Mudanças entre as edições de "LGPD 2021 Mod3"
Linha 35: | Linha 35: | ||
Um dos atributos mais importantes da privacidade e do tratamento de dados pessoais é o alinhamento, pelos agentes de tratamento, com os domínios da (I) Segurança da Informação, (II) das Boas Práticas e (III) da Governança de Privacidade. | Um dos atributos mais importantes da privacidade e do tratamento de dados pessoais é o alinhamento, pelos agentes de tratamento, com os domínios da (I) Segurança da Informação, (II) das Boas Práticas e (III) da Governança de Privacidade. | ||
+ | |||
+ | ;Segurança da Informação | ||
Segurança da Informação é o conjunto de domínios e conhecimentos relacionados à informação e à preservação dos atributos de confidencialidade, disponibilidade, integridade e autoria (ou não repúdio). | Segurança da Informação é o conjunto de domínios e conhecimentos relacionados à informação e à preservação dos atributos de confidencialidade, disponibilidade, integridade e autoria (ou não repúdio). | ||
Linha 42: | Linha 44: | ||
Uma informação guardada a sete chaves em um baú de aço no fundo do mar abissal pode até parecer segura, mas não constitui “informação” em si mesma! | Uma informação guardada a sete chaves em um baú de aço no fundo do mar abissal pode até parecer segura, mas não constitui “informação” em si mesma! | ||
− | Informação também está relacionada com o controle adequado dos atributos já citados, representados a seguir: | + | Informação também está relacionada com o controle adequado dos atributos já citados, representados a seguir: |
− | + | ||
− | Limitar o acesso tão somente às entidades legítimas, ou seja, àquelas autorizadas. Sendo assim, o acesso a dados pessoais por entidades ou pessoas não autorizadas configura-se como violação de segurança desses dados, além de incidente de segurança. | + | ;Confidencialidade: Limitar o acesso tão somente às entidades legítimas, ou seja, àquelas autorizadas. Sendo assim, o acesso a dados pessoais por entidades ou pessoas não autorizadas configura-se como violação de segurança desses dados, além de incidente de segurança. |
− | + | ||
− | Estar pronta para o uso na medida das necessidades. | + | ;Disponibilidade: Estar pronta para o uso na medida das necessidades. |
− | + | ||
− | Certeza de que não foi adulterada, por exemplo. | + | ;Integridade: Certeza de que não foi adulterada, por exemplo. |
− | + | ||
− | Certeza de que não foi produzida por outrem e certeza de que foi produzida por seu verdadeiro autor. | + | ;Autoria: Certeza de que não foi produzida por outrem e certeza de que foi produzida por seu verdadeiro autor. |
Edição das 10h52min de 25 de janeiro de 2022
Privacidade dos dados
Todos os Agentes de Tratamento, ao lidar com dados pessoais, devem garantir sempre que possível e nas situações previstas na Lei, a segurança e privacidade dos dados.
No caso de organização de serviços e sistemas para tratamento de dados, é importante considerar os parâmetros apresentados a seguir.
- Privacy by Design
O princípio Privacy by Design representa o emprego de mecanismos e soluções de privacidade durante todo o ciclo de vida do desenvolvimento do sistema ou da organização dos serviços em que os dados serão tratados. Nessa perspectiva, a privacidade é incorporada à própria arquitetura dos sistemas e processos desenvolvidos, de modo a garantir, pela infraestrutura do serviço prestado, condições para que o usuário seja capaz de preservar e gerenciar sua privacidade e a coleta e tratamento de seus dados pessoais.
- Privacy by Default
O princípio Privacy by Default representa a obrigatoriedade de que todas essas ferramentas estejam acionadas como padrão e que as medidas destinadas a garantir privacidade ao Titular não contradigam a lógica desse padrão. Em última análise, significa dizer que o serviço será organizado de forma tal que não haja a prevalência dos interesses dos Agentes de Tratamento sobre os interesses do Titular dos dados tratados.
Significa estabelecer como configuração padrão a maior privacidade possível ao Titular dos dados, além de garantir que, na dúvida entre duas situações ambíguas, prevaleça aquela que melhor atenda aos seus interesses.
- Importante
Os Agentes de Tratamento devem, portanto, desde a concepção do produto ou do serviço, até a sua execução, adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (Art. 46, §2º).
Ouça o Episódio 7 do Podcast LGPD Serpro!
Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre o equilíbrio entre a necessidade de lidar com os dados pessoais e a privacidade e segurança dos dados.
Segurança da informação
Um dos atributos mais importantes da privacidade e do tratamento de dados pessoais é o alinhamento, pelos agentes de tratamento, com os domínios da (I) Segurança da Informação, (II) das Boas Práticas e (III) da Governança de Privacidade.
- Segurança da Informação
Segurança da Informação é o conjunto de domínios e conhecimentos relacionados à informação e à preservação dos atributos de confidencialidade, disponibilidade, integridade e autoria (ou não repúdio).
Muita gente pensa que segurança da informação se relaciona apenas com a confidencialidade. Mas toda organização depende de informação e da troca dessa informação com o mundo externo em um determinado nível de equilíbrio!
Uma informação guardada a sete chaves em um baú de aço no fundo do mar abissal pode até parecer segura, mas não constitui “informação” em si mesma!
Informação também está relacionada com o controle adequado dos atributos já citados, representados a seguir:
- Confidencialidade
- Limitar o acesso tão somente às entidades legítimas, ou seja, àquelas autorizadas. Sendo assim, o acesso a dados pessoais por entidades ou pessoas não autorizadas configura-se como violação de segurança desses dados, além de incidente de segurança.
- Disponibilidade
- Estar pronta para o uso na medida das necessidades.
- Integridade
- Certeza de que não foi adulterada, por exemplo.
- Autoria
- Certeza de que não foi produzida por outrem e certeza de que foi produzida por seu verdadeiro autor.
Devido à evolução do Comércio Eletrônico e da Sociedade da Informação, além de meios de tratamento de dados e informações, outros controles “estendidos” de adequação surgiram, como:
Irretratabilidade ou não repúdio - impossibilidade de se negar autoria (provar) sobre a execução de transação; Privacidade - manter anônimo o usuário; Legalidade - esteja aderente à legislação pertinente; Auditoria - capacidade de auditar tudo o que foi realizado pelos usuários; Autenticação - processo de identificação e reconhecimento, ou seja, é de fato quem alega ser; Autenticidade - garantia de que a informação é proveniente da fonte anunciada (origem) e que não foi alvo de mutações ao longo de um processo; Autorização ou consentimento - concessão livre, informada e inequívoca pelo titular para acesso de pessoas ou entidades autorizadas e capacitadas para o uso adequado e tratamento de seus dados pessoais, para uma ou mais finalidades determinadas.
Os domínios de segurança da informação diferem entre os modelos e frameworks disponíveis, mas de modo geral estão relacionados às seguintes rubricas:
Governança de Segurança da Informação Segurança de Ativos (incluindo “classificação”) Gestão, Risco e Conformidade de SI Gestão de Continuidade do Negócio Segurança de Comunicação e Infraestrutura de Rede (incluindo controle de acesso e gestão de identidade) Operações de segurança (incluindo tratamento de incidentes, recuperação de desastres, forense computacional) Segurança de Dados (incluindo Criptografia) e Desenvolvimento Seguro.