1. FASE 1 PREPARAÇÃO
1.1. OBJETIVOS
1.1.1. Geral - PREPARAR A EMPRESA PARA A PRIVACIDADE
1.1.2. Ojetivos Específicos
1.1.2.1. Analisar os requerimentos e necessidades de privacidade e proteção de dados que impactam a empresa
1.1.2.2. Coletar as leis, padrões e regulações relacionadas a privacidade e proteção de dados
1.1.2.3. Estabelecer um plano de ação com os recursos necessários para preparar a empresa para gerenciar os dados pessoais
1.2. Ações Necessárias
1.2.1. Passo 1 Conduzir uma análise de privacidade
1.2.1.1. Faça uma análise da proteção de dados e do panorama de privacidade da empresa
1.2.1.1.1. estatutos, leis e regulamentos que afetam todos os negócios em que a empresa está envolvida e os países em que opera
1.2.1.2. Faça uma análise da prontidão e conscientização de sua empresa
1.2.1.2.1. (Diretoria, equipe de gerenciamento, etc) em relação à proteção de dados e privacidade
1.2.1.3. Registre os resultados em um relatório
1.2.1.3.1. (proteção de dados e relatório de análise de privacidade)
1.2.1.3.2. ação1 - observe quem envia informações pessoais para a organização (clientes, bancos, agências de crédito, candidatos a emprego)
1.2.1.3.3. ação 2 documente como sua empresa ou organização recebe dados pessoais (por website, email, correio, caixas registradoras)
1.2.1.3.4. ação 3 observe que tipos de dados pessoais você coleta em cada ponto de entrada, informações de cartão de crédito, se o departamento de contabilidade mantém informações
1.2.1.3.5. ação 4 Registre onde você guarda os dados coletados em cada ponto de entrada - em banco de dados, laptops, smartfones
1.2.1.3.6. ação 5 observe quem tem, ou poderia ter, acesso aos dados pessoais coletados, quais os funcionários têm permissão para acessar, a razão pela qual têm acesso, outros usuários, fornecedores,
1.2.2. Passo 2 Coletar as Leis de privacidade
1.2.2.1. Colete todas as regras de proteção de dados e privacidade, regulamentos e padrões, a nível nacional e internacional
1.2.2.1.1. Dar ênfase aos princípios previstos na legislação
1.2.3. Passo 3 Analisar os impactos de privacidade
1.2.3.1. Analise, estude e compreenda o impacto que as regras e regulamentos e padrões de privacidade e proteção de dados podem ter nas operações de sua empresa.
1.2.3.2. Crie um plano para os impactos encontrado e designe um Diretor para mantê-lo de acordo com os procedimentos da empresa
1.2.4. Passo 4 Realizar auditorias e avaliações iniciais
1.2.4.1. Execute uma auditoria inicial de dados pessoais e uma avaliação de proteção de dados
1.2.4.2. Rascunhe e emita o seu relatório de auditoria de dados pessoais
1.2.4.3. Ao realizar auditorias iniciais de dados pessoais e avaliações de proteção de dados, identificar os riscos de privacidade e proteção de dados para indivíduos, riscos de conformidade e quaisquer riscos relacionados
1.2.5. Passo 5 Estabelecer uma Organização de Governança de dados
1.2.5.1. Crie um comitê de Governança de Dados -
1.2.5.1.1. O papel é revisar os possíveis impactos e riscos da privacidade e proteção de dados, abrangendo dados estruturados e não estruturados
1.2.5.2. Indique os papéis de governança de dados
1.2.5.2.1. desenvolver as responsabilidades, para futuramente nomear e treinar pessoal adequado
1.2.6. Passo 6 Fluxo de dados e inventário de dados pessoais
1.2.6.1. Conhecer os fluxos de dados dentro da organização ajudará a implementar e monitorar a proteção de dados
1.2.6.2. Documentar e manter a documentação de fluxo de dados dentro e fora da empresa
1.2.6.3. Inventário de dados pessoais
1.2.6.3.1. Localização de todos os tipos de dados
1.2.6.3.2. Identificação dos funcionários, que possuem acesso aos dados
1.2.6.3.3. Processo para garantir que o inventário seja atualizado regularmente
1.2.6.3.4. A área da Proteção de dados redige a Política de Privacidade de dados eficaz como a empresa Coleta, utiliza e divulga os dados pessoais.
1.2.7. Passo 7 Estabelecer o programa de privacidade e proteção de dados
1.2.7.1. Criar o plano de treinamento
1.2.7.1.1. realize uma análise dos aspectos de comunicação e treinamento exigidos para os funcionários da sua empresa em relação à privacidade proteção de dados
1.2.7.2. Proteção de dados e estratégia de privacidade
1.2.7.2.1. A estratégia é baseada na Avaliação de Risco de proteção de dados e ira Refletir a natureza da organização e sua missão Desenvolver uma visão para o programa de privacidade e proteção dos dados Definir o escopo do progragrama Estabelecer a função do DRP Detalhar as estratégias
1.2.7.3. Programa de privacidade e proteção de dados
1.2.7.3.1. O programa de privacidade e proteção de dados é ativado pela declaração de missão de privacidade da empresa que:
1.2.8. Passo 8 Construir um plano de ação de implementação
1.2.8.1. Redigir e enviar um relatório ao conselho contendo
1.2.8.1.1. Análise e os resultados das atividades de análise e preparação de privacidade
1.2.8.1.2. Um orçamento
1.2.8.1.3. um conjunto de planos de ação
1.2.8.1.4. O relatório deve ser revisado e aprovado, para que recursos e pessoal sejam empregados para projetar, desenvolver e operar o programa de privacidade e proteção de dados para a empresa
1.3. Produtos
1.3.1. O PRINCIPAL PRODUTO
1.3.1.1. Preparar a empresa ( Conselho, Gerência e funcionários) para serem mais efetivos lidando com os riscos de privacidade e proteção de dados, gerenciando e resolvendo melhor as questões, diminuindo o máximo possível os impactos operacionais, proteção à marca e multas.
1.3.2. Documentos:
1.3.2.1. Relatório de análise de Privacidade e Proteção de Dados
1.3.2.2. Manual de Leis e Privacidade
1.3.2.3. Relatório de Auditoria de Dados pessoais
1.3.2.4. Sistema de Fluxo de Dados
1.3.2.5. Inventário de dados pessoais
1.3.2.6. Política de Proteção de Dados
1.3.2.7. Plano de Treinamento em Privacidade
1.3.2.8. Programa de Privacidade e Proteção de Dados
1.3.2.9. Orçamento e Relatório de Privacidade e Proteção de Dados
1.3.2.10. Plano de Ação de implementação de privacidade e proteção de dados
2. Fase 2 ORGANIZAÇÃO
2.1. OBJETIVO
2.1.1. Estabelecer a Estrutura Organizacional e Mecanismos de Privacidade
2.1.2. Objetivos Específicos
2.1.2.1. Projetar e configurar o programa de privacidade e proteção de dados
2.1.2.2. Nomear um DPO
2.1.2.3. Engajar e comprometer todas as Partes preocupadas com a Privacidade e proteção de Dados.
2.2. AÇÕES NECESSÁRIAS
2.2.1. Passo 1 - Manter o Programa de Privacidade de Dados, Políticas e Controles de Governança
2.2.1.1. Na fase de preparação as empresas criam uma estratégia e um programa de privacidade e proteção de dados, que são suportados pela política de privacidade e controles de dados, baseada em requisitos legais, regulatórios, de negócios e de dados que contém orientações abrangentes para a empresa e seus funcionários. Também deve ser implementado um procedimento para atualizar a política e o programa com base em mudanças na lei, regulamentos e processos de negócios.
2.2.1.2. O programa de privacidade e proteção de dados é ativado pela declaração de missão de privacidade da empresa que
2.2.1.2.1. Enfatiza o valor que a organização atribui à proteção de dados e à privacidade
2.2.1.2.2. Identifica os principais objetivos do programa de privacidade e proteção de dados
2.2.1.2.3. Fornece detalhes de proteção de dados, estratégias de privacidade e controles de governança para atingir os objetivos de privacidade
2.2.2. Passo 2 Designar e manter responsabilidades de Privacidade e Proteção de Dados
2.2.2.1. atribuir a responsabilidade pelos aspectos operacionais de um programa de privacidade e proteção de dados a um individuo. A proteção de dados e a privacidade (PD&P) pode ter cargos em tempo integral, por exemplo, o Encarregado de Proteção de Dados, ou podem fazer parte dos deveres do Diretor de Conformidade.
2.2.2.1.1. Projetar os deveres, papéis e responsabilidades do DPO
2.2.2.1.2. Selecionar ou nomear o encarregado de proteção de dados (DPO)
2.2.2.1.3. Assegurar que o DPO desempenhe suas funções com eficácia.
2.2.3. Passo 3 Manter a alta gerência engajada na Privacidade e Proteção de Dados
2.2.3.1. O nível sênior da organização deve ser envolvido, Diretoria ou c-Level
2.2.3.1.1. Patrocinar todas as questões relacionadas à PDP em uma reunião do conselho de administração
2.2.3.1.2. comunicar a importância da proteção de dados e da privacidade para a equipe e a gerência subordinada
2.2.3.1.3. Participar em iniciativas
2.2.3.1.4. Garantir financiamento adequado
2.2.4. Passo 4 Manter o compromisso com a Privacidade e Proteção de Dados
2.2.4.1. exige a contribuição e a participação de muitos membros da organização.
2.2.4.1.1. estabelecer uma rede de PDP, cujos membros trabalham em diferentes grupos funcionais ou departamentos
2.2.4.1.2. os membros da rede devem ter funções e responsabilidades claras que são definidas nas descrições de cargos e outros documentos (p. ex. contrato de trabalho)
2.2.4.2. Papéis que podem ser definidos
2.2.4.2.1. Diretor de Privacidade
2.2.4.2.2. Gestores de privacidade
2.2.4.2.3. Encarregados de Proteção de Dados (DPO)
2.2.4.2.4. Analistas de Privacidade
2.2.4.2.5. Membros da rede de proteção de dados e privacidade
2.2.4.2.6. Membros da equipe de resposta a incidentes de violação de dados.
2.2.4.3. Documentar compromisso reconhecendo e aderindo à PDP, em documento separado ou código de conduta, manual do funcionário ou cópia da PPPD (política de privacidade e proteção de dados)
2.2.5. Passo 5 Manter comunicação sobre os problemas de Privacidade e Proteção de Dados
2.2.5.1. Oa indivíduos responsáveis devem se comunicar regularmente para
2.2.5.1.1. Aprender sobre o uso de dados pessoais no contexto da empresa
2.2.5.1.2. Auxiliar proativamente na construção da privacidade e proteção de dados em todos os sistemas
2.2.5.1.3. Compreender as diferentes perspectivas sobre privacidade e prot de dados
2.2.5.1.4. Integrar a priv e prot de dados em toda a empresa
2.2.6. Passo 6 Manter as partes interessadas engajadas em Privacidade e Proteção de Dados
2.2.6.1. Para abordar proativamente a proteção de dados e questões de privacidade, bem como responder de forma efetiva a questões que sejam relevantes a área de Privacidade de Dados
2.2.6.1.1. Realiza comunicações informais ou ad hod com indivíduos cujas responsabilidades podem não incluir a privacidade de dados
2.2.6.1.2. Participa com vários comitês corporativos nas funções ou unidades de negócios cujas atividades pode ter proteção de dados e impactos na privacidade
2.2.6.1.3. Realiza discussões formais (p ex reuniões mensais) sobre problemas de privacidade e entre parceiros na organização que possuem responsabildiades.
2.2.7. Passo 7 Implementar e operar um sistema de Privacidade e Proteção de Dados
2.2.7.1. a proteção de dados é uma das prioridades mais críticas que as organizações enfrentam atualmente. As soluções precisam ter uma abordagem abrangente que comece identificando os dados valiosos em risco e planejando uma estratégia contínua de proteção de dados
2.2.7.1.1. solução - projetar as especificações de um sistema computadorizado e ferramentas de software para suportar o processo de proteção de priv de dados da organização e opera-lo com eficácia
2.2.7.1.2. Garantir a integridade dos dados por vários métodos, tais como:
2.3. PRODUTOS
2.3.1. Atualização de P&PD (passo1)
2.3.2. Atualização do programa de P&PD (passo1)
2.3.3. Atualização dos Controles de Governança (Passo 1)
2.3.4. Anúncio da Nomeação do DPO (Passo2)
2.3.5. Comunicação sobre P&PD (Passos 3,4,5 e 6)
2.3.6. Rede de P&PD (Passo 4)
2.3.7. Responsabilidades de P&pd no job description dos funcionários (Passo 4 )
2.3.8. Atualização do Plano de Conscientização, comunicação e treinamento (Passo 5)
2.3.9. Sistema Computadorizado de P&PD ( Passo 7)
2.3.10. Principal Produto
2.3.10.1. O principal produto da fase 2 é estabelecer a estrutura organizacional para melhor implementação de Privacidade e Proteção de Dados
3. Fase 3 DESENVOLVIMENTO E IMPLEMENTAÇÃO
3.1. OBJETIVOS
3.1.1. Geral - Desenvolver e implementar medidas e controles específicos de privacidade
3.1.2. Específico:
3.1.2.1. Projetar um sistema de classificação de dados
3.1.2.2. Desenvolver e implementar todas as Políticas, procedimentos e controles requeridos
3.2. AÇÕES NECESSÁRIAS
3.2.1. Passo 1 Desenvolver e implementar as estratégias, planos e políticas de P&PD
3.2.1.1. Tarefa de trabalho 1 Estratégias, planos e políticas de proteção de dados
3.2.1.1.1. Analisar e definir as necessidades e requisitos da empresa
3.2.1.1.2. Selecionar quais estratégias, planos, políticas e controles você implementará
3.2.1.1.3. atribuir responsabilidades para implementa-las.
3.2.1.2. Tarefa de trabalho 2 Sistema de classificação de dados, permitindo que se reduza o escopo do que precisa ser protegido e como
3.2.1.2.1. Desenvolver um sistema de classificação de dados como
3.2.1.2.2. Procedimentos para implementar o esquema de classificação de dados conjuntamente com a propriedade de dados, descrição dos requisitos de retenção e requisitos apropriados de uso e proteção dos dados no nível de classificação
3.2.2. Passo 2 Implementar o procedimento de aprovação para processamento de dados pessoais
3.2.2.1. Desenvolver procedimentos para determinar se a aprovação e documentação do processo de aprovação dos reguladores de privacidade é necessária como nos caso de
3.2.2.1.1. dados pessoais sensíveis
3.2.2.1.2. processamento de dados pessoais para fins de avaliação de aspectos pessoais do indivíduo
3.2.2.1.3. determinar a elegibilidade de um direito
3.2.2.1.4. coleta e processamento em grande escala (big data)
3.2.3. Passo 3 Registrar os Bancos de Dados Relativos a Dados Pessoais
3.2.3.1. Em certos casos ou jurisdições, as empresas e organizações devem notificar os órgãos reguladores de proteção de dados (nacionais, europeus) de seus bancos de dados que contém dados pessoais e o processamento pretendido e registra-los de acordo com as autoridades
3.2.3.2. A empresa deve desenvolver procedimentos para determinar
3.2.3.2.1. Quando deve registrar
3.2.3.2.2. que informações incluir
3.2.3.2.3. como proceder para registrar
3.2.3.2.4. documentar o processo de aprovação
3.2.4. Passo 4 Desenvolver e implementar um sistema de transferência de dados transfronteiriço
3.2.4.1. O envio de dados para o exterior, mesmo dentro da organização, pode aumentar os riscos de proteção de dados e complexidade de gerencia-los, devido aos diferentes requisitos da lei e privacidade
3.2.4.1.1. Desenvolver e implementar um sistema para manter documentos os mecanismos utilizados para embasar o processamento
3.2.4.1.2. manter a documentação referente a todos os fluxos transfonteiriços, rastreando seu uso e conformidade com mecanismos de transferência internacional, tais como
3.2.5. Passo 5 Executar as atividades de integração de P&PD
3.2.5.1. empresas e organizações incluem privacidade e proteção de dados em todas as suas operações, executando um conjunto específico de atividades de integração que incorporam a privacidade e proteção de dados em todos os seus aspectos, tais como
3.2.5.1.1. retenção de registros corporativos
3.2.5.1.2. contratação de pessoal
3.2.5.1.3. acesso ao site
3.2.5.1.4. marketing digital
3.2.5.1.5. mídia social
3.2.5.1.6. dispositivos portáteis e inteligentes
3.2.5.1.7. Saúde e segurança
3.2.5.1.8. desenvolvimento de sistemas e produtos
3.2.6. Passo 6 executar o plano de treinamento em privacidade e proteção de dados
3.2.6.1. As empresas devem treinar seus funcionários para melhor implementar a privacidade e proteção de dados em todos os seus programas, sistemas, projetos e funções. O plano inclui as seguintes ações:
3.2.6.1.1. Ação 1 - realizar treinamento contínuo em P&PD para o DPO
3.2.6.1.2. Ação 2 - Executar treinamento básico de privacidade para funcionários
3.2.6.1.3. Ação 3 - Executar treinamento adicional em privacidade para novas necessidades
3.2.6.1.4. Ação 4 - Incluir treinamento em privacidade de dados para outros treinamentos corporativos
3.2.6.1.5. Ação 5 - Manter a conscientização da privacidade de dados
3.2.6.1.6. Ação 6 Manter a certificação profissional de privacidade de dados para o pessoal de privacidade,
3.2.6.1.7. Ação 7 Medir atividades de conscientização e treinamento sobre privacidade de dados
3.2.7. Passo 7 Implementar os controles de segurança dos dados
3.2.7.1. As empresas implementam um conjunto de controles de segurança de dados para melhor proteção dos dados pessoais mantidos nos sistemas de TI e bancos de dados da empresa. Isso é feito de forma eficaz por meio de plano de segurança de dados que inclui as seguintes etapas:
3.2.7.1.1. 1 - incluir a privacidade de dados na política de segurança corporativa
3.2.7.1.2. 2 -incluir a priv de dados na política de segurança da informação
3.2.7.1.3. 3 - incluir a priv de dados na política de uso aceitável
3.2.7.1.4. 4 - incluir a priv de dados nas avaliações de risco de segurança
3.2.7.1.5. 5 - implementar os controles de segurança técnica de TI
3.2.7.1.6. 6 - implementar controles de segurança de recursos humanos
3.2.7.1.7. 7 - incluir a privacidade de dados no planejamento de continuidade de negócios
3.2.7.1.8. 8 - desenvolver e implementar uma estratégia de prevenção de perda de dados
3.2.7.1.9. 9 - realizar testes regulares de segurança de dados
3.2.7.1.10. 10 manter a certificação de segurança
3.3. PRODUTOS
3.3.1. O principal produto da fase 3 é desenvolver e implementar um conjunto de medidas de P&PD para gerenciar de forma mais efetiva os dados pessoais da empresa.
3.3.2. Documentos
3.3.2.1. Sistema de classificação de dados pessoais (Passo 1)
3.3.2.2. Procedimento de aprovação de processamento de dados pessoais (passo 2)
3.3.2.3. Documento de registro de Dados Pessoais (passo 3)
3.3.2.4. Sistema de transferência de dados transfronteiriço (passo 4)
3.3.2.5. Executar as atividade de integração de P&PD (passo 5)
3.3.2.6. Executar as atividades de treinamento em P&PD (passo 6)
3.3.2.7. Implementar os controles de segurança de dados (passo 7)
4. Fase 4 GOVERNANÇA
4.1. Obs Conceito de Governança
4.1.1. Governança corporativa corresponde aos processos, costumes, políticas, leis e instituições que são usados para fazer a administração de uma empresa. Governança corportativa também inclui as relações entre os envolvidos e os objetivos para os quais a corporação é governada. Nas organizações contemporâneas, os principais grupos de partes interessadas externas são os acionistas, os credores, o comércio, fornecedores , clientes e comunidades afetadas pelas atividades da corporação (também são conhecidos como stakeholders). Já as partes interessadas internamente são formadas pelo conselho de administração, executivos e demais empregados. Governança corporativa é um tema multifacetado, principalmente pela natureza e pela extensão da responsabilidade de indivíduos específicos na organização. Um dos impactos de um sistema de governança corporativa é na eficiência econômica, com ênfase no bem-estar dos acionistas. Em sua essência, a Governança Corporativa tem como principal objetivo recuperar e garantir a confiabilidade em uma determinada empresa para os seus acionistas, criando um conjunto eficiente de mecanismos, tanto de incentivos como de monitoramento, a fim de assegurar que o comportamento dos executivos esteja sempre alinhado com o interesse dos acionistas. A boa Governança Corporativa contribui para um desenvolvimento econômico sustentável, proporcionando melhorias no desempenho das empresas. Por estes motivos, torna-se tão importante ter conselheiros qualificados e sistemas de Governança Corporativa de qualidade, evitando-se assim diversos fracassos empresariais como abusos de poder, erros e fraudes.
4.2. OBJETIVOS
4.2.1. Geral - Estabelecer os mecanismos de governança de privacidade para as empresas
4.2.2. Objetivos específicos
4.2.2.1. Projetar e configurar as estruturas de governança de P&PD (EX programa de P&PD, DPO e Comitê de P&PD
4.2.2.2. Engajar e comprometer todas as partes envolvidas
4.2.2.3. Reportar todos os problemas sobre P&PD de forma contínua
4.3. AÇÕES NECESSÁRIAS
4.3.1. Passo 1 Implementar as práticas para gerenciamento do uso dos dados
4.3.1.1. 1. dados sensíveis -
4.3.1.1.1. exigem um padrão mais elevado de cuidado e proteção
4.3.1.1.2. políticas e procedimentos para coleta e uso de dados pessoais sensíveis (biométricos, crianças, etc)
4.3.1.1.3. O DPO deve garantir que essas práticas sejam implementadas totalmente para adicionar a proteção necessária para processar dados confidenciais de forma legal.
4.3.1.2. 2 - Implementar as práticas para gerenciamento do uso dos dados
4.3.1.2.1. mecanismos (práticas, políticas e procedimentos) para avaliar a significância de qualquer tomada de decisão automatizada (as decisões têm um efeito legal ou significativo sobre o indivíduo) e tomar medidas para introduzir um processo manual de revisão em que decisões significativas estão sendo tomadas.
4.3.1.2.2. O DPO deve garantir que estas práticas sejam implementadas para evitar os riscos potenciais de tomada de decisão automatizada
4.3.1.3. 3 - Uso secundário de dados pessoais
4.3.1.3.1. implementar mecanismos que definem o propósito do processamento dos dados pessoais e como lidar com situações em que deseja usar os dados pessoais de maneiras que divergem desses propósitos definidos
4.3.1.3.2. O DPO deve garantir que estas práticas sejam implementadas para evitar os riscos potenciais de processamento secundário não autorizado
4.3.2. Passo 2 - Manter notificações sobre privacidade de dados
4.3.2.1. Manter aviso de privacidade de dados para os indivíduos de acordo com a política, requisitos legais e tolerância a riscos operacionais. Identificar
4.3.2.1.1. Quais dados são coletados
4.3.2.1.2. como os dados pessoais são coletados
4.3.2.1.3. como são usados
4.3.2.1.4. como são mantidos, retidos
4.3.2.1.5. como são divulgados
4.3.2.1.6. qual o controle específico dos indivíduos cujos dados pessoais estão envolvidos
4.3.2.2. O aviso deve ser mantido em cada ponto de coleta ( on line, via mensagem de texto, telefone, pessoalmente, comunicações de marketing)
4.3.2.2.1. o indivíduo tem a oportunidade de revisar o aviso de privacidade de dados da empresa ou receber informações antes de fornecer os dados pessoais.
4.3.2.3. Fornecer informações simplificadas através de meios visuais e outros.
4.3.2.4. fornecer instruções para uso pelos funcionários da linha de frente para fornecer explicações básicas sobre as políticas e práticas de privacidade da organização
4.3.2.5. deve assegurar que os selos de privacidade ou marcas de confiança são exibidos no site para garantir aos visitantes a legitimidade e demonstrar um compromisso com os princípios de privacidade definidos por terceiros.
4.3.3. Passo 3 Executar planos de requisições, reclamações e retificações
4.3.3.1. executar atividades relacionadas ao tratamento de reclamações, gerenciar solicitações de acesso e atualização de informações pelos indivíduos de seus dados pessoais mantidos pela empresa. este plano deve conter procedimentos de
4.3.3.1.1. acessos a dados pessoais
4.3.3.1.2. reclamação de dados pessoais
4.3.3.1.3. retificação de dados pessoais
4.3.3.1.4. objeção de dados pessoais
4.3.3.1.5. portabilidade de dados pessoais
4.3.3.1.6. eliminação de dados pessoais
4.3.3.1.7. informação de manipulação de dados pessoais
4.3.4. Passo 4 Executar a Avaliação dos Riscos de Proteção de Dados
4.3.4.1. 1 - Avaliação de Risco de proteção de Dados
4.3.4.1.1. O escopo do programa de P&PD é determinado pelos desafios e dados de conformidade legal e regulamentar afetados
4.3.4.1.2. O DPO deve possuir um procedimento para conduzir uma avaliação de risco organizacional de proteção de dados nas unidades de negócios
4.3.4.1.3. a avaliação de risco de proteção de dados é um pré-requisito para o desenvolvimento de um programa de proteção de P&PD, no qual o DPO cria e supervisiona a proteção de dados de unidades de negócios individuais e autoavaliações de privacidade e segurança, análises de processos de negócios, melhoria de processos e treinamento etc.
4.3.4.2. 2 - Riscos de Terceiros
4.3.4.2.1. o DPO também garante que os riscos de terceiros sejam gerenciados adequadamente
4.3.4.3. 3 - Privacidade e avaliação de Riscos empresariais
4.3.4.3.1. As avaliações de risco de negócios, com o apoio do DPO devem também considerar os riscos de privacidade que podem aparecer, como um elemento adicional que afeta os negócios da organização
4.3.4.3.2. Essa análise e avaliação de riscos aborda somente os riscos de proteção e privacidade de dados.
4.3.5. Passo 5 - Fornecer relatórios de P&PD
4.3.5.1. Emitir um relatório para as partes interessadas internas sobre o status da proteção de dados e gerenciamento da privacidade, comunicado internamente, inclusive à administração, executivos seniores e conselho de administração.
4.3.5.2. Emitir um relatório para as parte interessadas externas sobre o status da proteção de dados e gerenciamento de privacidade.
4.3.6. Passo 6 - Manter a documentação de privacidade de dados
4.3.6.1. A empresa deve desenvolver, implementar e manter documentação atualizada que reflete o status do programa de P&PD.
4.3.6.2. A documentação deve estar disponível para demonstrar aos reguladores e autoridades como ela está em conformidade com as leis de P&PD, bem como é responsável pelo funcionamento do programa de P&PD
4.3.6.3. essa documentação também serve como evidência quando se candidata a "marcas de confiança", selos, BCRs, certificações e participação em outros programas de auto regulação.
4.3.7. Passo 7 Estabelecer o plano de resposta a violação de dados -
4.3.7.1. A empresa deve projetar, desenvolver, implementar e manter um plano de resposta a incidentes de segurança de dados ou violação de privacidade. As funções deste incidente de privacidade de dados ou plano de resposta a violações são:
4.3.7.1.1. manter um procedimento de notificação de violação aos indivíduos afetados
4.3.7.1.2. Relatar todos os incidentes de privacidade de dados ou violações a reguladores, agências de crédito, autoridades de aplicação da lei e outros terceiros externos
4.3.7.1.3. Manter registros que documentem os detalhes sobre incidentes com a finalidade de cumprir as leis de notificação de violação, sendo capazes de demonstrar a conformidade.
4.3.7.1.4. Assegurar que as notificações e relatórios de violação de privacidade de dados estejam alinhados com os requisitos legais e as melhores práticas
4.3.7.1.5. Monitorar, documentar e relatar métrica de violação ou incidente para que a eficácia das políticas seja avaliada e o conselho de administração e a administração estejam cientes e aloquem novos recursos necessários para mitigar os riscos.
4.3.7.1.6. realizar testes periódicos do incidente de privacidade.
4.3.7.1.7. Contratar os serviços de um provedor de correção à violação de privacidade de dados, para serviços que possam ser necessários para responder a uma violação, incluindo
4.3.7.1.8. obter cobertura adequada de seguro de violação de privacidade de dados para os custos associados , como notificações de correspondência e fornecimento de monitoramento de crédito custos de ações judiciais.
4.4. Produtos
4.4.1. PRINCIPAL PRODUTO
4.4.1.1. O principal produto da Fase 4 é estabelecer estruturas de governança de Privacidade e Proteção de Dados para um melhor gerenciamento de Privacidade
4.4.2. DOCUMENTOS
4.4.2.1. Estratégia atualizada de de P&PD (Passo 1)
4.4.2.2. Política de Proteção de Dados (passo 1)
4.4.2.3. Procedimento de Manutenção de Notificações de Privacidade de Dados (passo 2)
4.4.2.4. Plano de requisições, reclamações e retificações (Passo 3)
4.4.2.5. Processo de Avaliação de Risco de Proteção de Dados (Passo 3)
4.4.2.6. Plano de Gerenciamento de Risco de Terceiros (Passo 4)
4.4.2.7. Relatório de P&PD (passo 6)
4.4.2.8. Documentação da Privacidade de Dados (Passo 6)
4.4.2.9. Plano de resposta à violação de dados (Passo 7)
5. FASE 5 AVALIAÇÃO E MELHORIA
5.1. OBJETIVOS
5.1.1. Objetivo Geral
5.1.1.1. Avaliar e melhorar a P&PD
5.1.2. Objetivos Específicos
5.1.2.1. Monitorar a operação e resolução de todos os aspectos relacionados a P&PD
5.1.2.2. Avaliar com regularidade a conformidade da empresa com os processos internos e processos operacionais de P&PD
5.1.2.3. Melhorar as medidas e controles de privacidade e proteção de dados com base em revisões e auditorias internas e externas
5.2. AÇÕES NECESSÁRIAS
5.2.1. Passo 1 Realizar auditorias internas de P&PD
5.2.1.1. em particular, mas não exclusivamente, a auditoria cobre os dados pessoais contidos nos seguintes sistemas e formatos:
5.2.1.1.1. Bases de dados de computadores
5.2.1.1.2. Sistemas de gerenciamento de documentos (incluindo documentos armazenados em estruturas de diretório padrão fornecidos por tais instalaçôes)
5.2.1.1.3. Computadores individuais devem ser usados onde for apropriado
5.2.1.1.4. Diretórios mal estruturados
5.2.1.1.5. Sistemas manuais de estruturação que podem conter dados pessoais
5.2.1.1.6. sistemas manuais de estruturação que podem conter dados pessoais
5.2.1.1.7. páginas web
5.2.1.1.8. fotografias, microficha
5.2.1.1.9. gravações de vídeo, áudio etc.
5.2.2. Passo 2 Engajar terceiros para realizar avaliações de P&PD
5.2.2.1. solicitar que a avaliação seja executada por um provedor de serviços externo, para validar a conformidade com as políticas internas de privacidade e requisitos legais.
5.2.3. Passo 3 Realizar verificações de privacidade e benchmarks
5.2.3.1. 1 Avaliações de privacidade ad hoc
5.2.3.1.1. O DPO deve ter procedimentos para realizar avaliações da conformidade da unidade de negócios com as políticas de privacidade em uma base periódica
5.2.3.1.2. avaliar a conformidade com a privacidade
5.2.3.1.3. determinar os riscos de privacidade
5.2.3.1.4. identificar quaisquer lacunas que devem ser corrigidas
5.2.3.2. 2 Autoavaliações de privacidade
5.2.3.2.1. procedimento para avaliar as práticas de privacidade de unidades de negócios individuais com o objetivo de melhorar a proteção de dados e práticas de negócios
5.2.3.3. 3 Benchmarks de privacidade
5.2.3.3.1. comparar os resultados com auditorias e avaliações anteriores, para identificar melhorias ou áreas que possam ter se deteriorado
5.2.3.3.2. fazer comparações entre as unidades de negócios em relação à conformidade com a privacidade
5.2.3.3.3. medir o desempenho da P&PD em relação a outras entidades semelhantes
5.2.4. Passo 4 executar Data Protection Impact Assessments (AIPD ou DPIA)
5.2.4.1. Avalições iniciais - adotar políticas, procedimentos e práticas para determinar quando são necessárias como parte do processo de desenvolvimento de novos programas, sistemas e processos
5.2.4.2. Mudanças - ter políticas e procedimentos a seguir quando as unidades operacionais propõem mudanças. Privacidade RE-DESIGN, para garantir que a privacidade e proteção de dados sejam consideradas em todos os pontos
5.2.4.3. Diretrizes e modelos - como realizar o AIPD
5.2.5. Passo 5 - Resolver os riscos de Privacidade e Proteção de Dados
5.2.5.1. Inserir a avaliação de impacto de privacidade (PIAs) ou a avaliação de impacto dedados (DPIAs) precisam ser inseridas no planejamento das próximas etapas de um sistema, processo ou projeto
5.2.6. passo 6 Reportar os resultados das análises de Privacidade e Proteção de Dados
5.2.6.1. As empresas devem relatar a análise e os resultados dos riscos de privacidade proteção de dados aos reguladores, quando necessário, e às partes interessadas (clientes, funcionários, etc), conforme apropriado, por vários motivos
5.2.6.2. Essas razões incluem casos em que já riscos de privacidade que não podem ser mitigados por meios razoáveis pela empresa ou podem levar mais tempo.
5.2.6.3. emitidos para que possam ser informados dos riscos de privacidade antes do lançamento de um novo produto, programa, sistema, processo ou transferência de dados para outra jurisdição.
5.2.7. Passo 7 Monitorar as leis e regulamentações de Privacidade de Dados
5.2.7.1. acompanhar o progresso e os relatórios para as partes interessadas sobre o impacto que o desenvolvimento terá no programa de privacidade da organização
5.2.7.2. solicitar opinião do consultor jurídico da organização sobre o impacto das alterações
5.2.7.3. mantenha-se informado de como os novos desenvolvimentos (leis e regulamentos) foram tratados, incluindo registros do que foi alterado e por quê, bem como documentar decisões.
5.3. PRODUTOS
5.3.1. Principal produto
5.3.1.1. O principal produto da Fase 5 é auditar os aspectos de Privacidade e Proteção de Dados da empresa para encontrar lacunas e erros na implementação de medidas e controles relacionadas à Privacidade e Proteção de Dados e agendar ações de melhoria
5.3.2. DOCUMENTOS
5.3.2.1. Relatório de Auditoria Interna de Privacidade e Proteção de dados (passo 1)
5.3.2.2. Relatório de auditoria externa de P&PD (passo 2)
5.3.2.3. Relatório de Verificação de Privacidade ad-hoc (passo 3)
5.3.2.4. Relatório de Auto Avaliação de Privacidade (passo 3)
5.3.2.5. Relatório de Benchmark de Privacidade (passo 3)
5.3.2.6. Relatório de DPIA (Passo 4)
5.3.2.7. Relatório de riscos Resolvidos de Privacidade e Proteção de dados (passo 5)
5.3.2.8. Relatório de Análise de Riscos e Resultados de Privacidade e Proteção de Dados (passo 6)
5.3.2.9. Relatório de Monitoramento das Leis de Privacidade (passo 7)