Uma das quest\u00f5es que levantaram mais d\u00favidas nas organiza\u00e7\u00f5es com que tenho trabalho \u00e9: \u201cNo escopo da EU GDPR (European General Data Protection Regulation \u2013 Regulamenta\u00e7\u00e3o Geral Europeia de Prote\u00e7\u00e3o de Dados*), qual \u00e9 a nossa responsabilidade em rela\u00e7\u00e3o a dados pessoais que nossos clientes manipulam no escopo de suas atividades de neg\u00f3cio? Que dizer, dados pessoais s\u00e3o coletados e processado por nossos clientes e n\u00f3s apenas os armazenamos\u201d.<\/p>\n
De fato, algumas organiza\u00e7\u00f5es n\u00e3o t\u00eam controle sobre os dados (elas apenas os armazenam) de seus clientes. A quest\u00e3o \u00e9: dentro da EU GDPR, quais s\u00e3o as responsabilidades destas organiza\u00e7\u00f5es se elas armazenam dados pessoais? Elas est\u00e3o cobertas pela nova regulamenta\u00e7\u00e3o Europeia?<\/p>\n
Esta nova regulamenta\u00e7\u00e3o (EU GDPR) foi aprovada em 14 de abril de 2016, pelo Parlamento Europeu e Conselho da Europa. Ela ser\u00e1 aplicada diretamente em cada pa\u00eds, participante ou n\u00e3o da Uni\u00e3o Europeia (que armazena dados pessoais de cidad\u00e3os Europeus), permitindo uma consist\u00eancia de regras entre na\u00e7\u00f5es com rela\u00e7\u00e3o aos direitos de privacidade dos cidad\u00e3os. Leia o artigo: O que \u00e9 a EU GDPR por que ela \u00e9 aplic\u00e1vel para todo o mundo?<\/a>\u00a0Para saber mais.<\/p>\n Primeiro, todas as organiza\u00e7\u00f5es coletam e\/ou armazenam os dados pessoais de seus pr\u00f3prios empregados desde que eles sejam cidad\u00e3os Europeus; assim, todas as organiza\u00e7\u00f5es, participantes ou n\u00e3o da Uni\u00e3o Europeia, s\u00e3o respons\u00e1veis pelo processamento destes dados dentro da EU GDPR. Por outro lado, organiza\u00e7\u00f5es podem armazenar dados pessoais de seus clientes diretos ou dados pessoais que seus clientes coletam de pessoas. Dentro da EU GDPR, a responsabilidade da organiza\u00e7\u00e3o \u00e9 diferente dependendo se ela coleta dados diretamente das pessoas donas dos dados, ou n\u00e3o?<\/p>\n De acordo com o Artigo 4 da EU GDPR, diferentes pap\u00e9is s\u00e3o identificados como indicado abaixo:<\/p>\n Assim, as organiza\u00e7\u00f5es que determinam os meios de processamento de dados pessoais s\u00e3o controllers, independente se elas coletam diretamente os dados das pessoas. Por exemplo, um banco (controller) coleta os dados de seus clientes quando eles abrem uma conta, mas \u00e9 outra organiza\u00e7\u00e3o (processor) que armazena, digitaliza, e cataloga toda a informa\u00e7\u00e3o produzida em papel pelo banco. Estas organiza\u00e7\u00f5es podem ser datacenters ou companhias de gest\u00e3o de documentos. Ambas as organiza\u00e7\u00f5es (controller e processor) s\u00e3o respons\u00e1veis por manipular os dados pessoais destes clientes.<\/p>\n De acordo com o Artigo 5 da EU GDPR, o controller deve ser respons\u00e1vel por, e ser capaz de demonstrar conformidade com, princ\u00edpios relacionados ao processamento de dados pessoais. Estas s\u00e3o: legalidade, imparcialidade e transpar\u00eancia, minimiza\u00e7\u00e3o, precis\u00e3o, limita\u00e7\u00e3o de armazenamento e integridade dos dados, e confidencialidade dos dados pessoais.<\/p>\n De acordo com o Artigo 24 da EU GDPR, \u201cLevando em conta a natureza, escopo, contexto e prop\u00f3sito do processamento assim como os riscos de probabilidade e severidade vari\u00e1veis para os direitos e liberdades das pessoas donas dos dados, o controller dever\u00e1 implementar medidas t\u00e9cnicas e organizacionais apropriadas para assegurar e ser capaz de demonstrar que o processamento \u00e9 realizado de acordo com esta Regulamenta\u00e7\u00e3o. Estas medidas ser\u00e3o revisadas e atualizadas onde necess\u00e1rio.<\/em>\u201d*<\/p>\n Exemplos de tais medidas podem ser alocar responsabilidades para prote\u00e7\u00e3o de dados, uma avalia\u00e7\u00e3o de impacto na prote\u00e7\u00e3o de dados e um plano de mitiga\u00e7\u00e3o de riscos, implementa\u00e7\u00e3o de pseudo-anonimiza\u00e7\u00e3o (o processamento de dados pessoais de tal forma que os dados pessoais n\u00e3o podem mais ser atribu\u00eddos a um sujeito espec\u00edfico sem o uso de informa\u00e7\u00e3o adicional), e minimiza\u00e7\u00e3o e dados de forma a atender aos requisitos desta Regulamenta\u00e7\u00e3o e proteger os direitos das pessoas donas dos dados.<\/p>\n Caso existam v\u00e1rias organiza\u00e7\u00f5es que compartilham a responsabilidade pelo processamento de dados pessoais, a EU GDPR inclu\u00ed a exist\u00eancia de controllers conjuntos. Eles devem determinar suas respectivas responsabilidades por acordo e prover o conte\u00fado deste para as pessoas donas dos dados, definindo as formas de comunica\u00e7\u00e3o com os processors com um ponto \u00fanico de contato.<\/p>\n De acordo com o Artigo 28 da EU GDPR, \u201cQuando o processamento for realizado em nome de um controller, o controles dever\u00e1 usar apenas processors que forne\u00e7am garantias suficientes para implementar medidas t\u00e9cnicas e organizacionais adequadas de tal maneira que o processamento atender\u00e1 os requisitos desta Regulamenta\u00e7\u00e3o e assegurar\u00e1 a prote\u00e7\u00e3o dos direitos das pessoas donas dos dados.\u201d*<\/em><\/p>\n Isto significa que se qualquer organiza\u00e7\u00e3o participante ou n\u00e3o da Uni\u00e3o Europeia quiser permanecer no neg\u00f3cio, como controller ou processor, ela ter\u00e1 que implementar os controles necess\u00e1rios para assegurar que est\u00e3o em conformidade com a EU GDPR, porque as multas podem ser aplicadas tanto a controllers quanto a processors. De acordo com o Artigo 83, multas ser\u00e3o impostas considerando \u201co grau de responsabilidade do controller ou processor levando em conta as medidas t\u00e9cnicas e organizacionais implementadas por eles.<\/em>\u201d*<\/p>\n A implementa\u00e7\u00e3o da ISO 27001<\/a> cobre muitos dos requisitos da EU GDPR; contudo, alguns controles deveriam ser adaptados para incluir dados pessoais dentro do Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o<\/a>. Leia o artigo A implementa\u00e7\u00e3o da ISO 27001 satisfaz os requisitos da EU GDPR?<\/a> Para saber mais.<\/p>\n Adicionalmente ao que \u00e9 planejado para a implementa\u00e7\u00e3o da ISO 27001, algumas medidas ter\u00e3o que ser inclu\u00eddas de forma a uma organiza\u00e7\u00e3o, controller ou processor (ambos precisam realizar estas atividades), assegurar a conformidade com a EU GDPR, tais como:<\/p>\n Todas estas medidas podem ser integradas no Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o, permitindo a garantia da conformidade legal e melhoria cont\u00ednua \u2013 ainda mais se o SGSI e a EU GDPR estiverem alinhadas.<\/p>\n As organiza\u00e7\u00f5es cobertas pela EU GDPR, sejam controllers ou processors, tem at\u00e9 maio de 2018 para implementar um conjunto de medidas que podem dar origem a uma mudan\u00e7a dr\u00e1stica em seus modos de opera\u00e7\u00e3o. N\u00e3o saber por onde come\u00e7ar pode tornar todo este processo muito complexo. A implementa\u00e7\u00e3o de um SGSI pode ser o suporte que a organiza\u00e7\u00e3o est\u00e1 precisando para estar em conformidade com a EU GDPR.<\/p>\n Leia este artigo gratuito: \u00a0<\/em>What is EU GDPR and how can ISO 27001 help?<\/a>\u00a0<\/em>Para saber mais sobre prote\u00e7\u00e3o da privacidade.<\/em><\/p>\n *: Tradu\u00e7\u00e3o livre<\/p>\nController vs. Processor<\/h2>\n
\n
Quais s\u00e3o as responsabilidades do controllers?<\/h2>\n
Quais s\u00e3o as responsabilidades dos processors?<\/h2>\n
A implementa\u00e7\u00e3o da ISO 27001 satisfaz os requisitos da EU GDPR?<\/h2>\n
\n