Upload
others
View
9
Download
0
Embed Size (px)
Citation preview
Legislação Digital e Ciber Segurançae Ciber Segurança
DRA. PATRICIA PECK
• Sócia Fundadora do Escritório Patricia Peck Pinheiro Advogados
• Advogada formada pela Universidade de
• Árbitra do Conselho Arbitral do Estado de São Paulo – CAESP
• Vice Presidente Jurídica da Associação• Advogada formada pela Universidade de São Paulo (USP)
• Doutoranda em Direito Internacional pela Universidade de São Paulo (USP)
• Vice‐Presidente Jurídica da Associação Brasileira dos Profissionais e Empresas de Segurança da Informação, ASEGI Membro homenageada pelo Instituto Brasileiro de
Universidade de São Paulo (USP)
• Pesquisadora visitante em Direito Comparado e Propriedade Intelectual no Instituto Max Planck (Hamburgo e
Direito Digital – IBDDIG em 2014
• Presidente do Instituto IStart e Movimento Família mais Segura (www.istart.org.br )
Instituto Max Planck (Hamburgo e Munique ‐ Alemanha)
• Pesquisadora visitante na Columbia University (NYC – EUA)
• Sócia da Peck Sleiman EDU
• Premiada 7 anos consecutivos de 2010 a 2016 como uma das advogadas brasileiras
AdvogadaEspecialista emDireito Digital University (NYC EUA)
• Professora convidada da Escola de Inteligência do Exército Brasileiro
2016 como uma das advogadas brasileiras mais admiradas em propriedade intelectual
• Recebeu 2 vezes o prêmio Security Leaders
Mais Admirada em Propriedade Intelectual
i l S • Professora da pós‐graduação da Fundação Instituto de Administração (FIA)
• Professora convidada para integrar Banca E i d d D d d I i d
Recebeu 2 vezes o prêmio Security Leaders 2012 e 2014
• Condecorada com três medalhas militares pelas forças armadas – Medalha do
Nacional, SP e Segmento Bancos
Examinadora de Doutorado do Instituto de Tecnologia da Aeronáutica (ITA)
• Autora de 17 livros sobre Direito Digital
p çPacificador, Medalha Mérito Tamandaré e Ordem do Mérito Militar
2
Autora de 17 obras
3
INTRODUÇÃOÇSOCIEDADE PAPERLESSPAPERLESS
4
• 2001 – Polaroid declarou falência!•2012 – Ressurgiu lançando a sua câmera digital!
Foto: http://www.google.com.br/imgres?q=polaroid+digital+camera
517
Dados pessoais como insumo
Sociedade orientada por dados (Data‐Driven‐Society)
6
Até aonde vai a portinha digital do seu negócio?
Como internet não tem fronteiras negóciosComo internet não tem fronteiras, negócios digitais já nascem globais. Então, já precisam f áli d li d Di itfazer uma análise de compliance de Direito Digital Internacional, comparando as regras e g p gdelimintando limites de responsabilidade.
7
Vivemos na era em que tudo migrou para InternetVivemos na era em que tudo migrou para Internet....
8
FONTE:THILAKARATHNA, Disponível em https://openclipart.org/detail/20369/computer; CINEMACOOKIE, disponível em https://openclipart.org/detail/189782/pirate‐skull‐remastered; AUNGKARNS disponível em https://openclipart.org/detail/79363/paperwritepenhttps://openclipart.org/detail/62989/scales‐of‐justice; LEANDROSCIOLA, disponível em https://openclipart.org/detail/188525/family‐fama%C2%ADlia; WAKRO, disponível em https://openclipart.org/detail/162253/shopping‐basket‐blue; WARSZAWIANKA disponível em https://openclipapplications‐internet; MFDZG disponível em https://openclipart.org/detail/222588/money ; acessado em 29.07.2015 às 16h. Finalidade Educacional.
SOCIEDADE DIGITAL
Família Digital Conectada
9
Social Media DataSocial Media DataSociomatics – análise de consumidores e cidadãos
Fonte:https://www sociomantic com Acessado
10http://g1.globo.com/jornal‐hoje/noticia/2016/03/receita‐federal‐analisa‐redes‐sociais‐para‐checar‐patrimonio‐das‐pessoas.html
Fonte:https://www.sociomantic.com.Acessado em 22.11.2016
QUEBRA DE PARADIGMASQUEBRA DE PARADIGMAS
Inovação T ló i
= IOTBIG DATA NOVOS RISCOS DIGITAISTecnológica BIG DATA
IANOVOS RISCOS DIGITAISINTERSISTÊMICOS?
EMPRESAS = LESS PaperM B i
NOVAS REGULAMENTAÇÕES?
More BusinessÇ
Novos Modelos de Negócio
11
Dados informaçõesDados, informações, conteúdos e tudo o
que gera o h i t têconhecimento têm VALORVALOR
A t D h id Di í l htt // i h / if / bli d i di 12E 7W CA j84
12
Autor Desconhecido. Disponível em https://giphy.com/gifs/swag‐money‐publicdomaindiva‐12Eo7WogCAoj84
Novos ParadigmasNovos ParadigmasNovos Riscos
13
Desafio dos
Cidadão 3.0S t d
Negócios
Sequestro de dados
Corporativo e pPessoal
HackersCidades Digitais inteligentes
MobilidadeVírus
14
VírusNEORG. Wifi. Finalidade comercial. Disponível em: <https://openclipart.org/detail/191831/wifi‐icon>. Acesso em: 06 abr. 2016. JCARTIER. City 1. Finalidade comercial. Disponível em: <https://openclipart.org/detail/17359/city‐1>. Acesso em: 06 abr. 2016. COLLETONGIS. Property Taxes Icon. Finalidade comercial. Disponível em: <https://openclipart.org/detail/195830/property‐taxes‐icon>. Acesso em: 06 abr. 2016. ROOTWORKS. Citizen engagement. Finalidade comercial. Disponível em: <https://openclipart.org/detail/226665/citizen‐engagement>. Acesso em: 06 abr. 2016. USR_SHARE. Smartphone (layered). Finalidade comercial. Disponível em: <https://openclipart.org/detail/216525/smartphone‐layered>. Acesso em: 06 abr. 2016. QUBODUP. Virus. Finalidade comercial. Disponível em: <https://openclipart.org/detail/205971/virus>. Acesso em: 06 abr. 2016. JORGEISAAC34. Anonimous mask. Finalidade comercial. Disponível em: <https://openclipart.org/detail/167287/anonimous‐mask>. Acesso em: 06 abr. 2016. MOINI. Server rack. Finalidade comercial. Disponível em: <https://openclipart.org/detail/139525/server‐rack>. Acesso em: 06 abr. 2016. JASCHON. Padlock Icon. Finalidade comercial. Disponível em: <https://openclipart.org/detail/68533/padlock‐icon>. Acesso em: 06 abr. 2016.
Visão do que está porVisão do que está por vir:vir:
Privacy RisksyCyber Security Risksy y
15
RANSOMWARE
PROCEDIMENTOS FORAM CANCELADOS E O ACESSO AOS PRONTUÁRIOS ELETRÔNICOS RESTOU IMPOSSIBILITADO
16Fonte: http://g1.globo.com/sp/ribeirao‐preto‐franca/noticia/ataque‐de‐hackers‐suspende‐3‐mil‐consultas‐e‐exames‐nas‐unidades‐do‐hospital‐de‐cancer‐de‐barretos‐sp.ghtml ‐ Acesso em: 22 ago. 2017.
RANSOMWAREMaio/2017
Fonte: http://www.istoedinheiro.com.br/ciberataque‐afeta‐computadores‐hospital‐sirio‐libanes/ ‐ Acesso em: 22 ago. 2017. 17
Nova ameaça internacional, vírus Bad Rabbit bloqueia arquivos e exige pagamento de resgatee exige pagamento de resgate
Fonte:http://tecnologia.ig.com.br/2017‐10‐25/virus‐bad‐rabbit.html Acessado em 01.11.2017 18
As ações da Equifax chegaram a cair 25 por cento nesta sexta-feira, depois que o provedora de pontuações de crédito dos consumidores revelou que os dados pessoais de cerca de 143 milhões norte-americanos provavelmente foram roubados por hackers, em uma das p pmaiores violações de dados nos Estados Unidos.
CEO Fired and um clawback de +- $90 million—or roughly f63 cents for every customer whose data was potentially
exposed in its recent security breach.
19
Fonte: https://br.reuters.com/article/internetNews/idBRKCN1BJ1W5‐OBRIN
Riscos de FraudeCase- FacebookCase Facebook
20Fonte:idgnow.com.br/internet/2016/05/24/golpe‐no‐facebook‐promete‐videos‐pornograficos‐para‐enganar‐brasileiros/.Acessado em 07.06.2016
Riscos de FraudeCase – WhatsApp – Ativar emoticonsCase WhatsApp Ativar emoticons
21Fonte:www.portaldoholanda.com.br/aplicativo/conheca‐os‐principais‐golpes‐no‐whatsapp.Acessado em 07.06.2016
RISCOS DE FRAUDEWhatsApp – cupom falsoWhatsApp cupom falso
22
INCIDENTES DIGITAIS MAIS COMUNS
USO INDEVIDO DE SENHA
MAU USO DA FERRAMENTA DE TRABALHO TECNOLÓGICA
USO NÃO AUTORIZADO DA MARCA NA INTERNETUSO NÃO AUTORIZADO DA MARCA NA INTERNET
CONTAMINAÇÃO POR VÍRUS E TROJANS
ÊNC
IA
PROBLEMAS COM CONTRATOS DE TI
VAZAMENTO INFORMAÇÃO CONFIDENCIAL
PIRATARIA E DOWNLOADSINC
IDÊ
FURTO DE DADOS
CYBER/TYPOSQUATTING
OFENSA DIREITOS AUTORAIS
FRAUDE ELETRÔNICA
23
Promoções FalsasRISCOS DE FRAUDEPromoções Falsas
24Fonte: Convergência Digital. Disponível em: <http://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&infoid=45654&sid=18> Acesso em: 07 ago. 2017
Promoções e pesquisas falsasRISCOS DE FRAUDEPromoções e pesquisas falsas
25Fonte: http://www.infomoney.com.br/minhas‐financas/gadgets/noticia/5583730/falsa‐promocao‐carrefour‐whatsapp‐infectou‐mais‐milhoes‐brasileiros ‐ Acesso em: 25 jul. 2017.
A geração digitalsabe como
guardar umguardar um segredo?segredo?
o Confidencialo Internoo Público
PROTEÇÃO DE DADOS PESSOAISCase – C&ACase C&A
27Fonte: https://www.tecmundo.com.br/seguranca/122281‐exclusivo‐lojas‐c‐vendem‐dados‐clientes‐r‐50‐internet.htm ‐ Acesso em: 23/10/2017
Código Penal – Sigilo profissionalArt. 154 ‐ Revelar alguém,sem justa causa, segredo, dequem tem ciência em razãode função, ministério, ofícioou profissão, e cujarevelação possa produzirdano a outrem.Pena ‐ detenção, de 3 (três)meses a 1 (um) ano, ou( ) ,multa.
28
ÍMÍDIAS SOCIAIS
GRUPOS NO WHATSAPP E NO
29Fonte: https://oglobo.globo.com/rio/profissionais‐de‐saude‐vendem‐plantoes‐em‐rede‐social‐17720998 ‐ Acesso em: 22 ago. 2017.
SEGURANÇA DIGITALExige mudança de comportamento e conhecimento:Exige mudança de comportamento e conhecimento:
Aspectos AspectosAspectos Técnicos
Aspectos Jurídicos
30
31
E a acusação convoca...
a testemunha!a testemunha!
Fonte: AUTOR DESCONHECIDO, disponível em http://www.migalhas.com.br/Quentes/17,MI211261,71043‐Juiz+manda+intimar+parte+pelo+WhatsApp acessado em 25.06.2017 (finalidade educacional)
Aspectos LegaisAutenticidade Autoria101010101010111
010101010101010010101010110101
110101010101010100101010101101011101011010101010
Autenticidade Autoria
110101101010101010101010110101010101011101010
101010101101010101010111010101010101010010101010010101011101010
101010101001010101011010111010110101010101010
0101010010101010110101110101101010101010101010110101010101011101110101010101010
101011010101010101110101010101010100101010101
0101010101011101010101010101001010101011010111010110101010101010010100101010101
101011101011010101010101010101
011010101010101010101101010101010111010101010010
1010101010101110101010100101
10101011010101
34Fonte imagem: STUDIO_HADES disponível em https://openclipart.org/detail/157891/male‐profile‐silhouette acessado em 19.08.2015 (finalidade educacional)
DOCUMENTO ELETRÔNICO
AA questãoquestão dada autenticidadeautenticidade nosnos meiosmeios eletrônicoseletrônicossempresempre foifoi umauma preocupaçãopreocupação.. OO usouso dodo certificadocertificadodigitaldigital ICPICP--BrasilBrasil éé umauma dasdas formas,formas, porémporém nãonão aagg ,, ppúnicaúnica::
BiometriaBiometria
SSTokenToken
LoginLogin e Senhae Senha
http://www.csonlinebr.net/images/portas/500g1.jpg http://www.wikinoticia.com/images/tecnyo/tecnyo.com.wp‐content.uploads.2011.01.Biometria.jpghttp://images.quebarato.com.br/T440x/token+usb+criptografico+padrao+icp+brasil+para+e+cnpj+e+e+cpf+rio+de+janeiro+rj+brasil__7A2CE_1.jpg
BASE LEGAL
Medida Provisória n.o 2.200-2 de 2001
Instituiu a Infraestrutura de Chaves PúblicasInstituiu a Infraestrutura de Chaves PúblicasBrasileira ‐ ICP‐Brasil, para garantir aautenticidade, a integridade e a validadejurídica de documentos em forma eletrônicajurídica de documentos em forma eletrônica,das aplicações de suporte e das aplicaçõeshabilitadas que utilizem certificados digitais,bem como a realização de transaçõesbem como a realização de transaçõeseletrônicas seguras.
BASE LEGAL
Validade:Validade:Validade:Validade:
A MP 2 200 2/01 f i di d i E dA MP 2.200‐2/01 foi editada anteriormente a EmendaConstitucional 32, logo ela somente perderá suavigência diante de revogação expressa ou edição de LeiOrdinária substitutiva.
Emenda 32, Artigo 2º – “As medidas provisórias editadas em dataanterior à da publicação desta emenda continuam em vigor até quemedida provisória ulterior as revogue explicitamente ou até deliberaçãomedida provisória ulterior as revogue explicitamente ou até deliberaçãodefinitiva do Congresso Nacional.”
36
BASE LEGAL
A MP 2200‐2 de 2001, que institui a Infra‐Estrutura deChaves Públicas Brasileira ICP Brasil garante aoChaves Públicas Brasileira ‐ ICP‐Brasil, garante aodocumento eletrônico o mesmo status legal ded t úbli ti ldocumento público ou particular.
Art. 10. Consideram‐se documentos públicos ouparticulares, para todos os fins legais, os documentoseletrônicos de que trata esta Medida Provisória.
37
BASE LEGAL
MP 2.200‐2/2001:
Art. 10. § 1º As declarações constantes dosd f l ô i d iddocumentos em forma eletrônica produzidos com autilização de processo de certificação disponibilizadopela ICP‐Brasil presumem‐se verdadeiros em relaçãoaos signatários...”g
Essa tecnologia confere a mesma validade jurídica dodocumento em papel assinado de próprio punho.documento em papel assinado de próprio punho.Ainda, equipara a assinatura reconhecida em cartório.
38
BASE LEGAL
MP 2.200‐2/2001:
“Art“Art 1010 §§22ºº OO dispostodisposto nestanesta MedidaMedida ProvisóriaProvisória nãonão
MP 2.200 2/2001:
ArtArt.. 1010.. §§22ºº OO dispostodisposto nestanesta MedidaMedida ProvisóriaProvisória nãonãoobstaobsta aa utilizaçãoutilização dede outrooutro meiomeio dede comprovaçãocomprovação dadaautoriaautoria ee integridadeintegridade dede documentosdocumentos emem formaformaeletrônicaeletrônica,, inclusiveinclusive osos queque utilizemutilizem certificadoscertificados nãonão,, qqemitidosemitidos pelapela ICPICP‐‐Brasil,Brasil, desdedesde queque admitidoadmitido pelaspelaspartespartes comocomo válidoválido ouou aceitoaceito pelapela pessoapessoa aa quemquem forforpartespartes comocomo válidoválido ouou aceitoaceito pelapela pessoapessoa aa quemquem forforopostooposto oo documentodocumento..””
PreocupaçõesPreocupações:
O que GUARDARGUARDAR?
Em que FORMATOFORMATO?Em que FORMATOFORMATO?
Por quanto TEMPOTEMPO?
Qual SOLUÇÃO SOLUÇÃO implementar?
Fonte :AUTOR DESCONHECIDO http://pixabay.com/en/question‐worry‐wonder‐unsure‐310891/ acessado em 25.06.2017 (finalidade educacional) 41
Seu smartphone cumpre com os requisitos básicos de Segurança da
Informação?Senha de bloqueioBl i t áti i ti id dBloqueio automático por inatividadeAntivírus/Antispyware/ pyApp Apagamento RemotoBackup em Nuvem SeguraBackup em Nuvem SeguraSabe o número IMEI (para bloquear chip)
42
Fonte: Autor Desconhecido Disponível em https://giphy.com/gifs/smartphone-cr1Wza01b50re
Tendências para regulamentação de dados
1010101010101110101010101010100101
110101010101010100101010101101011101
010101101011101011010101010101010101101010101010111
011010101010101010101101010101010111010101010101010010
010101010101010010101010110101110101101010101010101
101010110101110101101010101010101010110101010101011101
01011010101010101110101010101010100101010101101011101011010101010101
01010101010100101010101101011101011010101010101010101101010101010111010101011010101010101
010101101010101010111010101010010110100101011010100
01010101010111010101010010101010110101011010101010101010101010100101011010100101010
43Fonte: ERICLEMERDY disponível em https://openclipart.org/detail/13677/servers, JCARTIER https://openclipart.org/detail/17332/wireless‐ AUTOR DESCONHECIDOhttp://www.upcane.org/ sis/en/images/gps.png; http://www.dkrz.de/bilder/bilder‐klimarechner/copy_of_TapeLibraryInside400.jpg;http://s486.photobucket.com/user/PANGARESIM/media/imagens/Upload.png.html JEAN_VICTOR_BALIN https://openclipart.org/detail/22671/graphicsroundedacessado em 19.05.2015. Finalidade educacional.
A guerra dos Dados no Mundo
Caráter protecionista;Entrada em vigor da Lei Geral de
Caráter liberal;Presidente Donald Trump anulou a LeiEntrada em vigor da Lei Geral de
Proteção de Dados em Maio de2018 para todos os Estados‐membros da UE;
Presidente Donald Trump anulou a Lei de Privacidade em 3 de abril de 2017;Matéria legislada de forma estadual;Os provedores podem utilizar os dadosmembros da UE;
Exige o consentimento prévio parautilização dos dados;
Os provedores podem utilizar os dados sem o consentimento.Matéria contratual;
44
198 dias
45http://www.eugdpr.org/
GDPR – General Data Protection Regulation• Passará a produzir efeitos a partirPassará a produzir efeitos a partir de 25 de Maio de 2018.
P i ã d lid d d 4%MERCADO UE
• Previsão de penalidades de 4%dos lucros anuais do GrupoE ô i 20 ilhõ d
PIB US$ 16 trilhões509 milhões de pessoas7% l ã di lEconômico ou 20 milhões de
Euros (será aplicado o maiorvalor)
7% população mundial1/5 riqueza mundial
valor).
• A regulação também se aplica a• A regulação também se aplica acompanhias fora da UE queprocessam dados de indivíduosprocessam dados de indivíduoseuropeus (princípio danacionalidade dos dados).
46
nacionalidade dos dados).Fonte: https://www.itgovernance.co.uk/blog/eu‐gdpr‐infographic‐what‐the‐new‐regulation‐means‐in‐1‐minute/
ÃPROTEÇÃO DE DADOS PESSOAISFRAMEWORK DE PROTEÇÃO DE DADOS PESSOAIS NO BRASIL
Constituição Federal/1988 Art. 5º, inciso X, incisos XI e XII Art. 5º, inciso LXXII
Código Civil – Lei nº 10.406/2002 Art. 20 e 21
Código de Defesa do Consumidor – Lei nº 8.078/1990 Art. 43Código de Defesa do Consumidor Lei n 8.078/1990 Art. 43
Lei do SAC ‐ Decreto nº 6.523/2008 Art. 11
Lei do Cadastro Positivo – Lei nº 12.414/2011 Art. 3º, 5º, 9º
Art. 3º, incisos II e IIIArt. 7º, incisos I, II, III, VII, VIII
Marco Civil da Internet – Lei nº 12.965/2014 Art. 8º Art. 15Art. 10
A t 13ºDecreto do Marco Civil da Internet – Decreto nº 8.771/2016 Art. 13ºArt. 14º
Decreto do Comércio Eletrônico – Decreto nº 7.962/2013 Art. 4º. Inc. VII
47
[1] Nota: Quadro com as principais normas relacionadas à Proteção de Dados Pessoais no Brasil. Há ainda normas de setores específicos.
ÉPROTEÇÃO DE DADOS PELA AMÉRICA LATINALATAM Proteção de dados pessoais
Argentina Lei nº 25.326/2000 – Lei de Proteção de Dados Pessoais
Brasil Projetos de Lei 5276/16, 330/2013, 4060/2012 (não possui lei específica)j p p
Chile Projeto de Lei para atualizar a lei (em andamento – desde 2010 com nova proposta feita em 2017)
/Lei 19.628/1999 – Lei de Proteção de Dados Pessoais
Colômbia Lei nº 1581/2012 ‐ Lei Geral de Proteção de Dados PessoaisDecreto nº 1.377/2013 – Regulamenta a Lei Geral de Proteção de Dados Pessoais
México Lei Federal de Transparência e Acesso à Informação Pública GovernamentalLei Federal de Proteção de Dados Pessoais em Poder de Particulares (2010)Lei Federal de Proteção de Dados Pessoais em Poder de Particulares (2010)
Panamá Projeto de Lei sobre Proteção de Dados Pessoais (em andamento)Lei nº 06/2002 – Lei de Transparência e Acesso à Informação Pública
Peru Lei nº 29.733/2011 – Lei de Proteção de Dados Pessoais
48
Uruguai Lei n° 18.331/2008 – Lei de Proteção de Dados Pessoais
*útlimo atualização em 11.09.2017
NORMA INFRINGIDA SANÇÃO/CONSEQUÊNCIAS LEGAIS
Decreto nº 7.962/2013 Multa e/ou demais sanções previstas no artigo 56 doCDC
Lei nº 12.965/2014 e Decreto 8 771/2016
Multa de até 10% sobre o faturamento do grupoeconômico no Brasil no seu último exercício8.771/2016 econômico no Brasil no seu último exercício,suspensão temporária ou proibição de exercício dasatividades previstas no art. 11; bem comoi d i ã l ã i tindenização pelo não cumprimento
UE Regulamento nº 679/2016 ‐GDPR
Multa de 10.000.000 EU ou 2% do faturamento anuala 20.000.000 EU ou 4% do faturamento anual;GDPR a 20.000.000 EU ou 4% do faturamento anual;indenização; demais sanções a serem definidas pelosestados membros
/Projeto de Lei nº 5.276/2016 (Proteção de Dados Pessoais)
Multa; publicização da infração; anonimização,bloqueio, suspensão de operação de tratamento ecancelamento dos dados pessoais; suspensão defuncionamento de banco de dados; bem como,demais sanções administrativas, civis e penais (art.52)
49
52)
PRIVACIDADE PRIVACIDADE E PROTEÇÃO DE DADOS E PROTEÇÃO DE DADOS
Ciber SecurityCiber Security
50
CYBER SECURITY – EUROPA -Recomendações de Segurança para as Empresas de Cloud Computing
CYBER SECURITY – EUROPA -ALEMANHA
I d ã d S
Recomendações de Segurança para as Empresas de Cloud Computing– Federal Office for Information Security
Inovar mas com padrão de Segurança paraa Indústria:‐ Conceito de Cloud Computingp g‐ Diferença de cloud pública e cloud
privadaS I f t t‐ Segurança na Infraestrutura
‐ Proteção dos Dados‐ Criptografiap g‐ Privacy by Design‐ Portabilidade e Interoperabilidade
A dit i‐ Auditoria‐ Transparência‐ Compliance
51
p
https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/CloudComputing/SecurityRecommendationsCloudComputingProviders.pdf?__blob=publicationFile&v=2
CYBER SECURITY - EUROPANIS – DIRECTIVE (EU) 2016/1148 – NETWORK AND INFORMATION SECURITY
• Medidas destinadas a garantir um elevado nível comum de segurança das redes e dainformação em toda a união;
l d d d d i i i (i) d d i• Aplicada a todos os operadores de serviços essenciais (i) e aos prestadores de serviçosdigitais (ii), os quais podem aplicar outras medidas de segurança mais rigorosas do que asprevistas na diretiva (4) e (6);
(i) entidade pública ou privada pertencente a um dos setores disciplinados noanexo II (energia, transporte, saúde, financeiro, etc.) que preste um serviço essencial para amanutenção de atividades sociais e/ou econômicas cruciaisç /
(ii) pessoa coletiva que presta um serviço da sociedade da informação pertencenteaos tipos enumerados no anexo III (computação em nuvem, por exemplo)
Cronograma: publicado em em 6 de julho de 2016
Prazo para adoção das medidas: de 9 de fevereiro de 2017 a 9 de novembro de 2018
Prazo para os Estados‐Membros adotarem e publicarem leis nacionais que atendam a diretivaaté 9 de maio de 2018
Prazo aplicação efetiva de todas as medidas inclusive penalidades 10 de maio de 2018
52
Prazo aplicação efetiva de todas as medidas inclusive penalidades 10 de maio de 2018
http://eur‐lex.europa.eu/legal‐content/PT/TXT/?uri=CELEX%3A32016L1148
Benchmarking – Empresas que tratam o tema S I (Annual Report)tratam o tema S.I. (Annual Report)
53
CLÁUSULAS DA POLÍTICA DE PRIVACIDADENúmero Indicadores
O que deve ter numa Política de Privacidade?
1 Importância do Direito à Privacidade2 Concordância (livre e expresso consentimento)3 Glossário4 Objetivo5 A li ã5 Aplicação6 Propósito da Coleta6 Compartilhamento7 Enriquecimento8 Acesso de Terceiros9 Acesso Próprio10 Dados de Menores11 Forma12 Isenção de Responsabilidade13 E ã13 Enumeração14 Segurança15 Servidor/ Local16 Prazo de Guarda17 Exclusão 18 Exibição e Alteração19 Uso de terceiros
20 Uso de serviço de nuvem (nacional e/ouinternacional)
21 Modificação21 Modificação22 Empresas Tercerizadas23 Exclusão de cláusula24 Foro25 Registro Público
54
g26 Glossário
O que deve ter nos Termos de Uso?
23 Meios de Pagamento (se aplicavel)Número Tipo de Cláusula
1 Finalidade do Portal2 Finalidade Termos de Uso3 Ciência4 Conexão Segura
24 Obrigação de Segurança da Informação25 Direito de Imagem26 Situações de remoção de conteúdos publicados 27 Submissão de ideias
4 Conexão Segura5 Senha e Login6 Perfis de Acesso
7 Prazo direito de acesso e licença do conteúdo disponibilizado ao usuario
28 Proibição de acesso às áreas de programação29 Proibição de uso de softwares para burlar regras30 Suspensão de funcionalidades
31 Boleto e como diferenciar boleto verdadeiro do 10 Responsabilidade pelo Conteúdo
11 Atualização e disponibilidade do Portal
12 Medidas para reestabelecimento do Portal
31 falso32 Phishing e outras situções de Fraude33 Alterações de Layout e Página Falsa34 Dados Administrativos e Financeiros35 Disponibilização de InformaçõesPortal
13 Comunicação no caso de manutenção14 Sigilo Login e Senha
15 Responsabilidade por Atos de acordo com o Login
35 Disponibilização de Informações37 Links Externos ‐ Alteração Conteúdo38 Links Externos ‐ Termos de Uso39 Ataques de Terceiros41 Política de Privacidade
16 Quebra da confidencialidade da senha
17 Acesso ao Perfil do Aluno pelo Responsável
18 Obrigação de Informar Corretamente
42 Dúvidas43 Denúncia44 Penalização45 Modificação46 At li ã18 Obrigação de Informar Corretamente
19 Configuração Dispositivos20 Dever de Crédito21 Uso para outras finalidades
Compartilhamento quando os
46 Atualização47 Horário48 Ilegitimidade de um dispositivo49 Foro50 Cartório
55
22Co pa t a e to qua do osambientes não são totalmente
restritos51 Glossário
1 Empresa precisa fazer realizar um parecer de análise quanto ao Compliance aTendências para regulamentação de dados
1. Empresa precisa fazer realizar um parecer de análise quanto ao Compliance a Regulamentações de Privacy and Data Protection da sua operação, considerando os seguintes indicadores:
Onde está a matri da empresa?Onde está a matriz da empresa?Onde está seu principal (ou principais) mercados?Qual a origem da base de dados principal e secundária (geolocalização dos dados)?Os dados são de origem PF, PJ, ou mista?Onde os dados estão sendo armazenados (principal e redundância)?Qual a nacionalidade dos dados (matriz de nacionalidades)?
2. Com base no diagnóstico, implementar as medidas técnica e legais para ficar em conformidade com as regras conforme a matriz regulatória a ser montada pela aplicação dos mínimos denominadores comuns entre as legislações (legal cross relations matrix)
3. Para fins de atender GDPR é necessário apresentar este parecer de conformidade preliminar (a legislação EUA e Brasileira atuais não exigem ainda)preliminar (a legislação EUA e Brasileira atuais não exigem ainda)
4. Deve ser constituído um comitê para tratar do tema e indicado um CPO (Chief Privacy Officer) para realizar o acompanhamento das implementações e evoluções do tema na
56
empresa
www.peckadvogados.com.br www.pecksleiman.com.br www.istart.org.br
@patriciapeckadv @istarteticadigip p
PatriciaPeckPinheiro
Pppadvogados
+55 11 2678 0188
g
FamiliaMaisSeguraNaInternet
Instituto iStartpp g
PatriciaPeckPinheiro Advogados
@istarteticadigital
+55 11 3068 0777
@ g
+55 11 2678 0188
57