2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA IIA PORTUGAL - IPAI 25 ANOS A PARTILHAR CONHECIMENTO

1. 0
Privacidade de dados
26 de Janeiro de 2017

2. 1
02 03
Será a proteção da privacidade um afterthought?
INTRODUÇÃO
Enquanto pessoas, organizações e governos exploram oportunidades
digitais, alguém tem que ser responsável pela monitorização e pela gestão
dos riscos de privacidade
1EY’s Global Information Security Survey (GISS) 2015, www.ey.com/giss
dos inquiridos no Global Information
Survey (GISS) 20151 da EY indicam que
a sua organização não tem requisitos
formalizados para utilizar Big Data
não têm procedimentos
formalizados para tratar de
preocupações de privacidade
relacionadas com as redes sociais
afirmam não ter ordens para
minimizar a recolha de informação
pessoal, ou apenas o fazem em
circunstâncias especiais
Como é que as pessoas e as organizações
podem garantir que os fornecedores de
serviços de cloud são de confiança?
01
Quem está, por exemplo, a monitorizar e a
proteger todos os dados associados a
estas tecnologias “inteligentes”?
Quem está a garantir que todos os dados
pessoais recolhidos (Big Data) são
mantidos seguros e não colocam em
causa a privacidade da pessoa?
54% 37% 61%
Mundo Digital Big Data
Necessidade de Informação
vs. Excesso de Informação

3. 2
INTRODUÇÃO
Dada a velocidade da mudança, os reguladores e as pessoas estão a
exigir que as organizações assumam esta responsabilidade
Quase todos os europeus são a favor da igualdade de direitos de proteção em toda a UE (89%)
Dois terços dos europeus pensam que empresas online devem ser responsáveis pela proteção dos seus dados pessoais (67%)
Mais de quatro em cada dez europeus defendem que as regras de proteção de dados deve ser tratada a nível da UE (45%)
Oito em cada dez europeus sentem que não têm controlo total sobre os seus dados pessoais (81%)
Special Eurobarometer 431, Data Protection – June 2015, http://ec.europa.eu/public_opinion/archives/ebs/ebs_431_en.pdf
Durante anos, as empresas trabalharam para cumprir
as obrigações mínimas de conformidade sem assumir
adequadamente o seu papel na proteção da informação
dos seus clientes ou colaboradores
O GDPR da UE coloca a responsabilidade da proteção da
privacidade onde devia estar – nas mãos das entidades que
recolhem, armazenam e analisam informações de carácter
pessoal – criando confiança
PASSADO FUTURO

4. 3
O GPDR
Os residentes da
UE vão ter mais
controlo sobre os
seus dados
pessoais
Todos vão ter de
seguir as mesmas
regras
As organizações vão
ter de reportar a
uma autoridade de
supervisão
Mais organizações
vão precisar de um
Data Protection
Officer (DPO)
As regras defendem
uma abordagem
baseada no risco
PbD torna-se uma
exigência
As organizações têm
72 horas para
denunciar uma
violação
As multas por
violação vão ser
substancialmente
mais altas
A segurança está
ligada ao risco
A definição de
“consentimento” foi
significativamente
restringida
As transferências
transfronteiriças
são permitidas,
sob certas
condições
As organizações
precisam de definir
regras transparentes
GPDR Principais Destaques
O GDPR é uma lei de proteção de dados que substitui, em última
instância, a Diretiva 95/46/CE relativa à proteção de dados

5. 4
O GPDR
O que precisa de ser feito para responder aos requisitos GPDR e estar
preparado para 2018?
Explorando

6. 5
O GPDR
Cada empresa deve colocar estas perguntas a si mesma:
A criação de programas de privacidade de dados adequados ao negócio e
que cumpram os requisitos GPDR é vital para as empresas
Explorando
• É um processador de dados ou um controlador de dados que processa dados
pessoais dentro da UE ou processa dados pessoais de cidadãos da UE?
Âmbito
• Realiza a monitorização sistemática em grande escala (incluindo dados de
funcionários) ou processa grandes quantidades de dados pessoais confidenciais?
DPO
• Tem um programa de proteção de dados e é capaz de fornecer provas de como a
sua organização cumpre os requisitos GDPR da UE?
Responsabilidade
• Caso existisse uma violação de dados, conseguiria notificar uma autoridade de
supervisão de proteção de dados dentro de 72 horas?
Notificação da
Violação
• Cria requisitos de proteção de dados e privacidade no desenvolvimento dos seus
processos de negócio?
PbD
• Sabe como irá cumprir os novos direitos: o “direito a ser esquecido”, “o direito à
portabilidade dos dados” e o “direito de se opor ao perfil”?
Novos Direitos
• Os seus termos de proteção de dados estão em conformidade com os novos
requisitos de consentimento (não ambíguo) e aviso (interesse legítimo)?
Consentimento e
Notificação
As respostas que fornecer vão ter
impacto nas medidas necessárias
para estabelecer um programa de
privacidade de dados que esteja
em conformidade com os múltiplos
requisitos GPDR

7. 6
O GPDR
Um exemplo:
FASE 1
Clarificar o processamento de
dados
Identificar dados pessoais,
localizá-los na organização, a
sua origem e o seu destino,
assim como o grau de proteção
dos mesmo
FASE 2
Analisar a relevância dos
novos requisitos
Compreender as lacunas de
conformidade existentes e
avaliar riscos, nos sistemas e
processos, associados aos
dados pessoais
FASE 3
Desenvolver planos de
remediação
Definir planos de ajuste para a
gestão da proteção de dados
FASE 4
Executar os planos de
remediação
Implementar políticas,
processos e controlos de gestão
de proteção de dados
Explorando
Neste contexto, as organizações vão precisar de perceber a sua posição de compliance atual
A criação de programas de privacidade de dados adequados ao negócio e
que cumpram os requisitos GPDR é vital para as empresas

8. 7
O GPDR
Governance
 Nomeação do Data
Privacy Officer (DPO)
 Definição da visão,
missão e estratégia de
privacidade de dados
como base para a
estrutura de governo
Integração de regras e processos de privacidade de dados na segurança da informação
 Integrar o risco de privacidade de dados em avaliações de risco de segurança
 Integrar a privacidade dos dados nas políticas de segurança de informação
 Manter medidas para encriptar dados pessoais
 Manter procedimentos para restringir o acesso a informações pessoais
 Integrar a privacidade de dados em planos de continuidade de negócios
 Manter uma estratégia de prevenção de dados
IIlustrativo
Não exaustivo
Explorando
 Identificação dos
processos e sistemas
de negócios
abrangidos
 Realização de um
Inventário de Dados
Pessoais e de um Privacy
Impact Assessment (PIA)
Privacy Risk
Assessment
 Revisão e/ou
definição das normas
de privacidade de
dados
 Alinhamento da
normativa de
privacidade de dados
com a normativa
existente para tópicos
relacionados
Policy Framework
 Desenvolvimento e
formalização de
processos e
procedimentos para:
1. Pedidos e
reclamações
2. Contratos com
terceiros (BCR)
3. Relatórios de
violação
4. Integração do PbD
no core business
Processes
 Definição dos
objetivos e atividades
de gestão de
mudanças para a
privacidade de dados
 Desenvolvimento de
materiais de formação,
sensibilização e
comunicação da
execução do plano
Training, Awareness
& Communication
 Definição de um
framework de
proteção de dados
com o registo de
todos os processos
e controlos de
privacidade
 Desenvolvimento de
KPIs e dashboards
Control Plan
Quais são os tópicos principais a ter em conta?
A criação de programas de privacidade de dados adequados ao negócio e
que cumpram os requisitos GPDR é vital para as empresas

9. 8
O GPDR
Em última análise, o GDPR trará benefícios que transcendem em muito o
aspeto regulamentar!
Explorando
Simplificação da expansão
das empresas, devido à redução
dos obstáculos ao comércio
transfronteiriço
Impulso à inovação, pois o PbD
vai exigir novas ideias de negócio e
métodos para garantir a proteção de
dados
Diminuição dos custos, devido à
homogeneidade jurídica em 28 países,
reduzindo a necessidade de aconselhamento
jurídico
Concorrência
transparente, devido à
portabilidade dos dados entre
prestadores de serviços
Maior satisfação do
cliente, devido a regras
transparentes e maior controlo sobre
dados pessoais
Quais os benefícios esperados para as empresas?

10. 9Direcção de Desenvolvimento Organizacional17Dez15-DigitalDoc-DDO
Obrigado.