Mudanças entre as edições de "LGPD 2021 Mod3"
| Linha 57: | Linha 57: | ||
Devido à evolução do Comércio Eletrônico e da Sociedade da Informação, além de meios de tratamento de dados e informações, outros controles “estendidos” de adequação surgiram, como: | Devido à evolução do Comércio Eletrônico e da Sociedade da Informação, além de meios de tratamento de dados e informações, outros controles “estendidos” de adequação surgiram, como: | ||
| − | + | * Irretratabilidade ou não repúdio - impossibilidade de se negar autoria (provar) sobre a execução de transação; | |
| − | + | * Privacidade - manter anônimo o usuário; | |
| − | + | * Legalidade - esteja aderente à legislação pertinente; | |
| − | + | * Auditoria - capacidade de auditar tudo o que foi realizado pelos usuários; | |
| − | + | * Autenticação - processo de identificação e reconhecimento, ou seja, é de fato quem alega ser; | |
| − | + | * Autenticidade - garantia de que a informação é proveniente da fonte anunciada (origem) e que não foi alvo de mutações ao longo de um processo; | |
| − | + | * Autorização ou consentimento - concessão livre, informada e inequívoca pelo titular para acesso de pessoas ou entidades autorizadas e capacitadas para o uso adequado e tratamento de seus dados pessoais, para uma ou mais finalidades determinadas. | |
Os domínios de segurança da informação diferem entre os modelos e frameworks disponíveis, mas de modo geral estão relacionados às seguintes rubricas: | Os domínios de segurança da informação diferem entre os modelos e frameworks disponíveis, mas de modo geral estão relacionados às seguintes rubricas: | ||
| − | + | # Governança de Segurança da Informação | |
| − | + | # Segurança de Ativos (incluindo “classificação”) | |
| − | + | # Gestão, Risco e Conformidade de SI | |
| − | + | # Gestão de Continuidade do Negócio | |
| − | + | # Segurança de Comunicação e Infraestrutura de Rede (incluindo controle de acesso e gestão de identidade) | |
| − | + | # Operações de segurança (incluindo tratamento de incidentes, recuperação de desastres, forense computacional) | |
| − | + | # Segurança de Dados (incluindo Criptografia) e | |
| − | + | # Desenvolvimento Seguro. | |
Edição das 10h53min de 25 de janeiro de 2022
Privacidade dos dados
Todos os Agentes de Tratamento, ao lidar com dados pessoais, devem garantir sempre que possível e nas situações previstas na Lei, a segurança e privacidade dos dados.
No caso de organização de serviços e sistemas para tratamento de dados, é importante considerar os parâmetros apresentados a seguir.
- Privacy by Design
O princípio Privacy by Design representa o emprego de mecanismos e soluções de privacidade durante todo o ciclo de vida do desenvolvimento do sistema ou da organização dos serviços em que os dados serão tratados. Nessa perspectiva, a privacidade é incorporada à própria arquitetura dos sistemas e processos desenvolvidos, de modo a garantir, pela infraestrutura do serviço prestado, condições para que o usuário seja capaz de preservar e gerenciar sua privacidade e a coleta e tratamento de seus dados pessoais.
- Privacy by Default
O princípio Privacy by Default representa a obrigatoriedade de que todas essas ferramentas estejam acionadas como padrão e que as medidas destinadas a garantir privacidade ao Titular não contradigam a lógica desse padrão. Em última análise, significa dizer que o serviço será organizado de forma tal que não haja a prevalência dos interesses dos Agentes de Tratamento sobre os interesses do Titular dos dados tratados.
Significa estabelecer como configuração padrão a maior privacidade possível ao Titular dos dados, além de garantir que, na dúvida entre duas situações ambíguas, prevaleça aquela que melhor atenda aos seus interesses.
- Importante
Os Agentes de Tratamento devem, portanto, desde a concepção do produto ou do serviço, até a sua execução, adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (Art. 46, §2º).
Ouça o Episódio 7 do Podcast LGPD Serpro!
Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre o equilíbrio entre a necessidade de lidar com os dados pessoais e a privacidade e segurança dos dados.
Segurança da informação
Um dos atributos mais importantes da privacidade e do tratamento de dados pessoais é o alinhamento, pelos agentes de tratamento, com os domínios da (I) Segurança da Informação, (II) das Boas Práticas e (III) da Governança de Privacidade.
- Segurança da Informação
Segurança da Informação é o conjunto de domínios e conhecimentos relacionados à informação e à preservação dos atributos de confidencialidade, disponibilidade, integridade e autoria (ou não repúdio).
Muita gente pensa que segurança da informação se relaciona apenas com a confidencialidade. Mas toda organização depende de informação e da troca dessa informação com o mundo externo em um determinado nível de equilíbrio!
Uma informação guardada a sete chaves em um baú de aço no fundo do mar abissal pode até parecer segura, mas não constitui “informação” em si mesma!
Informação também está relacionada com o controle adequado dos atributos já citados, representados a seguir:
- Confidencialidade
- Limitar o acesso tão somente às entidades legítimas, ou seja, àquelas autorizadas. Sendo assim, o acesso a dados pessoais por entidades ou pessoas não autorizadas configura-se como violação de segurança desses dados, além de incidente de segurança.
- Disponibilidade
- Estar pronta para o uso na medida das necessidades.
- Integridade
- Certeza de que não foi adulterada, por exemplo.
- Autoria
- Certeza de que não foi produzida por outrem e certeza de que foi produzida por seu verdadeiro autor.
Devido à evolução do Comércio Eletrônico e da Sociedade da Informação, além de meios de tratamento de dados e informações, outros controles “estendidos” de adequação surgiram, como:
- Irretratabilidade ou não repúdio - impossibilidade de se negar autoria (provar) sobre a execução de transação;
- Privacidade - manter anônimo o usuário;
- Legalidade - esteja aderente à legislação pertinente;
- Auditoria - capacidade de auditar tudo o que foi realizado pelos usuários;
- Autenticação - processo de identificação e reconhecimento, ou seja, é de fato quem alega ser;
- Autenticidade - garantia de que a informação é proveniente da fonte anunciada (origem) e que não foi alvo de mutações ao longo de um processo;
- Autorização ou consentimento - concessão livre, informada e inequívoca pelo titular para acesso de pessoas ou entidades autorizadas e capacitadas para o uso adequado e tratamento de seus dados pessoais, para uma ou mais finalidades determinadas.
Os domínios de segurança da informação diferem entre os modelos e frameworks disponíveis, mas de modo geral estão relacionados às seguintes rubricas:
- Governança de Segurança da Informação
- Segurança de Ativos (incluindo “classificação”)
- Gestão, Risco e Conformidade de SI
- Gestão de Continuidade do Negócio
- Segurança de Comunicação e Infraestrutura de Rede (incluindo controle de acesso e gestão de identidade)
- Operações de segurança (incluindo tratamento de incidentes, recuperação de desastres, forense computacional)
- Segurança de Dados (incluindo Criptografia) e
- Desenvolvimento Seguro.
