DPO

O Encarregado de Proteção de Dados (DPO), é o indivíduo que garante, de maneira independente, que uma organização aplica as leis que protegem os dados pessoais dos cidadãos.

Perfil

Para uma correta implementação e maior controle quanto a adequação com a Lei Geral de Proteção de Dados, é recomendado que o DPO seja alguém com bom conhecimento sobre a legislação, além de possuir o conhecimento sobre as práticas de proteção de dados de um modo geral. Recomenda-se um profissional com formação interdisciplinar como um perito na área, especialista em segurança da informação, hacker ético ou pentester. O DPO deve ser alguém com autonomia para poder exercer uma função fiscalizatória interna.

Documentação

Um DPO com o conhecimento adequado conseguirá auxiliar no processo de produção da documentação necessária. Dentre os documentos temos o DPIA (GDPR), RIPD (LGPD), DPA ou Contrato de Processamento de dados, Aviso de PrivacidadeAnálises de Impacto na Privacidade (PIA), entre outros…

responsabilidade

O DPO tem a responsabilidade de ser o porta-voz da instituição perante as autoridades e também perante os titulares dos dados, principalmente no caso de ter que cumprir com o dever de reportar situações de incidentes de violações de dados pessoais. 

Deve possuir prerrogativas de interlocutor com a ANPD Agência Nacional de Proteção de Dados.

PROTEÇÃO

Tanto para a LGPD quanto para a GDPR a regra é “Sem proteção não há privacidade”, deste modo seguir normas como ISO/IEC 27001, PCI-DSS, ou S-SDLC, irá ser um grande trunfo.

privacidade por design

Neste caso a privacidade deve estar presente em todo o processo de engenharia de um software, ou seja, desde sua concepção até a entrega. A Comissão Europeia define com a proteção de dados por meio de design de tecnologia. Este conceito aplica-se à GDPR e LGPD

Privacy by Design é uma metodologia na qual a proteção de dados pessoais é pensada desde a concepção de sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de dados pessoais.” – Dra Ann

Privacidade por padrão

A proteção de dados por padrão ou Privacy by Default é o princípio segundo o qual uma organização (o controlador de dados) garante que apenas os dados estritamente necessários para cada finalidade específica do processamento sejam processados ​​por padrão (sem a intervenção do usuário).

ISO/IEC 27001

A norma ISO 27001 é o padrão e a referência Internacional para a gestão da Segurança da informação, assim como a ISO 9001 é a referência Internacional para a certificação de gestão em Qualidade. 

A norma tem como principio geral a adopção pela organização de um conjunto de requisitos, processos e controlos com o objectivo de mitigarem e gerirem adequadamente o risco da organização. 

PCI-DSS

O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) foi desenvolvido para incentivar e aprimorar a segurança dos dados do titular do cartão e facilitar a ampla adoção de medidas consistentes de segurança de dados globalmente. O PCI DSS fornece uma linha de base de requisitos técnicos e operacionais projetados para proteger os dados do portador do cartão. O PCI DSS aplica-se a todas as entidades envolvidas no processamento de cartões de pagamento, incluindo comerciantes, processadores, adquirentes, emissores e provedores de serviços, bem como todas as outras entidades que armazenam, processam ou transmitem dados de titulares de cartão (CHD) e/ou dados de autenticação confidenciais (SAD).

S-SDLC

O  Ciclo de Vida de Desenvolvimento de Software Seguro (S-SDLC) é uma metodologia com o objetivo é definir um Ciclo de Vida de Desenvolvimento de Software Seguro padrão e depois ajudar os desenvolvedores a saber o que deve ser considerado ou melhores práticas em cada fase de um Ciclo de Vida de desenvolvimento (por exemplo, Fase de Design/Fase de Codificação/Fase de Manutenção / etc.)

Para alcançar a segurança, é necessário estar envolvido em todas as fases de um Ciclo de Vida de Desenvolvimento de Software Seguro.

CONFORMIDADE

Manter-se em conformidade com a Lei Geral de Proteção de Dados pode ser um grande desafio, mas calma, não se preocupe, posso te ajudar neste processo.

DPIA

DPIA é o documento que comprova que você relamente está preocupado e engajado com a proteção de dados pessoais.

O DPIA ou Data Protection Impact Assessment para a General Data Protection Regulation (“GDPR”) serviu como inspiração para a LGPD que importou o conceito, sob o nome de Relatório de Impacto à Proteção de Dados ou RIPD. Consiste em uma documentação que descreve os processos de tratamento de dados pessoais que podem gerar algum risco aos direitos dos titulares, além das medidas e mecanismos empregados para mitigar esses riscos.

Auditoria de conformidade

É necessário executar auditorias internas periódicas e atualizar os processos de proteção de dados, incluindo a verificação de seus registros de atividades de processamento (logs), mecanismos de consentimento, testes de controles de segurança de informações e a realização de Análises de Impacto na Privacidade (PIAs). 

O que fazer?

• Agendar auditorias regulares de atividades de processamento de dados e controles de segurança.

• Manter registros do processamento de dados pessoais atualizados.

• Empreender DPIAs e PIAs, quando necessário.

Profissional capacitado

Privay and Data Protection Foundation

A Privacy & Data Protection Foundation foi projetada para todos os funcionários que precisam ter uma compreensão da proteção de dados e dos requisitos legais europeus, conforme definido no GDPR. Isso o torna ideal para agentes de proteção de dados, agentes de privacidade, oficiais legais de conformidade, agentes de segurança ou gerentes de continuidade de negócios.

PRIVAY AND DATA PROTECTION Practitioner

O Privacy & Data Protection Practitioner é ideal para DPOs, Diretores de Privacidade, Diretores Jurídicos/Conformidade, Diretores de Segurança, Gerentes de Continuidade de Negócios, Controladores de Dados, Auditores de Proteção de Dados (internos e externos) e gerentes de RH. 

Olá, já falei pra você que possuo a capacitação técnica necessária para atuar como DPO?

Então, possuo MBA em Gestão de TI, tenho graduação de Tecnólogo em Segurança da Informação além de possuir certificações internacionalmente reconhecidas de desenvolvimento de sistemas (MCP), computação forense (ACE e R.I.Tx) além dos cursos oficiais da EXIN de Privacy and Data Protection Foundation, Privacy and Data Protection PractitionerISO 27001 Fundamentals.

Sou consultor atuante como Perito Judicial em Forense Digital (Estadual e Federal), Hacker Ético/Pentester, Árbitro (Juiz Arbitral no Direito Arbitral), pesquisador de Segurança da Informação, escritor e Bug Hunter

 

“Conheces teu inimigo e conhece-te a ti mesmo; se tiveres cem combates a travar, cem vezes serás vitorioso. Se ignoras teu inimigo e conheces a ti mesmo, tuas chances de perder e de ganhar serão idênticas. Se ignoras ao mesmo tempo teu inimigo e a ti mesmo, só contarás teus combates por tuas derrotas.”

—Sun Tzu

GDPR & LGPD

Sem proteção não há privacidade

pentest

Testes de invasão para identificar pontos vulneráveis e então aplicar técnicas de proteção mais adequadas. 

Direito Arbitral

Na LGPD é possível tratar de alguns assuntos diretamente com o dono do dado, isso pode ser feito por meio da arbitragem.

Forense Digital

Técnicas de análise forense para antecipação de provas e/ou investigação de violação de privacidade.

PDCA

Plano de melhoria contínua para a aplicação de medidas de Segurança da Informação, afim de elevar o padrão de proteção de dados pessoais.

Precisa de ajuda?

+55 54 99645-0777

Petter Anderson Lopes. Todos os direitos reservados. 2019