1. Políticas de proteção de dados
1.1. As políticas internas devem demonstrar que uma organização estabeleceu, em suas políticas, sua abordagem fundamental relativa à privacidade.
1.2. O Artigo 13 do GDPR lista as informações obrigatórias para estabelecer uma política de privacidade & proteção de dados
1.2.1. Identificação e detalhes de contato do controlador
1.2.2. Informações sobre a intenção de transferir dados pessoais a um país terceiro
1.2.3. Informações relativas aos períodos de retenção e direitos dos titulares dos dados
1.2.4. Informações adicionais relacionadas ao processamento justo e transparente
1.2.4.1. Período de retenção
1.2.4.2. Direitos do titular dos dados:
1.3. NÃO é obrigatório incluir nas políticas de privacidade
1.3.1. Informações técnicas sobre o controle de acesso a sistemas (logins, etc.).
1.3.2. Detalhamento sobre medidas para segurança dos dados
1.3.3. Porém os titulares podem solicitar informações adicionais sobre isso
1.3.3.1. Faz parte do princípio de transparência
1.4. Razões para tornar uma política de privacidade disponível publicamente
1.4.1. Permitir que clientes e parceiros avaliem a política.
1.4.2. Fornecer uma declaração clara a partir da qual as autoridades supervisoras podem avaliar a organização
1.4.3. Favorecer a transparência relativa ao processamento.
1.5. Proteção de dados by design
1.5.1. Implica em considerar medidas de proteção à privacidade desde início do projeto
1.5.2. A aplicação desse princípio inclui a implementação de medidas técnicas e organizacionais
1.5.2.1. O objetivo é proteger os direitos dos titulares dos dados e esses direitos incluem a necessidade de alguns procedimentos organizacionais que não podem ser cobertos tecnicamente.
1.5.3. Deve abordar a coleta, o processamento e a destruição dos dados pessoais
1.5.4. 7 princípios da Proteção By Design
1.5.4.1. Proativo não reativo; Preventiva não corretiva
1.5.4.2. Privacidade como a configuração padrão
1.5.4.3. Privacidade incorporada ao design
1.5.4.4. Funcionalidade total - soma positiva, não soma zero
1.5.4.5. Segurança de ponta a ponta - proteção total do ciclo de vida
1.5.4.6. Visibilidade e transparência - mantendo aberto
1.5.4.7. Respeito pela privacidade do usuário - centrado no usuário
1.5.5. Princípios do GDPR que precisam ser incorporados na Proteção By Design (artigo 5)
1.5.5.1. licitude, lealdade e transparência
1.5.5.2. limitação das finalidades
1.5.5.3. minimização dos dados
1.5.5.3.1. Coletar só o que é necessário para atingir a finalidade
1.5.5.3.2. Exemplo de aplicação: Manter uma quantidade mínima de informações solicitadas via formulário de cadastro de cliente
1.5.5.4. exatidão
1.5.5.5. limitação da conservação
1.5.5.6. integridade e confidencialidade
2. Gerenciando e organizando a proteção de dados
2.1. Objetivo do SGPD
2.1.1. Gerenciar melhor os dados corporativos e mitigar os riscos usuais de proteção e privacidade de dados de coleta e processamento de dados pessoais.
2.2. Fase 1 – Preparação
2.2.1. Propósito
2.2.1.1. Preparar a organização para proteger a privacidade.
2.2.2. Objetivos
2.2.2.1. Analisar os requisitos e necessidades de proteção de dados e privacidade.
2.2.2.2. Coletar leis, regulamentos e normas relevantes.
2.2.2.3. Estabelecer um plano de ação
2.2.3. Etapas
2.2.3.1. 1 Realizar análise de privacidade
2.2.3.2. 2 Coletar de leis de privacidade
2.2.3.2.1. Isso fornece uma fundamentação para todas as atividades de processamento de dados e são necessárias para realizar uma avaliação da legitimidade do processamento.
2.2.3.2.2. Considerar os princípios do GDPR para processamento de dados pessoais
2.2.3.3. 3 Analisar o impacto da privacidade
2.2.3.4. 4 Realizar auditorias e avaliações iniciais dos dados
2.2.3.5. 5 Estabelecer organização de governança de dados
2.2.3.6. 6 Estabelecer fluxos de dados e inventário de dados pessoais
2.2.3.6.1. Isso ajuda a definir quais dados serão processados na organização e por quem; desse modo, as medidas de proteção de dados e privacidade podem ser implementadas com sucesso em toda a organização.
2.2.3.7. 7 Estabelecer programa PD & P
2.2.3.8. 8 Esboçar planos de implementação de ações de PD & P
2.3. Fase 2 – Organização
2.3.1. Propósito
2.3.1.1. Estabelecer estruturas organizacionais e mecanismos para as necessidades de privacidade da organização.
2.3.2. Objetivos
2.3.2.1. Desenhar e implantar o programa de proteção de dados e privacidade.
2.3.2.2. Designar um DPO.
2.3.2.3. Envolver e obter o compromisso de todas as partes interessadas relevantes.
2.3.3. Etapas
2.3.3.1. 1 Manter programa, políticas e controles de governança de privacidade de dados
2.3.3.1.1. Criar e implementar um procedimento para atualizar a política e o programa de proteção de dados e privacidade com base nas alterações de leis ou regulamentos de privacidade e mudanças dos processos do negócio.
2.3.3.2. 2 Atribuir e manter responsabilidades na PD & P (RACI)
2.3.3.3. 3 Manter o envolvimento da gerência sênior em PD & P
2.3.3.4. 4 Manter o compromisso com PD & P
2.3.3.4.1. Para obter o compromisso de todos na organização, recomenda-se conscientização dos membros da equipe para aderir às políticas de privacidade
2.3.3.5. 5 Manter comunicações regulares para questões de PD & P
2.3.3.5.1. Considerar um plano de comunicação enfatizando que a proteção de dados e privacidade deve estar incorporada a todos os sistemas, produtos e serviços.
2.3.3.6. 6 Manter o envolvimento das partes interessadas em questões de PD & P
2.3.3.7. 7 Implementar e operar sistemas computadorizados para PD &P
2.3.3.7.1. Um software de sistema computadorizado de privacidade e proteção de dados garante a integridade dos dados por vários métodos, como: verificar os arquivos originais e de backup por meio de algoritmos hash; criptografia de dados em trânsito e em repouso; fornecer uma interface centralizada de conformidade de gerenciamento de dados; relatórios de sucessos e falhas de backup; gerenciar todos os aspectos do processo de Regras Vinculativas das Empresas (BCR - Binding Corporate Rules); medir e relatar o cumprimento das leis nacionais e etc.
2.4. Fase 3 – Desenvolvimento e implementação
2.4.1. Propósito
2.4.1.1. Desenvolver e implementar medidas e controles específicos para PD & P.
2.4.2. Objetivos
2.4.2.1. Projetar um sistema de classificação de dados.
2.4.2.2. Desenvolver e implementar políticas, procedimentos e controles para cumprir leis de privacidade e requisitos da organização .
2.4.3. Etapas
2.4.3.1. 1 Desenvolver e implementar estratégias, planos e políticas de PD & P
2.4.3.2. 2 Implementar o procedimento de aprovação para processamento de dados pessoais
2.4.3.3. 3 Registrar bancos de dados para dados pessoais
2.4.3.4. 4 Desenvolver e implementar um sistema de transferência de dados internacional
2.4.3.4.1. Utilizar cláusulas contratuais padrão em contratos e acordos com fornecedores
2.4.3.4.2. Optar por processadores que já estão na UE
2.4.3.5. 5 Executar atividades de integração de PD & P
2.4.3.5.1. Empresas e organizações incluem privacidade e proteção de dados em todas as suas operações, executando um conjunto específico de atividades de integração que incorporam essa privacidade e proteção de dados em todos os seus aspectos, tais como: retenção de registros corporativos; contratação de pessoal corporativo; acesso ao site; marketing digital; mídia social; dispositivos portáteis e inteligentes; saúde e segurança; desenvolvimento de sistemas e produtos etc.
2.4.3.6. 6 Executar o plano de treinamento de PD & P
2.4.3.6.1. Empresas e organizações treinam sua equipe para melhor implementar a privacidade e proteção de dados em todos os seus programas, sistemas, projetos e funções.
2.4.3.7. 7 Implementar controles de segurança de dados
2.4.3.7.1. Isso é feito efetivamente por meio de um plano de segurança de dados
2.5. Fase 4 – Governança
2.5.1. Propósito
2.5.1.1. Estabelecer mecanismos de governança de privacidade.
2.5.2. Objetivos
2.5.2.1. Desenhar e configurar estruturas de governança.
2.5.2.2. Envolver e obter o comprometimento de todas as partes interessadas relevantes.
2.5.2.3. Relatar todas as questões de privacidade (processo contínuo).
2.5.3. Etapas
2.5.3.1. 1 Implementar práticas para gerenciar o uso de dados pessoais
2.5.3.2. 2 Manter avisos de privacidade sobre dados pessoais
2.5.3.3. 3 Executar um plano de solicitações, reclamações e retificação
2.5.3.3.1. Isso faz parte dos mecanismos de governança de privacidade para garantir os direitos dos titulares dos dados
2.5.3.4. 4 Executar uma avaliação de riscos de proteção de dados
2.5.3.4.1. Essa avaliação Identifica e prioriza as falhas de privacidade e segurança na organização, com o objetivo de gerenciar o programa de privacidade para mitigação dos riscos, conformidade, melhorando a reputação da marca e confiança do cliente.
2.5.3.5. 5 Emitir relatórios de PD & P
2.5.3.6. 6 Manter documentação de privacidade de dados
2.5.3.7. 7 Estabelecer e manter um plano de resposta de violação de privacidade
2.5.3.7.1. Funções deste plano
2.6. Fase 5 – Avaliação e melhoria
2.6.1. Propósito
2.6.1.1. Avaliar e melhorar todos os aspectos específicos de proteção de dados e privacidade da organização (controles, políticas, procedimentos, práticas, etc.).
2.6.2. Objetivos
2.6.2.1. Monitorar a operação e a resolução de todas as questões relacionadas à privacidade.
2.6.2.2. Avaliar regularmente a conformidade com processos e políticas internas.
2.6.2.3. Melhorar a proteção de dados e medidas de privacidade
2.6.3. Etapas
2.6.3.1. 1 Realizar auditoria interna de PD & P
2.6.3.1.1. Serve para verificar se a organização está mantendo a conformidade com seus próprios processos e políticas de proteção de dados e privacidade
2.6.3.2. 2 Envolver uma parte externa para avaliações PD & P
2.6.3.3. 3 Realizar avaliações e estabelecer benchmarks (comparações)
2.6.3.3.1. Fazer comparações entre departamentos, com resultados de anos anteriores ou entre empresas similares
2.6.3.3.2. Lembrar que benchmarkg NÃO é uma pesquisa que foca na satisfação dos clientes da organização no campo da privacidade
2.6.3.4. 4 Executar AIPDs (DPIAs em inglês)
2.6.3.5. 5 Resolver riscos de PD & P
2.6.3.6. 6 Relatar análise de riscos de PD & P e resultados
2.6.3.7. 7 Monitorar as leis e regulamentos de PD & P
3. Papéis do Controlador, Processador e Data Protection Officer (DPO)
3.1. Controlador
3.1.1. Responsável por garantir que os dados pessoais são processados de acordo com o GDPR
3.1.1.1. Tem a obrigação de implementar medidas técnicas e organizacionais para conformidade com o GDPR
3.1.2. Determina as finalidades e os meios do processamento de dados pessoais
3.1.2.1. Inclui determinar quais dados serão coletados, de quem coletar dados, se há justificativa para não notificar os titulares de dados ou solicitar seu consentimento, por quanto tempo reter os dados e assim por diante.
3.1.3. Assegura que qualquer processador terceirizado cumpra as regras do GDPR
3.1.3.1. O controlador deve usar apenas processadores que forneçam garantias suficientes para implementar medidas técnicas e organizacionais apropriadas
3.1.3.2. Se acontecer algum dano provocado pelo processador e este não cumpria o GDPR, então o controlador pode ser responsabilizado
3.1.4. Geralmente é a entidade “voltada para o público” que titulares de dados fornecem suas informações
3.2. Processador
3.2.1. Entidade contratada pelo controlador para executar alguma função nos dados pessoais
3.2.1.1. É quem mais conhece sobre como os dados são de fato processados
3.2.2. Pode ficar responsável pelos seguintes elementos:
3.2.2.1. Os sistemas de TI ou outros métodos usados para coletar dados pessoais.
3.2.2.2. Como os dados são armazenados
3.2.2.3. A segurança em torno dos dados pessoais
3.2.2.4. Como os dados pessoais são transferidos de uma organização para outra
3.2.2.5. Como os dados pessoais de um indivíduo específico são recuperados
3.2.2.6. Métodos para assegurar que um cronograma de retenção seja respeitado
3.2.2.7. Como os dados são excluídos ou descartados
3.2.2.8. A manutenção de registros das atividades de processamento realizadas no interesse do controlador.
3.2.3. Os processadores estão impedidos de contratar outro processador “sem autorização prévia específica ou geral por escrito do controlador"
3.3. Representante para controladores e processadores fora da UE
3.3.1. Quando é necessário
3.3.1.1. Sempre que um controlador ou um processador não estabelecidos na União efetuarem o tratamento de dados pessoais de titulares de dados que se encontrem na União, e as suas atividades de tratamento estiverem relacionadas com a oferta de bens ou serviços a esses titulares de dados na União, independentemente de a estes ser exigido um pagamento, ou com o controlo do seu comportamento na medida que o seu comportamento tenha lugar na União
3.3.1.2. Qualquer organização que não atenda as condições para isenção precisará identificar um representante em algum lugar dentro da UE.
3.3.2. Quando não é necessário
3.3.2.1. Processamento que é ocasional, não inclui, em larga escala, o tratamento de categorias especiais de dados, tal como referido no Artigo 9(1), ou o tratamento de dados pessoais relativos a condenações penais e infrações previstas no Artigo 10, e que não possam resultar num risco para os direitos e liberdades de pessoas físicas, levando em conta a natureza, o contexto, o escopo e os propósitos do processamento
3.3.2.2. Uma autoridade ou organismo público
3.3.2.3. Exemplo de quando precisa um representante
3.3.2.3.1. Uma empresa com sede na Ásia decide oferecer com regularidade produtos e serviços financeiros para cidadãos na UE
3.3.3. O trabalho do representante é operar como contato local com a autoridade fiscalizadora.
3.3.3.1. A autoridade fiscalizadora não tem acesso à própria organização, portanto, muitas de suas interações ocorrerão através do representante.
3.4. Registros de processamento
3.4.1. O GDPR no Artigo 30 exige que muitos controladores e processadores de dados mantenham um registro específico de suas atividades de processamento.
3.4.1.1. Para os controladores, isso inclui o processamento realizado por processadores de dados de terceiros; para processadores, deve ser um registro de atividades de processamento realizadas em nome de um controlador de dados
3.4.1.2. Se a sua organização estiver sediada fora da UE, seu representante também deverá ter uma cópia do mesmo registro.
3.4.2. As organizações que empregam menos de 250 pessoas não são obrigadas a manter um registro explícito de suas atividades de processamento.
3.4.2.1. A menos que o tratamento efetuado seja suscetível de implicar um risco para os direitos e liberdades do titular dos dados, não seja ocasional ou abranja as categorias especiais de dados a que se refere o artigo 9 (1), ou dados pessoais relativos a condenações penais e infrações referido no artigo 10.
3.5. DPO
3.5.1. Quando precisa designar um DPO no GDPR
3.5.1.1. (a) o processamento é efetuado por uma autoridade ou órgão público, com exceção de tribunais que atuem no exercício
3.5.1.2. (b) as atividades principais do controlador ou processador consistem em operações de processamento que, pela sua natureza, escopo e/ou propósitos, exigem um controle regular e sistemático dos titulares de dados em grande escala;
3.5.1.3. (c) as atividades essenciais do controlador ou processador consistem no processamento de uma grande variedade de categorias especiais de dados nos termos do Artigo 9 e de dados pessoais relativos a condenações penais e infrações previstas no Artigo 10.
3.5.2. Designação
3.5.2.1. Não precisa ser um DPO dedicado interno
3.5.2.2. Pode ser compartilhado com outras organizações
3.5.2.3. Quando não tiver alguém interno com conhecimento, melhor contratar um terceiro de uma consultoria especializada ou escritório de advocacia
3.5.3. Posição na organização
3.5.3.1. Precisa ser independente
3.5.3.2. Não recebe instruções sobre o exercício dessas tarefas.
3.5.3.3. Se reporta ao nível mais alto da organização
3.5.4. Principais atribuições
3.5.4.1. Informar e aconselhar o controlador ou o processador e os funcionários que efetuem o processamento de suas obrigações no GDPR
3.5.4.1.1. Aconselha na implementação de conscientização e treinamento dos funcionários
3.5.4.2. Monitorar a conformidade com o GDPR
3.5.4.3. Fornecer aconselhamento, caso solicitado, no que diz respeito à AIPD e acompanhar o seu desempenho nos termos do Artigo 35.
3.5.4.4. Cooperar com a autoridade fiscalizadora, sendo um ponto de contato para todas as questões relacionadas com o processamento
3.5.4.4.1. O DPO reúne informações no interesse da autoridade supervisora sobre uma questão que esteja sendo examinada
3.5.4.5. Atua como mediador junto a autoridade supervisora em caso de violação de dados
3.5.4.6. É também ponto de contato para os titulares de dados reivindicarem seus direitos
3.5.4.7. Conduzir suas tarefas com total confidencialidade e sigilo
3.5.4.7.1. Entretanto, com a autoridade fiscalizadora terá que ser totalmente aberto, expondo das as questões com transparência
4. Avaliação de Impacto sobre a Proteção de Dados (AIPD)
4.1. Principal objetivo
4.1.1. Garantir que os riscos à proteção de dados e privacidade sejam determinados e analisados, e que alternativas de proteção à privacidade sejam consideradas.
4.2. Conteúdo mínimo exigido pelo GDPR
4.2.1. Uma descrição sistemática do processamento previsto e da finalidade do processamento
4.2.1.1. Se já sabe que uma AIDP é necessária, então esse é o primeiro passo a ser realizado
4.2.2. Avaliação da necessidade e proporcionalidade do processamento
4.2.3. Avaliação dos riscos para os direitos e liberdades dos titulares de dados
4.2.4. Medidas previstas para abordar os riscos
4.2.5. Salvaguardas e medidas de segurança para demonstrar conformidade, uma indicação de prazos se o processamento estiver relacionado com o apagamento
4.2.6. Indicação de qualquer proteção de dados by design e por padrão
4.2.7. Lista de destinatários de dados pessoais
4.2.8. Confirmação da conformidade com os códigos de conduta aprovados, detalhes sobre se os titulares de dados foram consultados
4.3. 7 Etapas do guia do ICO
4.3.1. 1 Identificar a necessidade de uma AIPD
4.3.1.1. Se já sabe que uma AIDP é necessária, então esse é o primeiro passo a ser realizado
4.3.2. 2 Descrever os fluxos de informação
4.3.2.1. Se necessidade da AIDP já foi coberta, podemos pular direto para descrever o fluxo de informações.
4.3.2.2. O seu exercício de mapeamento de dados é crucial aqui
4.3.3. 3 Identificar os riscos de privacidade e relacionados
4.3.4. 4 Identificar e avaliar as soluções de privacidade
4.3.4.1. Não é necessário eliminar todos os riscos de privacidade. O principal é reduzir o risco a um nível aceitável (com base em seus critérios de aceitação de risco) enquanto ainda permite que um projeto útil seja implementado.
4.3.5. 5 Autorizar e registrar os resultados da AIPD
4.3.6. 6 Integrar os resultados no plano de projeto
4.3.7. 7 Consultar as partes interessadas, quando necessário
4.3.7.1. NOTAR: embora a consulta à autoridade é obrigatória quando não houver medidas para reduzir riscos, isso não é uma etapa nesse processo da ICO. As partes interessadas podem ser áreas internas da organização como também clientes.
4.4. Quando iniciar uma AIDP
4.4.1. Sempre no início de um projeto e antes de iniciar o tratamento de dados
4.4.2. Pode também ser usada para analisar processos existentes
4.4.3. Os mapas de dados que você construir irão destacar as atividades de processamento que exigem que você conduza uma AIDP sob o GDPR
4.5. Condições que obrigam a realizar uma AIPD no GDPR
4.5.1. Uso de novas tecnologias no processamento
4.5.1.1. Por exemplo, adotar tecnologia para reconhecimento facial e biometria
4.5.1.2. Importante considerar outros critérios, não considerar somente o uso de novas tecnologias para tornar obrigatória realização de uma AIPD
4.5.2. Processamento automatizado, especialmente para estabelecer perfil das pessoas e tomar decisões com base nisso
4.5.2.1. Considerar que o processamento automatizado isoladamente não é um critério suficiente para exigir uma AIPD. Ele quando associado a outros critérios torna obrigatório uma AIPD.
4.5.3. Processamento em grande escala de categorias especiais de dados
4.5.4. Monitoramento sistemático de pessoas
4.5.4.1. Por exemplo, monitorar atividades dos funcionários na internet
4.5.5. Cenários de alto risco para os titulares
4.6. Agrupamento de AIPDs
4.6.1. Uma única AIPD pode ser utilizada para avaliar múltiplas operações de tratamento que sejam semelhantes em termos de natureza, âmbito, contexto, finalidade e riscos.
4.6.1.1. Uma única AIPD para todas as filiais de uma empresa é suficiente quando atividade de processamento for semelhante.
4.7. Relação com o gerenciamento de riscos corporativos
4.7.1. AIPD foca em riscos à privacidade do titular dos dados
4.7.2. Gerenciamento de riscos corporativos enfoca a organização como um todo.
4.8. Medidas para os riscos identificados
4.8.1. O risco total deve ser reduzido até um nível aceitável, reduzindo ou eliminando primeiro os riscos críticos.
4.8.2. Pode ser reduzida a quantidade de dados coletados quando perceber que há dados sendo processado além da finalidade estabelecida
4.8.3. Exemplos de respostas a riscos
4.8.3.1. Reduzir a quantidade de dados coletados.
4.8.3.2. Desenvolver uma política de retenção que regula por quanto tempo e em que formato os dados pessoais são armazenados.
4.8.3.3. Destruir com segurança as informações quando não forem mais necessárias.
4.8.3.4. Políticas e procedimentos de controle de acesso para minimizar o acesso a dados pessoais.
4.8.3.5. Introduzir um programa de treinamento e conscientização para reduzir a exposição acidental ou danos a dados pessoais.
4.8.3.6. Tornar os dados pessoais anônimos.
4.8.3.7. Elaborar contratos ou acordos de compartilhamento de dados
4.8.3.8. Desenvolver um processo de solicitação de acesso para proteger os direitos de titulares de dados.
4.8.3.9. Exigir que os fornecedores conduzam avaliações de risco e forneçam os resultados.
4.9. Responsabilidades
4.9.1. É responsabilidade do controlador realizar uma AIPD porque ele é quem determina a finalidade do processamento.
4.9.2. Pode ser terceirizada uma AIPD, mas o Controlador permanece responsável por ela.
4.9.3. DPO pode fornecer aconselhamentos sobre como conduzir um AIDP como também em relação a como tratar os riscos
4.10. Consulta Prévia à Autoridade
4.10.1. Artigo 36 (1) - Consulta prévia é obrigatória somente se o tratamento resultar num elevado risco na ausência das medidas tomadas pelo Controlador para atenuar o risco.
4.10.1.1. Essa consulta deve ser feita antes de proceder ao tratamento dos dados
5. Violação de dados, notificação e resposta a incidentes
5.1. Violação de dados pessoais
5.1.1. É uma violação da segurança que provoca, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
5.1.2. Exemplo de violação de dados pessoais
5.1.2.1. Um paciente está esperando um pacote contendo equipamento médico, mas ele é entregue no endereço errado
5.1.3. Exemplo de incidente que NÃO é violação de dados pessoais
5.1.3.1. A divulgação não autorizada de dados financeiros confidenciais da EMPRESA relativos a uma aquisição planejada.
5.2. Etapas do processo de gerenciamento de incidentes cibernéticos da CREST
5.2.1. Preparar
5.2.1.1. Inclui produzir um plano de resposta a incidentes
5.2.1.1.1. Fundamental para garantir o cumprimento do prazo de notificação à autoridade dentro de 72 horas
5.2.2. Responder
5.2.2.1. Tempo de resposta é crítico para minimizar os danos
5.2.2.2. É recomendado primeiro conter o incidente e depois erradicar a causa.
5.2.2.2.1. Tem o prazo de 72 hora notificar à autoridade
5.2.2.3. Evidências forenses é um artefato a ser coletado/produzido
5.2.3. Acompanhar
5.2.3.1. Investigar o incidente com mais detalhes.
5.2.3.2. Relatar o incidente para partes interessadas relevantes.
5.2.3.3. Realizar uma revisão pós-incidente.
5.2.3.4. Comunicar e aproveitar as lições aprendidas.
5.3. Notificação à autoridade supervisora
5.3.1. Quando houver ALGUM RISCO para os direitos e liberdades das pessoas
5.3.2. DPO atua como MEDIADOR
5.3.3. Exemplos de quando notifica
5.3.3.1. Acesso indevido feito por ex-funcionários à dados de clientes por por "pura curiosidade". Devido a outras más condutas destes ex-funcionários, não dá para descartar todos os riscos de má utilização dos dados.
5.3.3.2. Uma remessa para um paciente diabético foi entregue no endereço errado e aberta por outra pessoa. Mesmo que seja apenas um titular afetado, tem que notificar a autoridade sobre o caso, pois existe risco para o direito e liberdade desse paciente.
5.3.4. Exemplo de quando não notifica
5.3.4.1. Alguém perde um pendrive contendo senhas de acesso aos sistemas de gestão de clientes, mas esses dados estavam criptografados e os as senhas foram ser alteradas preventivamente logo em seguida. A criptografia reduz o risco, assim como a troca de senhas logo em seguida.
5.4. Notificação aos titulares
5.4.1. Somente quando houver um ELEVADO RISCO para eles
5.4.2. Não precisa notificá-lo se o alto risco não se materializar (por conta de criptografia, por exemplo)
5.4.3. Exemplo de quando notifica
5.4.3.1. Um hacker acessa um banco de dados e rouba sensíveis de clientes
5.4.4. Exemplo de quando não notifica
5.4.4.1. Um e-mail que era destinado a um cliente é enviado por engano para um colega de trabalho. Como foi enviado internamente, não há risco de comprometer direitos e liberdade do cliente porque medidas podem ser tomadas internamente.
5.4.5. Recomenda-se NÃO utilizar um texto padronizado de notificação. Cada notificação requer um texto personalizado para evitar uma resposta negativa por parte dos titulares,
5.5. Relação Controlador x Processador
5.5.1. Se o processador detectar uma violação, precisa primeiro comunicar o controlador
5.5.2. O controlador tem a responsabilidade final de notificar à autoridade