Legislação Digital e Ciber Segurança e Ciber Segurança
DRA. PATRICIA PECK
• Sócia Fundadora do Escritório Patricia Peck Pinheiro Advogados
• Advogada formada pela Universidade de
• Árbitra do Conselho Arbitral do Estado de São Paulo – CAESP
• Vice Presidente Jurídica da Associação
• Advogada formada pela Universidade de São Paulo (USP)
• Doutoranda em Direito Internacional pela Universidade de São Paulo (USP)
• Vice‐Presidente Jurídica da Associação Brasileira dos Profissionais e Empresas de Segurança da Informação, ASEGI Membro homenageada pelo Instituto Brasileiro de Universidade de São Paulo (USP)
• Pesquisadora visitante em Direito
Comparado e Propriedade Intelectual no Instituto Max Planck (Hamburgo e
Direito Digital – IBDDIG em 2014
• Presidente do Instituto IStart e Movimento Família mais Segura (www.istart.org.br) Instituto Max Planck (Hamburgo e
Munique ‐Alemanha)
• Pesquisadora visitante na Columbia University (NYC – EUA)
• Sócia da Peck Sleiman EDU
• Premiada 7 anos consecutivos de 2010 a 2016 como uma das advogadas brasileiras Advogada
Especialista em Direito Digital
University (NYC EUA)
• Professora convidada da Escola de Inteligência do Exército Brasileiro
2016 como uma das advogadas brasileiras mais admiradas em propriedade
intelectual
• Recebeu 2 vezes o prêmio Security Leaders Mais Admirada
em Propriedade Intelectual
i l S • Professora da pós‐graduação da Fundação Instituto de Administração (FIA)
• Professora convidada para integrar Banca
E i d d D d d I i d
Recebeu 2 vezes o prêmio Security Leaders 2012 e 2014
• Condecorada com três medalhas militares pelas forças armadas – Medalha do
Nacional, SP e Segmento Bancos
Examinadora de Doutorado do Instituto de Tecnologia da Aeronáutica (ITA)
• Autora de 17 livros sobre Direito Digital
p ç
Pacificador, Medalha Mérito Tamandaré e Ordem do Mérito Militar
2
Autora de 17 obras
3
INTRODUÇÃO Ç SOCIEDADE PAPERLESS PAPERLESS
4
• 2001 – Polaroid declarou falência!
•2012 – Ressurgiu lançando a sua câmera digital!
Foto: http://www.google.com.br/imgres?q=polaroid+digital+camera
5 17
Dados pessoais como insumo
Sociedade orientada por dados (Data‐Driven‐Society)
6
Até aonde vai a portinha digital do seu negócio?
Como internet não tem fronteiras negócios Como internet não tem fronteiras, negócios digitais já nascem globais. Então, já precisam
f áli d li d Di it
fazer uma análise de compliance de Direito Digital Internacional, comparando as regras e g p g
delimintando limites de responsabilidade.
7
Vivemos na era em que tudo migrou para Internet Vivemos na era em que tudo migrou para Internet....
8
FONTE:THILAKARATHNA, Disponível em https://openclipart.org/detail/20369/computer; CINEMACOOKIE, disponível em https://openclipart.org/detail/189782/pirate‐skull‐remastered; AUNGKARNS disponível em https://openclipart.org/detail/79363/paperwritepen https://openclipart.org/detail/62989/scales‐of‐justice; LEANDROSCIOLA, disponível em https://openclipart.org/detail/188525/family‐fama%C2%ADlia; WAKRO, disponível em https://openclipart.org/detail/162253/shopping‐basket‐blue; WARSZAWIANKA disponível em https://openclip applications‐internet; MFDZG disponível em https://openclipart.org/detail/222588/money ; acessado em 29.07.2015 às 16h. Finalidade Educacional.
SOCIEDADE DIGITAL
Família Digital Conectada
9
Social Media Data Social Media Data
Sociomatics – análise de consumidores e cidadãos
Fonte:https://www sociomantic com Acessado
10 http://g1.globo.com/jornal‐hoje/noticia/2016/03/receita‐federal‐analisa‐redes‐sociais‐
para‐checar‐patrimonio‐das‐pessoas.html Fonte:https://www.sociomantic.com.Acessado em 22.11.2016
QUEBRA DE PARADIGMAS QUEBRA DE PARADIGMAS
Inovação T ló i
= IOT
BIG DATA NOVOS RISCOS DIGITAIS
Tecnológica BIG DATA
IA NOVOS RISCOS DIGITAIS INTERSISTÊMICOS?
EMPRESAS =
LESS PaperM B i
NOVAS
REGULAMENTAÇÕES?
More Business
Ç
Novos Modelos de Negócio
11
Dados informações Dados, informações,
conteúdos e tudo o que gera o
h i t tê
conhecimento têm VALOR
VALOR
A t D h id Di í l htt // i h / if / bli d i di 12E 7W CA j84
12
Autor Desconhecido. Disponível em https://giphy.com/gifs/swag‐money‐publicdomaindiva‐12Eo7WogCAoj84
Novos Paradigmas Novos Paradigmas
Novos Riscos
13
Desafio dos
Cidadão 3.0
S t d
Negócios
Sequestro de dados
Corporativo e p Pessoal
Hackers
Cidades Digitais inteligentes
Mobilidade Vírus
14
Vírus
NEORG. Wifi. Finalidade comercial. Disponível em: <https://openclipart.org/detail/191831/wifi‐icon>. Acesso em: 06 abr. 2016. JCARTIER.City 1.Finalidade comercial. Disponível em:
<https://openclipart.org/detail/17359/city‐1>. Acesso em: 06 abr. 2016. COLLETONGIS.Property Taxes Icon.Finalidade comercial. Disponível em: <https://openclipart.org/detail/195830/property‐taxes‐icon>. Acesso em: 06 abr. 2016. ROOTWORKS.Citizen engagement.Finalidade comercial. Disponível em: <https://openclipart.org/detail/226665/citizen‐engagement>. Acesso em: 06 abr. 2016. USR_SHARE.Smartphone (layered).Finalidade comercial. Disponível em: <https://openclipart.org/detail/216525/smartphone‐layered>. Acesso em: 06 abr. 2016. QUBODUP.Virus.Finalidade comercial. Disponível em: <https://openclipart.org/detail/205971/virus>.
Acesso em: 06 abr. 2016. JORGEISAAC34.Anonimous mask.Finalidade comercial. Disponível em: <https://openclipart.org/detail/167287/anonimous‐mask>. Acesso em: 06 abr. 2016. MOINI.Server rack.Finalidade comercial. Disponível em: <https://openclipart.org/detail/139525/server‐rack>. Acesso em: 06 abr. 2016. JASCHON.Padlock Icon.Finalidade comercial. Disponível em: <https://openclipart.org/detail/68533/padlock‐icon>.
Acesso em: 06 abr. 2016.
Visão do que está por Visão do que está por
vir:
vir:
Privacy Risks y
Cyber Security Risks y y
15
RANSOMWARE
PROCEDIMENTOS FORAM CANCELADOS E O ACESSO AOS PRONTUÁRIOS ELETRÔNICOS RESTOU IMPOSSIBILITADO
16
Fonte: http://g1.globo.com/sp/ribeirao‐preto‐franca/noticia/ataque‐de‐hackers‐
suspende‐3‐mil‐consultas‐e‐exames‐nas‐unidades‐do‐hospital‐de‐cancer‐de‐barretos‐
sp.ghtml ‐Acesso em: 22 ago. 2017.
RANSOMWARE
Maio/2017
Fonte: http://www.istoedinheiro.com.br/ciberataque‐afeta‐
computadores‐hospital‐sirio‐libanes/ ‐Acesso em: 22 ago. 2017. 17
Nova ameaça internacional, vírus Bad Rabbit bloqueia arquivos e exige pagamento de resgate
e exige pagamento de resgate
Fonte:http://tecnologia.ig.com.br/2017‐10‐25/virus‐bad‐rabbit.html
Acessado em 01.11.2017 18
As ações da Equifax chegaram a cair
25
por cento nesta sexta-feira, depois que o provedora de pontuações de crédito dos consumidores revelou que os dados pessoais de cerca de143 milhões norte-
americanos
provavelmente foram roubados por hackers, em uma das p p maiores violações de dados nos Estados Unidos.CEO Fired and um clawback de +- $90 million—or roughly f
63 cents for every customer whose data was potentially exposed in its recent security breach.
19 Fonte: https://br.reuters.com/article/internetNews/idBRKCN1BJ1W5‐OBRIN
Riscos de Fraude
Case- Facebook Case Facebook
20
Fonte:idgnow.com.br/internet/2016/05/24/golpe‐no‐facebook‐promete‐videos‐pornograficos‐para‐
enganar‐brasileiros/.Acessado em 07.06.2016
Riscos de Fraude
Case – WhatsApp – Ativar emoticons Case WhatsApp Ativar emoticons
21
Fonte:www.portaldoholanda.com.br/aplicativo/conheca‐os‐principais‐golpes‐no‐whatsapp.Acessado em 07.06.2016
RISCOS DE FRAUDE
WhatsApp – cupom falso WhatsApp cupom falso
22
INCIDENTES DIGITAIS MAIS COMUNS
USO INDEVIDO DE SENHA
MAU USO DA FERRAMENTA DE TRABALHO TECNOLÓGICA USO NÃO AUTORIZADO DA MARCA NA INTERNET
USO NÃO AUTORIZADO DA MARCA NA INTERNET CONTAMINAÇÃO POR VÍRUS E TROJANS
ÊNCIA PROBLEMAS COM CONTRATOS DE TI
VAZAMENTO INFORMAÇÃO CONFIDENCIAL
PIRATARIA E DOWNLOADS
INCIDÊ
FURTO DE DADOS
CYBER/TYPOSQUATTING
OFENSA DIREITOS AUTORAIS FRAUDE ELETRÔNICA
23
Promoções Falsas
RISCOS DE FRAUDE
Promoções Falsas
24
Fonte: Convergência Digital. Disponível em:
<http://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&infoid=456 54&sid=18> Acesso em: 07 ago. 2017
Promoções e pesquisas falsas
RISCOS DE FRAUDE
Promoções e pesquisas falsas
Fonte: http://www.infomoney.com.br/minhas‐financas/gadgets/noticia/5583730/falsa‐promocao‐ 25
carrefour‐whatsapp‐infectou‐mais‐milhoes‐brasileiros ‐Acesso em: 25 jul. 2017.
A geração digital sabe como
guardar um guardar um segredo?
segredo?
o Confidencial o Interno
o Público
PROTEÇÃO DE DADOS PESSOAIS
Case – C&A Case C&A
Fonte: https://www.tecmundo.com.br/seguranca/122281‐exclusivo‐lojas‐c‐vendem‐ 27
dados‐clientes‐r‐50‐internet.htm ‐Acesso em: 23/10/2017
Código Penal – Sigilo profissional
Art. 154 ‐ Revelar alguém, sem justa causa, segredo, de quem tem ciência em razão de função, ministério, ofício ou profissão, e cuja revelação possa produzir dano a outrem.
Pena ‐ detenção, de 3 (três) meses a 1 (um) ano, ou ( ) , multa.
28
Í
MÍDIAS SOCIAIS
GRUPOS NO WHATSAPP E NO
Fonte: https://oglobo.globo.com/rio/profissionais‐de‐saude‐vendem‐plantoes‐em‐rede‐social‐17720998 ‐Acesso em: 22 ago. 2017. 29
SEGURANÇA DIGITAL
Exige mudança de comportamento e conhecimento:
Exige mudança de comportamento e conhecimento:
Aspectos Aspectos Aspectos
Técnicos
Aspectos Jurídicos
30
31
E a acusação convoca...
a testemunha!
a testemunha!
Fonte: AUTOR DESCONHECIDO, disponível em http://www.migalhas.com.br/Quentes/17,MI211261,71043‐
Juiz+manda+intimar+parte+pelo+WhatsApp acessado em 25.06.2017 (finalidade educacional)
Aspectos Legais
Autenticidade Autoria101010101010111 010101010101010 010101010110101
1101010101010101 0010101010110101 1101011010101010
Autenticidade Autoria
110101101010101 010101010110101 010101011101010
1010101011010101 0101011101010101 0101010010101010 010101011101010
101010101001010 101011010111010 110101010101010
0101010010101010 1101011101011010 1010101010101011 0101010101011101 110101010101010
101011010101010 101110101010101 010100101010101
0101010101011101 0101010101010010 1010101101011101 0110101010101010 010100101010101
101011101011010 101010101010101
0110101010101010 1010110101010101 0111010101010010 101010101010111
0101010100101
10101011010101
Fonte imagem: STUDIO_HADES disponível em https://openclipart.org/detail/157891/male‐profile‐ 34
silhouette acessado em 19.08.2015 (finalidade educacional)
DOCUMENTO ELETRÔNICO
A
A questão questão da da autenticidade autenticidade nos nos meios meios eletrônicos eletrônicos sempre
sempre foi foi uma uma preocupação preocupação.. O O uso uso do do certificado certificado digital
digital ICP g g ICP--Brasil Brasil é é uma uma das das formas, formas, porém ,, p porém não p não a a única
única::
Biometria Biometria
S S
Token Token Login
Login e Senhae Senha
http://www.csonlinebr.net/images/portas/500g1.jpg
http://www.wikinoticia.com/images/tecnyo/tecnyo.com.wp‐content.uploads.2011.01.Biometria.jpg
http://images.quebarato.com.br/T440x/token+usb+criptografico+padrao+icp+brasil+para+e+cnpj+e+e+cpf+rio+de+janeiro+rj+brasil__7A2CE_1.jpg
BASE LEGAL
Medida Provisória n.
o2.200-2 de 2001
Instituiu a Infraestrutura de Chaves Públicas
Instituiu a Infraestrutura de Chaves Públicas
Brasileira ‐ ICP‐Brasil, para garantir a
autenticidade, a integridade e a validade
jurídica de documentos em forma eletrônica
jurídica de documentos em forma eletrônica,
das aplicações de suporte e das aplicações
habilitadas que utilizem certificados digitais,
bem como a realização de transações
bem como a realização de transações
eletrônicas seguras.
BASE LEGAL
Validade:
Validade:
Validade:
Validade:
A MP 2 200 2/01 f i di d i E d
A MP 2.200‐2/01 foi editada anteriormente a Emenda Constitucional 32, logo ela somente perderá sua vigência diante de revogação expressa ou edição de Lei Ordinária substitutiva.
Emenda 32, Artigo 2º – “As medidas provisórias editadas em data anterior à da publicação desta emenda continuam em vigor até que medida provisória ulterior as revogue explicitamente ou até deliberação medida provisória ulterior as revogue explicitamente ou até deliberação definitiva do Congresso Nacional.”
36
BASE LEGAL
A MP 2200‐2 de 2001, que institui a Infra‐Estrutura de Chaves Públicas Brasileira ICP Brasil garante ao Chaves Públicas Brasileira ‐ ICP‐Brasil, garante ao documento eletrônico o mesmo status legal de
d t úbli ti l
documento público ou particular.
Art. 10. Consideram‐se documentos públicos ou particulares, para todos os fins legais, os documentos eletrônicos de que trata esta Medida Provisória
.37
BASE LEGAL
MP 2.200‐2/2001:
Art. 10. § 1º As declarações constantes dos
d f l ô i d id
documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP‐Brasil presumem‐se verdadeiros em relação aos signatários...” g
Essa tecnologia confere a mesma validade jurídica do documento em papel assinado de próprio punho.
documento em papel assinado de próprio punho.
Ainda, equipara a assinatura reconhecida em cartório.
38
BASE LEGAL
MP 2.200‐2/2001:
“Art
“Art 10 10 §§2 2ºº O O disposto disposto nesta nesta Medida Medida Provisória Provisória não não
MP 2.200 2/2001:
Art
Art.. 10 10.. §§2 2ºº O O disposto disposto nesta nesta Medida Medida Provisória Provisória não não obsta
obsta aa utilização utilização de de outro outro meio meio de de comprovação comprovação da da autoria
autoria e e integridade integridade de de documentos documentos em em forma forma eletrônica
eletrônica,, inclusive ,, inclusive os os que que utilizem q q utilizem certificados certificados não não emitidos
emitidos pela pela ICP ICP‐‐Brasil, Brasil, desde desde que que admitido admitido pelas pelas partes
partes como como válido válido ou ou aceito aceito pela pela pessoa pessoa aa quem quem for for partes
partes como como válido válido ou ou aceito aceito pela pela pessoa pessoa aa quem quem for for oposto
oposto o o documento documento..””
Preocupações Preocupações:
9 O que GUARDARGUARDAR?
9 Em que FORMATOEm que FORMATOFORMATO?FORMATO?
9 Por quanto TEMPOTEMPO?
9 Qual SOLUÇÃO SOLUÇÃO implementar?
Fonte :AUTOR DESCONHECIDO http://pixabay.com/en/question‐worry‐wonder‐unsure‐
310891/ acessado em 25.06.2017 (finalidade educacional) 41
Seu smartphone cumpre com os requisitos básicos de Segurança da
Informação?
9 Senha de bloqueio
9 Bl i t áti i ti id d
9 Bloqueio automático por inatividade 9 Antivírus/Antispyware / py
9 App Apagamento Remoto 9 Backup em Nuvem Segura 9 Backup em Nuvem Segura
9 Sabe o número IMEI (para bloquear chip)
42
Fonte: Autor Desconhecido Disponível em https://giphy.com/gifs/smartphone-cr1Wza01b50re
Tendências para regulamentação de dados
10101010101011101 01010101010100101
110101010101010100 101010101101011101 01010110101110101
10101010101010101 01101010101010111
011010101010101010 101101010101010111 010101010101010010 01010101010101001
01010101101011101 01101010101010101
101010110101110101 101010101010101010 110101010101011101 01011010101010101
11010101010101010 01010101011010111 01011010101010101
010101010101001010 101011010111010110 101010101010101011 010101010101110101 01011010101010101
01010110101010101 01110101010100101 10100101011010100
010101010101110101 010100101010101101 010110101010101010 101010
10100101011010100101010
43
Fonte: ERICLEMERDY disponível em https://openclipart.org/detail/13677/servers, JCARTIER https://openclipart.org/detail/17332/wireless‐AUTOR DESCONHECIDO http://www.upcane.org/ sis/en/images/gps.png; http://www.dkrz.de/bilder/bilder‐klimarechner/copy_of_TapeLibraryInside400.jpg;
http://s486.photobucket.com/user/PANGARESIM/media/imagens/Upload.png.html JEAN_VICTOR_BALIN https://openclipart.org/detail/22671/graphicsrounded acessado em 19.05.2015. Finalidade educacional.
A guerra dos Dados no Mundo
Caráter protecionista;
Entrada em vigor da Lei Geral de
Caráter liberal;
Presidente Donald Trump anulou a Lei Entrada em vigor da Lei Geral de
Proteção de Dados em Maio de 2018 para todos os Estados‐
membros da UE;
Presidente Donald Trump anulou a Lei de Privacidade em 3 de abril de 2017;
Matéria legislada de forma estadual;
Os provedores podem utilizar os dados membros da UE;
Exige o consentimento prévio para utilização dos dados;
Os provedores podem utilizar os dados sem o consentimento.
Matéria contratual;
44
198 dias
http://www.eugdpr.org/ 45
GDPR – General Data Protection Regulation
•
Passará a produzir efeitos a partir Passará a produzir efeitos a partir de 25 de Maio de 2018.
P i ã d lid d d 4%
MERCADO UE
•
Previsão de penalidades de 4%
dos lucros anuais do Grupo
E ô i 20 ilhõ d
9 PIB US$ 16 trilhões 9 509 milhões de pessoas
9 7% l ã di l
Econômico ou 20 milhões de Euros (será aplicado o maior valor)
9 7% população mundial 9 1/5 riqueza mundial
valor).
•
A regulação também se aplica a
•
A regulação também se aplica a companhias fora da UE que processam dados de indivíduos processam dados de indivíduos europeus (princípio da nacionalidade dos dados).
46
nacionalidade dos dados).
Fonte: https://www.itgovernance.co.uk/blog/eu‐gdpr‐infographic‐what‐the‐new‐regulation‐
means‐in‐1‐minute/
Ã
PROTEÇÃO DE DADOS PESSOAIS
FRAMEWORK DE PROTEÇÃO DE DADOS PESSOAIS NO BRASIL
Constituição Federal/1988 Art. 5º, inciso X, incisos XI e XII Art. 5º, inciso LXXII
Código Civil – Lei nº 10.406/2002 Art. 20 e 21
Código de Defesa do Consumidor – Lei nº 8.078/1990 Art. 43 Código de Defesa do Consumidor Lei n 8.078/1990 Art. 43
Lei do SAC ‐Decreto nº 6.523/2008 Art. 11
Lei do Cadastro Positivo – Lei nº 12.414/2011 Art. 3º, 5º, 9º
Art. 3º, incisos II e III Art. 7º, incisos I, II, III, VII, VIII Marco Civil da Internet – Lei nº 12.965/2014 Art. 8º
Art. 15 Art. 10 A t 13º Decreto do Marco Civil da Internet – Decreto nº 8.771/2016 Art. 13ºArt. 14º
Decreto do Comércio Eletrônico – Decreto nº 7.962/2013 Art. 4º. Inc. VII
47
[1]Nota: Quadro com as principais normas relacionadas à Proteção de Dados Pessoais no Brasil. Há ainda normas de setores específicos.
É
PROTEÇÃO DE DADOS PELA AMÉRICA LATINA
LATAM Proteção de dados pessoais
Argentina Lei nº 25.326/2000 – Lei de Proteção de Dados Pessoais
Brasil Projetos de Lei 5276/16, 330/2013, 4060/2012 (não possui lei específica)j p p
Chile Projeto de Lei para atualizar a lei (em andamento – desde 2010 com nova proposta feita em 2017)
/
Lei 19.628/1999 – Lei de Proteção de Dados Pessoais
Colômbia Lei nº 1581/2012 ‐ Lei Geral de Proteção de Dados Pessoais
Decreto nº 1.377/2013 – Regulamenta a Lei Geral de Proteção de Dados Pessoais
México Lei Federal de Transparência e Acesso à Informação Pública Governamental Lei Federal de Proteção de Dados Pessoais em Poder de Particulares (2010) Lei Federal de Proteção de Dados Pessoais em Poder de Particulares (2010) Panamá Projeto de Lei sobre Proteção de Dados Pessoais (em andamento)
Lei nº 06/2002 – Lei de Transparência e Acesso à Informação Pública Peru Lei nº 29.733/2011 – Lei de Proteção de Dados Pessoais
48
Uruguai Lei n° 18.331/2008 – Lei de Proteção de Dados Pessoais
*útlimo atualização em 11.09.2017
NORMA INFRINGIDA SANÇÃO/CONSEQUÊNCIAS LEGAIS
Decreto nº 7.962/2013 Multa e/ou demais sanções previstas no artigo 56 do CDC
Lei nº 12.965/2014 e Decreto 8 771/2016
Multa de até 10% sobre o faturamento do grupo econômico no Brasil no seu último exercício 8.771/2016 econômico no Brasil no seu último exercício,
suspensão temporária ou proibição de exercício das atividades previstas no art. 11; bem como
i d i ã l ã i t
indenização pelo não cumprimento UE Regulamento nº 679/2016 ‐
GDPR
Multa de 10.000.000 EU ou 2% do faturamento anual a 20.000.000 EU ou 4% do faturamento anual;
GDPR a 20.000.000 EU ou 4% do faturamento anual;
indenização; demais sanções a serem definidas pelos estados membros
/
Projeto de Lei nº 5.276/2016 (Proteção de Dados Pessoais)
Multa; publicização da infração; anonimização, bloqueio, suspensão de operação de tratamento e cancelamento dos dados pessoais; suspensão de funcionamento de banco de dados; bem como, demais sanções administrativas, civis e penais (art.
52)
49
52)
PRIVACIDADE PRIVACIDADE
E PROTEÇÃO DE DADOS E PROTEÇÃO DE DADOS
Ciber Security Ciber Security
50
CYBER SECURITY – EUROPA -
Recomendações de Segurança para as Empresas de Cloud Computing
CYBER SECURITY – EUROPA - ALEMANHA
I d ã d S
Recomendações de Segurança para as Empresas de Cloud Computing – Federal Office for Information Security
Inovar mas com padrão de Segurança para a Indústria:
‐ Conceito de Cloud Computingp g
‐ Diferença de cloud pública e cloud privada
S I f t t
‐ Segurança na Infraestrutura
‐ Proteção dos Dados
‐ Criptografiap g
‐ Privacy by Design
‐ Portabilidade e Interoperabilidade A dit i
‐ Auditoria
‐ Transparência
‐ Compliance
51
p
https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/CloudComputing /SecurityRecommendationsCloudComputingProviders.pdf?__blob=publicationFile&v=2
CYBER SECURITY - EUROPA
NIS – DIRECTIVE (EU) 2016/1148 – NETWORK AND INFORMATION SECURITY
• Medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a união;
l d d d d i i i (i) d d i
• Aplicada a todos os operadores de serviços essenciais (i) e aos prestadores de serviços digitais (ii), os quais podem aplicar outras medidas de segurança mais rigorosas do que as previstas na diretiva (4) e (6);
(i) entidade pública ou privada pertencente a um dos setores disciplinados no anexo II (energia, transporte, saúde, financeiro, etc.) que preste um serviço essencial para a manutenção de atividades sociais e/ou econômicas cruciaisç /
(ii) pessoa coletiva que presta um serviço da sociedade da informação pertencente aos tipos enumerados no anexo III (computação em nuvem, por exemplo)
Cronograma: publicado em em 6 de julho de 2016
Prazo para adoção das medidas: de 9 de fevereiro de 2017 a 9 de novembro de 2018
Prazo para os Estados‐Membros adotarem e publicarem leis nacionais que atendam a diretiva até 9 de maio de 2018
Prazo aplicação efetiva de todas as medidas inclusive penalidades 10 de maio de 2018
52
Prazo aplicação efetiva de todas as medidas inclusive penalidades 10 de maio de 2018
http://eur‐lex.europa.eu/legal‐content/PT/TXT/?uri=CELEX%3A32016L1148
Benchmarking – Empresas que
tratam o tema S I (Annual Report) tratam o tema S.I. (Annual Report)
53
CLÁUSULAS DA POLÍTICA DE PRIVACIDADE
Número Indicadores
O que deve ter numa Política de Privacidade?
1 Importância do Direito à Privacidade 2 Concordância (livre e expresso consentimento)
3 Glossário
4 Objetivo
5 A li ã
5 Aplicação
6 Propósito da Coleta
6 Compartilhamento
7 Enriquecimento
8 Acesso de Terceiros
9 Acesso Próprio
10 Dados de Menores
11 Forma
12 Isenção de Responsabilidade
13 E ã
13 Enumeração
14 Segurança
15 Servidor/ Local
16 Prazo de Guarda
17 Exclusão
18 Exibição e Alteração
19 Uso de terceiros
20 Uso de serviço de nuvem (nacional e/ou internacional)
21 Modificação
21 Modificação
22 Empresas Tercerizadas
23 Exclusão de cláusula
24 Foro
25 Registro Público
54 g
26 Glossário
O que deve ter nos Termos de Uso?
23 Meios de Pagamento (se aplicavel)
Número Tipo de Cláusula
1 Finalidade do Portal
2 Finalidade Termos de Uso
3 Ciência
4 Conexão Segura
24 Obrigação de Segurança da Informação
25 Direito de Imagem
26 Situações de remoção de conteúdos publicados
27 Submissão de ideias
4 Conexão Segura
5 Senha e Login
6 Perfis de Acesso
7 Prazo direito de acesso e licença do conteúdo disponibilizado ao usuario
28 Proibição de acesso às áreas de programação 29 Proibição de uso de softwares para burlar regras
30 Suspensão de funcionalidades
31 Boleto e como diferenciar boleto verdadeiro do 10 Responsabilidade pelo Conteúdo
11 Atualização e disponibilidade do Portal
12 Medidas para reestabelecimento do Portal
31 falso
32 Phishing e outras situções de Fraude 33 Alterações de Layout e Página Falsa 34 Dados Administrativos e Financeiros 35 Disponibilização de Informações Portal
13 Comunicação no caso de manutenção 14 Sigilo Login e Senha
15 Responsabilidade por Atos de acordo com o Login
35 Disponibilização de Informações 37 Links Externos‐Alteração Conteúdo 38 Links Externos ‐Termos de Uso
39 Ataques de Terceiros
41 Política de Privacidade
16 Quebra da confidencialidade da senha
17 Acesso ao Perfil do Aluno pelo Responsável
18 Obrigação de Informar Corretamente
42 Dúvidas
43 Denúncia
44 Penalização
45 Modificação
46 At li ã
18 Obrigação de Informar Corretamente 19 Configuração Dispositivos
20 Dever de Crédito
21 Uso para outras finalidades Compartilhamento quando os
46 Atualização
47 Horário
48 Ilegitimidade de um dispositivo
49 Foro
50 Cartório
55 22
Co pa t a e to qua do os ambientes não são totalmente
restritos
51 Glossário
1 Empresa precisa fazer realizar um parecer de análise quanto ao Compliance a
Tendências para regulamentação de dados
1. Empresa precisa fazer realizar um parecer de análise quanto ao Compliance a
Regulamentações de Privacy and Data Protection da sua operação, considerando os seguintes indicadores:
9 Onde está a matri da empresa?
9 Onde está a matriz da empresa?
9 Onde está seu principal (ou principais) mercados?
9 Qual a origem da base de dados principal e secundária (geolocalização dos dados)?
9
9 Os dados são de origem PF, PJ, ou mista?
9 Onde os dados estão sendo armazenados (principal e redundância)?
9 Qual a nacionalidade dos dados (matriz de nacionalidades)?
2. Com base no diagnóstico, implementar as medidas técnica e legais para ficar em
conformidade com as regras conforme a matriz regulatória a ser montada pela aplicação dos mínimos denominadores comuns entre as legislações (legal cross relations matrix) 3. Para fins de atender GDPR é necessário apresentar este parecer de conformidade
preliminar (a legislação EUA e Brasileira atuais não exigem ainda) preliminar (a legislação EUA e Brasileira atuais não exigem ainda)
4. Deve ser constituído um comitê para tratar do tema e indicado um CPO (Chief Privacy Officer) para realizar o acompanhamento das implementações e evoluções do tema na
56
empresa
www.peckadvogados.com.br www.pecksleiman.com.br www.istart.org.br
@patriciapeckadvp p @istarteticadigi
PatriciaPeckPinheiro Pppadvogados
contato@pecksleiman.com.br +55 11 2678 0188
g
FamiliaMaisSeguraNaInternet Instituto iStart
pp g
PatriciaPeckPinheiro Advogados contato@peckadvogados.com.br
@istarteticadigital
coordenacao@istart.org.br
@p g
+55 11 3068 0777
@ g
+55 11 2678 0188
57
