1. Visão Geral
1.1. O que é?
1.1.1. Famework l Sistema
1.2. Como é estruturado?
1.2.1. 5 Fases
1.2.2. 36 Etapas
1.2.3. 44 Resultados
1.3. Qual o objetivo ?
1.3.1. Estruturar um processo responsável pelo gerenciamento e por mitigar os riscos de Proteção de Dados e Privacidade envolvidos em todo o ciclo de vida de dados pessoais no ambiente corporativo, considerando-se a coleta e o processamento de dados pessoais.
2. Fase-1: Preparação
2.1. Objetivo:
2.1.1. Ambiente corporativo “preparado” para a Proteção e Privacidade dos Dados Pessoais, considerando-se:
2.1.1.1. processos corporativos mapeados e consolidados
2.1.1.2. requisitos técnicos e operacionais da proteção de dados e a privacidade que afetam sua empresa;
2.2. 8 Etapas:
2.2.1. Etapa #1: Realizar a Análise de Privacidade
2.2.1.1. Mapeamento de Processos
2.2.1.2. Mapeamento do Fluxo de Dados Pessoais
2.2.2. Etapa #2: Coletar Leis de Privacidade
2.2.3. Etapa #3: Analisar o impacto da Privacidade no negócio
2.2.4. Etapa #4: Realizar Auditorias e Avaliações dos dados iniciais
2.2.5. Etapa #5: Estabelecer a estrutura organizacional de Governança de Dados
2.2.6. Etapa #6: Estabelecer Fluxo de Dados e Inventário de Dados Pessoais
2.2.7. Etapa #7: Estabelecer programa de Proteção de Dados e Privacidade
2.2.8. Etapa #8: Esboçar Planos de Implementação de ações de Proteção de Dados e Privacidade
2.3. 10 Resultados:
2.3.1. Uma organização preparada para ser eficiente no tratamento e gerenciamento dos riscos envolvidos na Proteção de Dados e Privacidade
2.3.1.1. Relatório de Análises de Proteção de Dados e Privacidade - Etapa #1
2.3.1.2. Manual de Leis de Privacidade - Etapa #2 e #3
2.3.1.3. Relatório de Auditoria de Dados Pessoais - Etapa #4
2.3.1.4. Sistema de Fluxo de Dados por Processo - Etapa #6
2.3.1.5. Inventário de Dados Pessoais - Etapa #6
2.3.1.6. Política de Proteção de Dados - Etapa #6
2.3.1.7. Plano de Treinamento em Privacidade - Etapa #7
2.3.1.8. Programa de Proteção de Dados & Privacidade - Etapa #7
2.3.1.9. Orçamento da estruturação da Gestão de Proteção de Dados - Etapas #1 a #8
2.3.1.10. Planos de Implementação de Ações de Proteção de Dados e Privacidade - Etapas #1 à #8
3. Fase-2: Organização
3.1. Objetivo:
3.1.1. Estabelecer as estruturas e mecanismos organizacionais responsáveis por atender às necessidades de privacidade de dados pessoais da empresa, considerando.se:
3.1.1.1. Desenhar e implementar o programa de proteção de dados e privacidade.
3.1.1.2. Designar um Encarregado de Dados – pessoa física
3.1.1.3. Envolver e comprometer todas as partes envolvidas com proteção de dados e privacidade.
3.1.1.4. Estabelecer as estruturas organizacionais adequadas para uma efetiva proteção de dados e implementação de privacidade
3.2. 7 Etapas:
3.2.1. Etapa #1: Definir e implementar o “como manter” o programa, as políticas e controles de Governança de Privacidade de Dados.
3.2.2. Etapa #2: Definir e manter a matriz de atribuições e responsabilidades pela Proteção de Dados e Privacidade - Matriz RACI.
3.2.3. Etapa #3: Definir e implementar o “como manter” o envolvimento dos níveis táticos e estratégicos da organização - Gerência Senior - na Proteção de Dados e Privacidade
3.2.4. Etapa #4: Estabelecer e manter a continuidade do compromisso de todos os níveis hierárquicos da organização com a Proteção de Dados e Privacidade – PD&P.
3.2.5. Etapa #5: Estabelecer e manter um plano de comunicação corporativa regular para direcionamentos, questões e problemas de Proteção de Dados e Privacidade.
3.2.6. Etapa #6: Estabelecer e manter processos e procedimentos que garantam o envolvimento das partes interessadas em questões de Proteção de Dados e Privacidade.
3.2.7. Etapa #7: Implementar e operar sistemas informatizados para a sustentação da Proteção de Dados e Privacidade corporativa.
3.3. 9 Resultados:
3.3.1. Estruturas organizacionais aderentes à implementação da Proteção de Dados e Privacidade
3.3.1.1. Estratégia de Proteção de Dados e Privacidade atualizada – Etapa #1.
3.3.1.2. Programa de Proteção de Dados e Privacidade atualizado – Etapa #1.
3.3.1.3. Controles de Governança de Dados atualizados - Etapa#1
3.3.1.4. Nomeação do Encarregado da Proteção de Dados Pessoais – pessoa física - Etapa #2.
3.3.1.5. Plano de Comunicação para todas questões de PD&P - Etapas #3, #4, #5 e #6
3.3.1.6. Rede corporativa de PD&P - Etapa #4
3.3.1.7. Função de Proteção de Dados e Privacidade incluída nas descrições de cargos - Etapa#4
3.3.1.8. Plano atualizado de conscientização, comunicação e treinamento em privacidade - Etapa #5
3.3.1.9. Sistema informatizado de Proteção de Dados e Privacidade - Etapa #7
4. Fase-3: Desenvolvimento e Implementação
4.1. Objetivo:
4.1.1. Desenvolver e implementar medidas e controles específicos para Proteção de Dados e Privacidade - Governança de Dados Pessoais
4.1.1.1. Projetar um Sistema de Classificação de Dados.
4.1.1.2. Desenvolver e implementar políticas, procedimentos e controles para cumprir a Legislação de Privacidade e requisitos da Organização.
4.2. 7 Etapas:
4.2.1. Etapa #1: Desenvolver e implementar estratégias, planos e políticas de Proteção de Dados e Privacidade.
4.2.2. Etapa #2: Implementar o procedimento de aprovação para Processamento de Dados Pessoais.
4.2.3. Etapa #3: Registrar os Banco de Dados que contenham Dados Pessoais.
4.2.4. Etapa #4: Desenvolver e implementar um sistema de transferência internacional de dados.
4.2.5. Etapa #5: Executar atividades de integração de Proteção de Dados e Privacidade dentro co contexto Corporativo.
4.2.6. Etapa #6: Executar o plano de treinamento de Proteção de Dados e Privacidade.
4.2.7. Etapa #7: Implementar controles de Segurança de Dados Pessoais.
4.3. 9 Resultados:
4.3.1. Desenvolver e implementar um conjunto de medidas de Proteção e Privacidade para administrar os dados pessoais de maneira eficiente e eficaz.
4.3.1.1. Sistema de Classificação de Dados Pessoais – Etapa #1.
4.3.1.2. Procedimento de aprovação do Processamento dos Dados Pessoais - Etapa #2.
4.3.1.3. Documento de Registro dos Bancos de Dados que conteham Dados Pessoais - Etapa #3.
4.3.1.4. Desenvolvimento e implementação de um Sistema de transferência internacional de Dados - Etapa #4.
4.3.1.5. Atividades de Integração de Proteção de Dados e Privacidade executadas – Etapa #5
4.3.1.6. Atividades de treinamento corporativo de Proteção de Dados e Privacidade executadas - Etapa #6.
4.3.1.7. Controles de Segurança de Dados Pessoais implementados - Etapa #7.
5. Fase-4: Governança
5.1. Objetivo:
5.1.1. Estabelecer mecanismos de Governança de Privacidade dos Dados Pessoais.
5.1.1.1. Desenhar e configurar estruturas organizacionais de Governança no contexto de Proteção de Dados e Privacidade.
5.1.1.2. Envolver e obter o comprometimento de todas as partes interessadas relevantes.
5.1.1.3. Relatar todas as questões de Privacidade considerando-se um contexto de processo contínuo.
5.2. 7 Etapas:
5.2.1. Etapa #1: Implementar práticas Governança para o gerenciamento do uso dos Dados Pessoais ao longo de todo o Ciclo de Vida.
5.2.2. Etapa #2: Manter avisos de Privacidades sobre os Dados Pessoais.
5.2.3. Etapa #3: Executar um plano de solicitações, reclamações e retificações.
5.2.4. Etapa #4: Executar uma Avaliação de riscos de Proteção de Dados – Análise de Impacto a Proteção de Dados – AIPD.
5.2.5. Etapa #5: Emitir Relatório de Proteção de Dados e Privacidade.
5.2.6. Etapa #6: Manter documentação de Privacidade de Dados.
5.2.7. Etapa #7: Estabelecer e manter um Plano de Resposta de Violação de Privacidade.
5.3. 9 Resultados:
5.3.1. Estabelecer uma estrutura de Proteção de Dados e Governança da Privacidade para uma melhor proteção dos dados e gerenciamento de privacidade.
5.3.1.1. Estratégia de Proteção de Dados e Privacidade atualizada - Etapa #1.
5.3.1.2. Política de Proteção de Dados - Etapa #1.
5.3.1.3. Procedimentos para manter Avisos de Privacidade de Dados - Etapa #2.
5.3.1.4. Plano de tratamento de solitações, reclamações e retificação - Etapa #3.
5.3.1.5. Processo de Avaliação de Riscos para Proteção de Dados - Etapa #4.
5.3.1.6. Plano de Gerenciamento de Riscos de Terceiros - Etapa #4.
5.3.1.7. Relatório de Proteção de Dados & Privacidade - Etapa #5.
5.3.1.8. Documentação de Privacidade de Dados - Etapa #6.
5.3.1.9. Plano de Resposta à Violação de Privacidade de Dados - Etapa #7.
6. Fase-5: Melhoria
6.1. Objetivo:
6.1.1. Avaliar, monitorar e melhorar continuamente todos os aspectos específicos de Proteção de Dados e Privacidade da Organização (controles, políticas, procedimentos, práticas, etc.).
6.1.1.1. Monitorar a operação e a resolução de todas as questões relacionadas à Privacidade.
6.1.1.2. Avaliar regularmente a conformidade dos processos e políticas internas.
6.1.1.3. Melhorar a Proteção de Dados e as medidas de Privacidade.
6.2. 7 Etapas:
6.2.1. Etapa #1: Realizar auditoria interna de Proteção de Dados e Privacidade.
6.2.2. Etapa #2: Envolver uma parte externa para avaliações de Proteção de Dados e Privacidade.
6.2.3. Etapa #3: Realizar avaliações e estabelecer benchmarkes (comparações).
6.2.4. Etapa #4: Executar uma Avaliação de riscos de Proteção de Dados – Análise de Impacto a Proteção de Dados – AIPD.
6.2.5. Etapa #5: Resolver riscos de Proteção de Dados e Privacidade.
6.2.6. Etapa #6: Relatar análise de riscos de Proteção de Dados e Privacidade e resultados
6.2.7. Etapa #7: Monitorar as leis e regulamentos de Privacidade de Dados.
6.3. 9 Resultados:
6.3.1. Monitoração e auditaria contínua dos aspectos de Proteção e Privacidade de Dados para a identificação de falhas e pontos de melhorias nos atuais procedimentos e controles implementados, incluindo um plano de ação para a melhoria contínua da Política e Programa de Proteção e Privacidade de Dados Pessoais.
6.3.1.1. Relatório de auditoria interna sobre PD & P - Etapa #1.
6.3.1.2. Relatório de auditoria externa sobre PD & P - Etapa #2.
6.3.1.3. Relatório de Avaliação de Privacidade ad-hoc - Etapa #3.
6.3.1.4. Relatório de autoavaliação de Privacidade - Etapa #3.
6.3.1.5. Relatório de benchmark (comparação) de Privacidade - Etapa #3.
6.3.1.6. Relatório de Avaliação de Impacto sobre a Proteção de Dados – AIPD - Etapa #4.
6.3.1.7. Relatório de riscos tratados para PD & P - Etapa #5.
6.3.1.8. Relatório de Análise de Riscos e Resultados de PD & P - Etapa #6.
6.3.1.9. Relatório de Monitoramento da Legislação envolvida na Privacidade de Dados Pessoais - Etapa #7.