PDPP Slides Modulo1

EXIN PDPP - Privacy and Data Protection Practitioner
Módulo 1
Políticas de proteção de dados
Conteúdo Programático
1. Políticas de proteção de dados

1.1 O objetivo das políticas de proteção de dados e privacidade em uma organização
1.2 Proteção de Dados desde a concepção (by design) e por padrão (by default)
NOSSOS CURSOS
1. Políticas de
proteção de dados
1.1 Objetivo das políticas de proteção de dados e privacidade em uma
organização
De acordo com o Regulamento, é indicado a adoção de
várias práticas e documentos que qualquer organização
deve ser capaz de oferecer.

O controlador deve adotar políticas internas e aplicar
medidas que respeitem os princípios da proteção de dados.

Esses princípios são aqueles referentes à proteção desde a
concepção (by design) e por padrão (by default)

As políticas internas, as organizações devem declarar de
forma transparente e consistente, de que forma atende aos
requisitos do regulamento.
organização
Políticas e Conformidade
● O Controlador deve desenvolver uma política clara, explícita e

documentada sobre a proteção de dados pessoais, aderente à
conformidade da organização em compliance ao GDPR;
● Cabe ao DPO monitorar de perto a aderência e o cumprimento às políticas

como parte da garantia de conformidade da organização às leis e
regulamentações apropriadas;
● É de interesse de parceiros e clientes, que a organização tenha uma

política formal e aditável de privacidade e proteção de dados pessoais.
organização
De acordo com o Artigo 13 do GDPR, a política da organização deve incluir

algumas informações no início da coleta dos dados:

● Identidade e informações de contado do DPO e do Controlador;
● Se o Controlador pretende realizar transferência internacional de dados para

outro país ou empresa;
● Informações adicionais sobre como o processamento é transparente, justo e

necessário, como prazo de retenção dos dados e os direitos dos titulares dos
dados.
organização
Conteúdo das Políticas

As políticas devem conter:
● Objetivo: O que se pretende alcançar;
● Glossário: Principais definições dos termos da política;
● Escopo: Quais os tópicos cobertos pela política;
● Público alvo: A quem se destina a política;
● Aderência e compliance: Atendimento aos requisitos legais, regulatórios
e contratuais;
● Papeis e Responsabilidades: Definições de funções e suas
responsabilidades;
● Sanções: Consequências em eventual não cumprimento;
● Referências: Bases de pesquisa para elaboração da política;
● Aprovação e Revisão: Controles sobre a versão da política.
organização
Exemplos de Tópicos de Política de Proteção de Dados:
● Propósito
● Compromisso
● Oportunidade de recusa
● Coleta e uso de informações pessoais
● Verificação de referências de crédito
● Divulgação da informação
● Proteção da informação
● Acesso à Internet
● Monitoração das comunicações
● Solicitação de acesso do titular dos dados
● Violações de proteção de dados
● Contato
organização
Política da Segurança da Informação
Seguindo Normas ISO/27000, a organização deve possuir uma Política de
Segurança da Informação, podendo ser um único documento, ou aparecer na forma
de um conjunto de políticas de segurança, que podem versar sobre, por exemplo:

● Controle de acesso
● Classificação da informação
● Backup
● Transferência de informação
● Antivírus e malware
● Gerenciamento de vulnerabilidade
● Criptografia
● Comunicações
● Relações com fornecedores
organização
Também é sugerido que uma boa política contenha:
● O motivo da necessidade da política;

● Descrição do escopo, ou o que é coberto pela política;
● Definição de contatos e responsabilidades;
● Explicar como as violações serão tratadas e por quem.
Uma boa política reflete os objetivos da organização e, ao mesmo tempo,

direciona as ações
organização
Efetividade da Política

● Para que uma política realmente funcione, é necessário que ela seja
suportada por processos e procedimentos aderentes aos parâmetros
definidos dentro da própria política;
● Os processos e procedimentos devem ser criados com a visão de

produzir evidência de que foram implementados de forma correta;
● Modelos e templates podem ser práticos como ponto de partida para o

desenvolvimento da documentação de conformidade ao GDPR da forma
mais apropriada.
1.2 Proteção de dados desde a concepção (by design) e por padrão (by
default)
Privacy by design:
● Proteção da privacidade desde a concepção.
● É implementar medidas técnicas e de governança no início do

desenvolvimento de qualquer projeto, ocorrendo de forma
natural essa situação.
Ex: Implementação de medidas desde a aprovação para o

desenvolvimento de uma nova plataforma de controle de dados
para a fidelização de cliente.
default)
Privacy by default:
É adotar, por padrão, a configuração mais restritiva possível quando da coleta

de dados pessoais, com o objetivo de assegurar a proteção de dados pessoais.
● É quando o responsável pelo tratamento implementa medidas técnicas e

organizacionais apropriadas para garantir que, por padrão (by default)
apenas os dados pessoais necessários para cada finalidade específica do
tratamento sejam processados.
Ex: Preenchimento de poucos dados no formulário de check-in no hotel

default)
Aplicação da Proteção de Dados desde a concepção (by design)

Quando adotado a proteção de dados by design nas suas atividades de
processamento e práticas de trabalho, podemos afirmar:

● Desenvolver novos sistemas de TI, serviços, produtos e processos
que envolvem dados pessoais
● Desenvolver políticas e processos organizacionais, e práticas de
negócio ou estratégias que possuem implicações de privacidade
● Executar projetos físicos
● Se envolver em iniciativas de compartilhamento de dados
● Utilizar dados pessoais para novos propósitos.
default)
Aplicação da Proteção de Dados por padrão (by default)
Analisando as circunstâncias de seu processamento e dos riscos aos titulares de

dados, deve ser considerado:
● Priorizar a abordagem de privacidade em quaisquer configurações de sistemas e

aplicativos;
● Agir de forma com que os titulares não sejam enganados em relação aos dados que
serão processados;
● Processar dados adicionais, somente com autorização dos titulares;
● Dados pessoais não sejam automaticamente disponibilizados publicamente a terceiros;
● Fornecer aos titulares controles e opções suficientes para exercer seus direitos.
default)
Responsáveis pela proteção de dados by design e by default
Conforme o Artigo 25 do GDPR, é de responsabilidade do controlador a

conformidade com a proteção de dados desde a concepção e por padrão.
Alta gestão atuando no desenvolvimento de uma cultura de “consciência de

privacidade”.
Todos os envolvidos no projeto, seja de sistemas, produtos ou serviços devem levar

em conta os requisitos de proteção de dados.
Para práticas comerciais e do negócio: é necessário garantir que seja incorporado a

proteção de dados desde a concepção em todos os seus processos e procedimentos
internos.
default)
Proteção de dados pessoais by design e by default na prática

A privacidade por design avança a visão de que a privacidade não
pode ser garantida através de marcos regulatórios :

● Minimizar o processamento dos dados pessoais
● “Pseudonimização” de dados pessoais assim que possível
● Garantir a transparência com relação aos papéis e
processamento de dados pessoais
● Permitir que os indivíduos monitorem o processamento
● Criação e aperfeiçoamento de recursos da segurança
default)
Os 7 princípios
1. Proativo não reativo; preventivo não corretivo
2. Privacidade como configuração padrão
3. Privacidade incorporada ao design
4. Funcionalidade total - soma positiva, não soma zero
5. Segurança de ponta a ponta - proteção completa do ciclo de vida
6. Visibilidade e transparência - mantê-lo aberto
7. Respeito pela privacidade do usuário - mantê-lo centrado no usuário

default)
Benefícios da aplicação dos princípios de proteção de dados pessoais by

design e by default:

● Problemas potenciais são identificados em um estágio inicial, quando geralmente abordá-los
será mais simples e menos dispendioso
● Maior conscientização de privacidade e proteção de dados pessoais em toda a organização
● As organizações são mais propensas a cumprir suas obrigações legais e com isso tornam-se
menos propensas a violar o GDPR
● É menos provável que as ações sejam intrusivas para a privacidade e tenham um impacto
negativo nos indivíduos
default)
Dica para assistir:
https://www.youtube.com/watch?v=v2s7_hFmZN0&t=1536s
EXIN PDPP - Privacy and Data Protection
Practitioner
Fim do módulo: Políticas de proteção de
dados
Próximo Módulo: Gerenciando e
organizando a proteção de dados I

PDPP Slides Modulo1

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

PDPP Slides Modulo1

Caricato da

Copyright:

Formati disponibili

EXIN PDPP - Privacy and Data Protection Practitioner

1. Políticas de proteção de dados

● O Controlador deve desenvolver uma política clara, explícita e

● Cabe ao DPO monitorar de perto a aderência e o cumprimento às políticas

● É de interesse de parceiros e clientes, que a organização tenha uma

De acordo com o Artigo 13 do GDPR, a política da organização deve incluir

● Se o Controlador pretende realizar transferência internacional de dados para

● Informações adicionais sobre como o processamento é transparente, justo e

Conteúdo das Políticas

Também é sugerido que uma boa política contenha:

● O motivo da necessidade da política;

Uma boa política reflete os objetivos da organização e, ao mesmo tempo,

● Os processos e procedimentos devem ser criados com a visão de

● Modelos e templates podem ser práticos como ponto de partida para o

● Proteção da privacidade desde a concepção.

● É implementar medidas técnicas e de governança no início do

Ex: Implementação de medidas desde a aprovação para o

É adotar, por padrão, a configuração mais restritiva possível quando da coleta

● É quando o responsável pelo tratamento implementa medidas técnicas e

Ex: Preenchimento de poucos dados no formulário de check-in no hotel

Aplicação da Proteção de Dados desde a concepção (by design)

Aplicação da Proteção de Dados por padrão (by default)

Analisando as circunstâncias de seu processamento e dos riscos aos titulares de

● Priorizar a abordagem de privacidade em quaisquer configurações de sistemas e

Responsáveis pela proteção de dados by design e by default

Conforme o Artigo 25 do GDPR, é de responsabilidade do controlador a

Alta gestão atuando no desenvolvimento de uma cultura de “consciência de

Todos os envolvidos no projeto, seja de sistemas, produtos ou serviços devem levar

Para práticas comerciais e do negócio: é necessário garantir que seja incorporado a

1. Proativo não reativo; preventivo não corretivo

2. Privacidade como configuração padrão

3. Privacidade incorporada ao design

4. Funcionalidade total - soma positiva, não soma zero

5. Segurança de ponta a ponta - proteção completa do ciclo de vida

6. Visibilidade e transparência - mantê-lo aberto

7. Respeito pela privacidade do usuário - mantê-lo centrado no usuário

Benefícios da aplicação dos princípios de proteção de dados pessoais by

● Maior conscientização de privacidade e proteção de dados pessoais em toda a organização

Dica para assistir:

Potrebbero piacerti anche