Inicial > Não categorizado > GDPR–Fundamentos que o ITPro precisa saber

GDPR–Fundamentos que o ITPro precisa saber

Saudações,

Desde 25 de maio deste ano está em vigor a norma GDPR (General Data Protection Regulation), visando melhor proteção de dados pessoais para União Européia. Neste post vamos descrever alguns fundamentos, os principais artigos e como os principais players de mercado estão agindo em relação a isso.

Pra quem segue minha fan page (https://facebook.com/usouzajr), estou postando diversos videos da equipe do Microsoft Mechanics, sobre como integrar Office 365 e demais ferramentas Microsoft (Azure) à norma.

Mas, se a norma é para União Européia, porque eu, que estou aqui no Brasil ou continente americano como um todo precisaria saber disso? Vejo dois fortes motivo para que você aprenda sobre GDPR:

1. A norma engloba qualquer empresa que, mesmo em outros continentes, tenham acordos, contratos ou qualquer tipo de envolvimento com empresas européias que envolvam o armazenamento de dados pessoais de cidadãos europeus. Se você é consultor e vai prestar algum serviço para uma empresa européia que contemple manuseamento de dados pessoais, ou se sua empresa, mesmo fora da Europa armazena dados de cidadãos europeus… ou seja, podemos concluir que norma não é uma exclusividade para europeus ou emperesas européias.

2. Como todas as outras normas que conhecemos (ISO, PCI, entre outtras), muitas começaram em um mercado restrito e hoje são padrões para o mundo todo, além do que, conversando com algumas autoridades em compliance, eles têm a certeza de que a norma GDPR vai se expandir em caráter mundial muito em breve.

Bom, então vamos falar de GDPR:

GDPR

No que se baseia:

Personal Data (Dados Pessoais) – Tudo o que identifica alguém (RG, CPF, Social Security # pra quem é de US, informações médicas, etc).

Sensitive Data (Dados Sensíveis) – Uma categoria que, dentro do GDPR requer uma proteção mais forte. Trata-se de dados genéricos, biometria e qualquer tipo de dados que revele informações sobre regligião, raça ou origem étnica.

Data Privacy (Privacidade de dados) – A relação de coleta e disseminação de dados, tecnologia, expectativas públicas de privacidade e os aspectos legais e políticos ao redor do tema.

Consent (Consentimento) – Quando da concordância da pessoa em questão, informações específicas sobre ela são livremente divulgadas.

Processing (Processamento) – Qualquer operação executada com dados pessoais em que envolva coleta, armazenamento, alteração, recuperação, deleção ou destruição de dados.

Origens:

O GDPR foi criado e é mantido pela União Européia em 2018, sendo a evolução de outra norma criada em 1995 – o DPD (Data Protection Directive 95/46/EC).

O DPD não contempla manipulações de dados que podem ocorrer em infras de Cloud Computing, IOT (Internet of Things) e big data, sendo que o GDPR se torna uma resposta rápida a estas tecnologias.

A norma é resultado de um trabalho de 4 anos do Parlamento da União Européia para criação de uma norma que atenda de forma eficaz a demanda por segurança para o processamento de dados pessoais.

A União Européia contabilizou em suas pesquisas mais de 1.000 brechas encontradas em armazenamentos de dados de seus cidadãos em 2016, num total de 36.6 milhões de registros vazados. Já em 2017 esse número subiu para 1.222 brechas com vazamento de mais de  172 milhões de registros – um aumento absurdo não?

Algumas normas que transitaram pela europa desde 1995 – ano de criação do DPD:

– Safe Harbor Privacy Principle – ano 2000 – Norma extinta

– Privacy Shield – Norma criada em 2016

O GDPR vem contemplando todas as anteriores de forma mais completa

Benefícios:

– Controle: Dá à pessoa mais controle sobre como seus dados pessoais são usados, podendo revogar esta divulgação a qualquer momento.

– Confiança – Controles mais rígidos para aumentar a confiança na economia digital.

– Simplicidade – Dá ao negócio uma visão jurídica mais clara para bom seguimento das operações.

Escopo:

Envolve todos os setores que fazem negócios com empresas européias – seja Europa ou não. Como falei acima, se eu, como empresa, vou atuar em corporações européias em projetos qu envolvam manipulação de dados, também terei que me adequar à norma.

Outro caso é… empresas fora da União Européia que armazena dados de cidadãos europeus – também entram na norma.

Composição:

A norma GDPR possui 11 capítulos com 99 artigos em cada capítulo. Todo o conteúdo pode ser lido no site da norma – https://gdpr-info.eu/

image

No link acima também é possível fazer o download do arquivo PDF com todos os artigos da norma nos seus 11 capítulos.

Fluxo de ação da norma:

O fluxo da GDPR tem dois atores importantes:

Data Controller – Autoridade que define por si ou em grupos os propósitos e significados para o processamento de dados pessoais. Deve assegurar a conformidade da norma, informar detalhs dos dados, exigir medidas ténicas e acordos firmados com processos.

Data Processor – Autoridade que processa dados pessoais em nome do data controller – geralmente uma empresa que presta serviços para outra que atua como data controller. Exemplo: Uma empresa seguradora que armazena seu banco de dados de clientes em um Azure SQL. Neste caso a seguradora seria o Data Controller e a Microsoft o Data Processor.

O Data Processor tem por tarefa:

. Gravar o processamento das operações

. Implementar medidas de segurança

. Informar brechas – qualquer uma que for encontrada – desde a maior até a menor

. Definir um DPO (Data Protection Officer)  – Figura de liderança na segurança corporativa do Data Processor e função obrigatória para empresas que seguem a GDPR.

Abaixo uma tabela comparativa das tarefas do Data Controller e do Data Processor:

image

Ainda sobre a figura do DPO:

. Necessita ser um profissional independente, ou seja, sem conflito de interesses

. Deve exercer a função para um determinado Data Processor por um mínimo de 2 anos e deverá ficar no máximo 4 anos.

. Não poderá deixar o cargo sem estar religiosamente em dia com as obrigações da norma, salvo por justificativa apreciada e aprovada pelo alto comando.

Tem como tarefas:

. Informar a situação da empresa em relação a norma

. Aconselhar melhores práticas

. Registrar todas as operações garantindo o cumprimento da norma

. Estar sempre em conformidade

. Ser o ponto de contato para qualquer dúvida do process

. Cooperar com a União Européia e demais agências governamentais

Para que o Data Processor e o DPO possam exercer todas as funções citadas, existem uma série de responsabilidades que o Data Controller deverá preencher:

. Implementar medidas técnicas/organizacionais e demonstrar que está fazendo tudo da forma correta – documentar todo o processo

. Considerar a natureza, escopo, contexto e propósito da corporação

. Considerar a probabilidade e a gravidade dos riscos para os direitos das pessoas e impactos provenientes de um vazamento de dados.

. Definir e implementar a política de proteção de dados

. Definir e implementar um código de conduta demonstrando conformidade com as obrigações da norma

Multa para não conformidades:

Tenho visto alguns artigos sobre o tema em que a questão da multa para não conformidades é tratada de forma um pouco rasa, então quero aqui colocar mais detalhes sobre a multa.

Empresas que não estiverem em conformidade com os artigos 8, 15, 25 a 39, 41, 42 e 43, estão sujeitas a multa que varia de 10 milhões de Euros a 2% da receita anual.

Empresas que não estiverem em conformidade com os artigos 5, 6, 7 a 9, 12 a 22, 44 a 49, Capítulo IX e 58, estão sujeitas a multa de 20 milhões de Euros a 4% da receita anual.

Principais artigos:

Artigo 16 – dos direitos de correção – para qualquer dado cadastrado de forma errada ou imcompleta. A correção destes dados é de responsabilidade do Data Controller com tempo de resposta no mínimo de 1 mês e no máximo 2 meses – dependendo do caso.

Artigo 17 – do direito de ser esquecido. Quando da solicitação de deleção de dados de uma determinada base. De responsabilidade do Data Controller que deverá proceder a deleção de dados por solicitação do dono dos mesmos ou quando sua existência não se justifica. A deleção de dados se fundamenta no propósito, consentimento, objeção, legalidade e conformidade.

Artigo 21 – Direito do objeto – quando a legalidade do dado é de interesse público ou de interesse legítimo. O Data Controller deverá cessar o processamento com apenas duas exceções; Sob Requerimento ou sob motivos justificados.

Artigo 8 – Requerimentos especiais. Aplicado a menores de 16 anos. Neste caso, dados de menores precisam do consentimento parental.

Artigo 20 – Direito de portabilidade – quando o dono do dado requer a transferência de seus dados de um data controller para outro. Nestes casos o processo tem prazo máximo de 30 dias para ser concluído.

Artigo 33 – Tempo de notificação – em caso de riscos a direitos e liberalidades do dono do dado, uma notificação deverá ser feita a autoridade supervisora. Começa com notificações internas (Time de Segurança da Informação, Tecnologia da informação, Jurídico, áreas de suporte, direção), em seguida para partes externas (orgãos de aplicação de leis, seguradoras, perícias e relações públicas). A autoridade supervisora deverá ser informada do risco pelo data controller em até 72 após descoberta de determinada brecha de dados. Esta informação deverá conter a natureza da brecha, contato do DPO, prováveis consequências, mitigação proposta e plano de ação que poderá ser executado em fases distintas.

Artigo 83 – Também focado em medidas de notificação em caso de uma brecha de dados pessoais. Neste caso para exposição acidental ou deliberada sob risco de perda, destruição, alteração, divulgação sem autorização e acesso a dados pessoais transmitidos, armazenados ou de alguma forma processados. De igual forma ao artigo 33, o data controller tem que notificar a autoridade supervisora em até 72 após descoberta do fato, exceto se uma determinada brecha não causa risco. Caso o prazo de 72 horas seja excedido, cabe à autoridade supervisora elaborar a justificativa ao data subjetc (dono do dado). A informação deverá conter a natureza da brecha (numero de pessoas e registros), contato do DPO, consequência provável, mitigação proposta e plano de ação que poderá ser executado em fases distintas.

Medidas Tecnicas:

O artigo 32 da GDPR (dos quais resulta multa o não cumprimento), trata das medidas técnicas a serem adotadas. Estão divididas em 4 fase:

1. Criptografar dados e torna-los anônimos

2. Classificar os dados quanto a confidencialidade, integridade e diponibilidade, resiliência no processamento de sistemas e serviços, alinhados com as normas da CIS Controls.

3. Controle crítico de segurança:

. Inventários – hardware, software, etc

. Configuração segura de equipamentos

. Análise de vulnerabilidades

. Controle de privilégios administrativos

. Implementação de ferramentas de anti-virus e anti-malware

. Controle e segurança de rede – perímetro, etc.

. Pentest – Teste de penetração de forma regular

. Data Protection

. Monitoramento

. Treinamento

4. Backup / Restore – Definição de política e testes contínuos de restore

Demais controles:

A GDPR também requer a adoção de um Run Book (Diário de bordo de operações e processos). Neste diário de bordo devemos ter as seguintes informações:

. Informações do sistema

. Segurança e controle de acesso

. Configuração do sistema

. Monitoração e alertas

. Tarefas operacionais

. Tarefas de manutenção

. Procedimento de recuperação de falhlas

. Contatos

Como os principais players de mercado estão agindo na GDPR:

Veja abaixo alguns links para as principais novidades oferecidas por Microsoft e AWS no que tange a norma:

Microsoft se torna o primeiro provedor de cloud a oferecer comprometimento total com obrigações da GDPR

Cópia de dados pessoais dentro da norma GDRP para clientes do Office 365

GDPR for Office On-premisses servers

Adequando Azure Active Directory ao artigo 17 – Direito de ser esquecido

Conferindo se sua infra estrutura na AWS está em conformidade com a norma GDPR

Como a GDPR afeta usuários da AWS

AWS e a norma GDPR

Anúncio da AWS sobre a conformidade de seus serviços em 100% em relação à GDPR

Abaixo você tem um resumo da norma em uma forma mais visual:

GDPR_2

Neste post mostrei um resumo da norma GDPR para ITPros com os principais artigos e como Microsoft e AWS (principais players de mercado em cloud) se ajustaram à ela.

Para quem quiser mais detalhes, o meu amigo, Prof. Eduardo Popovic gravou um video detalhando a norma GDPR e PCI com base neste artigo. No link abaixo você assiste à apresentação dele que ficou sensacional:

https://youtu.be/6CEMuKU2Zp4

Espero que possa ser útil e não se esqueça, estamos prestes a ter aprovada pelo governo brasileiro a lei de proteção de dados pessoais, ou seja, com este conhecimento você se adianta e, como disse no começo deste post, existe grande possibilidade da GDPR se expandir além do território da comunidade européia.

Abraços

Uilson

Anúncios
Categorias:Não categorizado
  1. 20 de junho de 2018 às 11:54

    Republicou isso em Ana Paula de Almeida – Blog.

  1. No trackbacks yet.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

%d blogueiros gostam disto: