Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME Protegido por Eduzz.com p e c k s l e i m a n. c o m. b r

Melhores

Práticas

ISO

27001

NIST

PCI DSS

ISO 27001

• Identificar as informações que serão protegidas

• Verificar o local e o formato de armazenamento

• Verificar como ela é acessada

• Verificar quem pode acessá-la

• Definir níveis de acesso

“notificação de

incidente

transparência: garantia, aos titulares, de

informações claras, precisas e facilmente

acessíveis

sobre

a

realização

do

tratamento e os respectivos agentes de

tratamento,

observados

os

segredos

comercial e industrial (art. 6º, VI, LGPD)

“1. Os dados pessoais são:

a) Objeto de um tratamento lícito,

leal e transparente em relação

ao titular dos

dados” (GDPR)

Art. 48, LGPD. O controlador deverá

comunicar à autoridade nacional e ao

titular a ocorrência de incidente de

segurança que possa acarretar risco

ou dano relevante aos titulares.

§ 1º A comunicação será feita em prazo

razoável, conforme definido pela autoridade

I - a descrição da natureza dos dados pessoais

afetados;

II - as informações sobre os titulares envolvidos;

III - a indicação das medidas técnicas e de

segurança utilizadas para a proteção dos dados,

observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente;

V

-

os

motivos

da

demora,

no

caso

de

a

comunicação não ter sido imediata; e

VI - as medidas que foram ou que serão adotadas

para reverter ou mitigar os efeitos do prejuízo.

§ 2º A autoridade nacional verificará a gravidade

do incidente e poderá, caso necessário para a

salvaguarda

dos

direitos

dos

titulares,

determinar

ao

controlador

a

adoção

de

providências, tais como:

I - ampla divulgação do fato em meios de

comunicação; e

II - medidas para reverter ou mitigar os

§ 3º No juízo de gravidade do incidente, será

avaliada eventual comprovação de que

foram adotadas medidas técnicas adequadas

que tornem os dados pessoais afetados

ininteligíveis,

no

âmbito

e

nos

limites

técnicos de seus serviços, para terceiros

Resolução 4.658/2018, BACEN:

Art. 1º Esta Resolução dispõe sobre a política de

segurança cibernética e sobre os

requisitos para a

contratação

de

serviços

de

processamento

e

armazenamento de dados e de

computação em

nuvem

a

serem

observados

pelas

instituições

financeiras e demais instituições

autorizadas a

funcionar pelo Banco Central do Brasil.

Art. 22, Resolução 4.658/2018. Sem

prejuízo do dever de sigilo e da livre

concorrência, as instituições

mencionadas

no

art.

1º

devem

desenvolver

iniciativas

para

o

compartilhamento de informações

sobre os incidentes relevantes de que

trata o art. 3º, inciso IV.

§ 1º O compartilhamento de que trata o caput

deve abranger informações sobre

incidentes relevantes recebidas de empresas

prestadoras de serviços a terceiros.

§ 2º As informações compartilhadas devem

estar disponíveis ao Banco Central do

Notificação na

GDPR

Art. 33:

comunicação

à autoridade

Art. 34:

comunicação

ao titular

Art. 33, 1, GDPR.

Em caso de violação de dados

pessoais, o responsável pelo tratamento notifica

desse facto a autoridade de controlo competente nos

termos do artigo 55.o, sem demora injustificada e,

sempre que possível, até 72 horas após ter tido

conhecimento da mesma, a menos que a violação

dos dados pessoais não seja suscetível de resultar

num risco para os direitos e liberdades das pessoas

singulares. Se a notificação à autoridade de controlo

não for transmitida no prazo de 72 horas, é

2. O subcontratante notifica o responsável

pelo tratamento sem demora injustificada

após ter conhecimento de uma violação de

dados pessoais.

3. A notificação referida no n.o 1 deve, pelo menos:

a) Descrever a natureza da violação dos dados pessoais incluindo, se

possível, as categorias e o número aproximado de titulares de dados afetados,

bem como as categorias e o número aproximado de registos de dados

pessoais em causa;

b) Comunicar o nome e os contactos do encarregado da proteção de dados ou

de outro ponto de contacto onde possam ser obtidas mais informações;

c) Descrever as consequências prováveis da violação de dados pessoais;

d) Descrever as medidas adotadas ou propostas pelo responsável pelo

tratamento para reparar a violação de dados pessoais, inclusive, se for caso

disso, medidas para atenuar os seus eventuais efeitos negativos;

4.

Caso, e na medida em que não

seja

possível

fornecer

todas

as

informações ao mesmo tempo, estas

podem ser fornecidas por fases,

5.

O

responsável

pelo

tratamento

documenta quaisquer violações de dados

pessoais,

compreendendo

os

factos

relacionados com as mesmas, os respetivos

efeitos e a medida de reparação adotada.

Essa

documentação

deve

permitir

à

autoridade

de

controlo

verificar

o

cumprimento do disposto no presente artigo.

Art. 34, 1.

Quando a violação dos dados

pessoais for suscetível de implicar um

elevado

risco

para

os

direitos

e

liberdades das pessoas singulares, o

responsável pelo tratamento comunica a

violação de dados pessoais ao titular dos

dados sem demora injustificada.

2.

A comunicação ao titular dos dados a que

se refere o n.o 1 do presente artigo descreve

em linguagem clara e simples a natureza da

violação dos dados pessoais e fornece, pelo

menos, as informações e medidas previstas no

artigo 33.o, n.o 3, alíneas b), c) e d).

3.

A comunicação ao titular dos dados a que se refere o n.o 1 não é

exigida se for preenchida uma das seguintes condições:

a) O responsável pelo tratamento tiver aplicado medidas de proteção

adequadas, tanto técnicas como organizativas, e essas medidas tiverem

sido aplicadas aos dados pessoais afetados pela violação de dados

pessoais,

especialmente

medidas

que

tornem

os

dados

pessoais

incompreensíveis para qualquer pessoa não autorizada a aceder a esses

dados, tais como a cifragem;

b) O responsável pelo tratamento tiver tomado medidas subsequentes que

assegurem que o elevado risco para os direitos e liberdades dos titulares

dos dados a que se refere o n.o 1 já não é suscetível de se concretizar; ou

c) Implicar um esforço desproporcionado. Nesse caso, é feita uma

comunicação pública ou tomada uma medida semelhante através da qual os

4. Se o responsável pelo tratamento não tiver

já comunicado a violação de dados pessoais

ao titular dos dados, a autoridade de controlo,

tendo

considerado

a

probabilidade

de

a

violação de dados pessoais resultar num

elevado risco, pode exigir-lhe que proceda a

essa notificação ou pode constatar que se

encontram preenchidas as condições referidas

no n.o 3.

Art. 42. O controlador ou o operador

que, em razão do exercício de atividade

de

tratamento

de

dados

pessoais,

causar a outrem dano patrimonial,

moral, individual ou coletivo, em

violação à legislação de proteção de

dados pessoais, é obrigado a repará-lo.

§ 1º A fim de assegurar a efetiva indenização ao titular dos

dados:

I - o operador responde solidariamente pelos danos causados

pelo

tratamento

quando

descumprir

as

obrigações

da

legislação de proteção de dados ou quando não tiver

seguido as instruções lícitas do controlador, hipótese em que

o operador equipara-se ao controlador, salvo nos casos de

exclusão previstos no art. 43 desta Lei;

II - os controladores que estiverem diretamente envolvidos no

tratamento do qual decorreram danos ao titular dos dados

respondem solidariamente, salvo nos casos de exclusão

previstos no art. 43 desta Lei.

§ 2º O juiz, no processo civil, poderá inverter o

ônus da prova a favor do titular dos dados

quando, a seu juízo, for verossímil a alegação,

houver hipossuficiência para fins de produção

de prova ou quando a produção de prova pelo

titular resultar-lhe excessivamente onerosa.

§ 3º As ações de reparação por danos

coletivos

que

tenham

por

objeto

a

responsabilização nos termos do caput deste

artigo podem ser exercidas coletivamente

em juízo, observado o disposto na legislação

pertinente.

§ 4º Aquele que reparar o dano ao titular

tem direito de regresso contra os demais

responsáveis,

na

medida

de

sua

participação no evento danoso.

Art. 43. Os agentes de tratamento só não serão

responsabilizados quando provarem:

I - que não realizaram o tratamento de dados

pessoais que lhes é atribuído;

II - que, embora tenham realizado o tratamento de

dados pessoais que lhes é atribuído, não houve

violação à legislação de proteção de dados; ou

III - que o dano é decorrente de culpa exclusiva

Art. 44. O tratamento de dados pessoais será irregular

quando deixar de observar a legislação ou quando não

fornecer a segurança que o titular dele pode esperar,

consideradas as circunstâncias relevantes, entre as quais:

I - o modo pelo qual é realizado;

II - o resultado e os riscos que razoavelmente dele se

esperam;

III - as técnicas de tratamento de dados pessoais disponíveis

à época em que foi realizado.

Parágrafo

único.

Responde

pelos

danos

decorrentes da violação da segurança dos

dados o controlador ou o operador que, ao

deixar de adotar as medidas de segurança

previstas no art. 46 desta Lei, der causa ao

Art. 45. As hipóteses de violação do

direito do titular no âmbito das

relações de consumo permanecem

sujeitas

às

regras

de

responsabilidade

previstas

na

legislação pertinente.

Art. 12, CDC O fabricante, o produtor, o

construtor,

nacional

ou

estrangeiro,

e

o

importador respondem, independentemente da

existência de culpa, pela reparação dos danos

causados

aos

consumidores

por

defeitos

decorrentes de projeto, fabricação, construção,

montagem, fórmulas, manipulação, apresentação

ou acondicionamento de seus produtos, bem

como

por

informações

insuficientes

ou

inadequadas sobre sua utilização e riscos.

Crise de imagem e

de reputação

Gestão de crises

Atuação conjunta

dos setores da

empresa

Respostas

rápidas

Linguagem

polida e clara

Transparência

Contatos

Walter Capanema

waltercapanema@smart3br.com

Agradecemos

pela atenção.