O que é Criminal Profiling?
A História do Criminal Profiling
A Psicologia Investigativa
Método BEA
Vitimologia
Transtornos de personalidade
Mass Murder, Spree Killer, Serial Killer
Predador Sexual em Série, Mitos
Abordagem Geográfica, Clínica, Top Down, Bottom Up
Modus Operandi e Assinatura
Coleta e Processamento de informações
Avaliação do crime
Hipóteses de perfil
Uso investigativo