Este site usa cookies para oferecer melhores recursos e funcionalidades. Ao usar o site, você está consentindo com esse uso. Nós valorizamos sua privacidade e a segurança de dados. Examine nossa Política de Cookies e Política de Privacidade, ambas foram atualizadas recentemente.

Regulamentação Geral de Proteção de Dados da UE (EU General Data Protection Regulation - EU GDPR)

Data da aplicação: 25 de maio de 2018 - data na qual as organizações em não conformidade irão enfrentar pesadas multas.

Um pequeno elemento para a GDPR, porém muito importante: Mantenha-se em conformidade com o pendrive criptografado Kingston: Infográfico de GDPR do pendrive criptografado - PDF

Keep Compliant with Kingston

Gerencie ameaças e reduza riscos

As opções disponíveis cobrem todas as necessidades, desde pessoais, corporativas até governamentais.

  • 100% em conformidade no armazenamento em pendrive criptografado
  • Simples, fácil de usar, não necessita de software ou drivers
  • Simples, fácil de usar, não necessita de software ou drivers

Compliance logos

EU GDPR: As 5 principais áreas para se ter cuidado:
  1. Criptografia - Padrões de segurança no processamento de dados (Artigo 32, Segurança no processamento)
  2. Designar Responsáveis pela Proteção de Dados (DPOs)
  3. Estabelecer um Programa de Segurança Cibernética
  4. Responsabilidade Documentada
  5. Entender o Consentimento

EU GDPR: As 5 principais áreas para se ter cuidado:

Existe alguma penalidade pela não conformidade?

Existe alguma penalidade pela não conformidade?

  • Sob a GDPR, as organizações que violam a GDPR podem ser multadas em até 4% do seu rendimento global anual ou cerca de $21,952 milhões de dólares (€20 milhões - o que for maior).
  • A Empresa pode ser multada em 2% por não ter seus registros em ordem (artigo 28), não notificar a autoridade controladora e o objeto dos dados sobre uma violação ou não realizar uma avaliação do impacto.
  • É importante observar que essas regras se aplicam tanto a controladores quanto a processadores - significando que as 'nuvens' não estarão isentas do cumprimento da GDPR.
O que você deseja saber?
Como isso afeta minha empresa?
  • Qualquer empresa que trabalhe com informações relacionadas a cidadãos da UE deverá estar em conformidade
  • É importante observar que essas regras se aplicam tanto a controladores quanto a processadores - significando que as 'nuvens' não estarão isentas do cumprimento da GDPR.
  • Aplica-se a todas as organizações ─ UE e não UE ─ que processam dados de cidadãos da UE
  • Requer que as organizações que processam ou mantém informações pessoalmente identificáveis implementem medidas de segurança adequadas para proteção contra a perda de dados pessoais.

Como isso afeta minha empresa?

O que minha empresa deve fazer para ficar em conformidade?
  • Autoavaliação
    É necessário um Responsável pela Proteção de Dados para empresas que empregam 250 pessoas ou mais. As organizações necessitam realizar uma análise interna do manuseio de informações pessoalmente identificáveis de seus funcionários e clientes
  • Mapear produtos / dispositivos internos e externos que armazenam dados
    Registre e exija que seja usado equipamento da empresa, para estar coberto por sua política de segurança de dados e assegure-se de que seja utilizada a criptografia dos dados. Itens podem incluir, mas não se limitam a: servidores, discos rígidos, SSDs, unidades Flash USB, computadores e dispositivos móveis
  • Análise do inventário
    Avalie o montante de dados pessoais em sua totalidade
  • Limpeza
    Elimine arquivos de informações pessoalmente identificáveis (PII) desnecessários
  • Controladores de informações
    Reveja o risco à privacidade e as avaliações de impacto
  • Contratos
    Proteja o futuro de sua empresa estabelecendo políticas agora que se tornem obrigatórias após seu início efetivo em maio de 2018
  • Violações de dados
    Os regulamentos requerem aviso em 72 horas

Solução - Implemente proteções apropriadas, padrões técnicos e políticas, como: criptografia de dados pessoais / informações pessoalmente identificáveis (PII) para minimizar o risco de não conformidade

(Saiba mais – Melhores práticas em padrões de pendrives criptografados)

Criptografia de dados
  • Um pendrive criptografado Ironkey e Kingston é uma das soluções para atender os padrões de conformidade com a criptografia de dados
  • Implementar "medidas técnicas e organizacionais apropriadas visando assegurar um nível adequado de segurança contra o risco, incluindo...criptografia de dados pessoais" (Artigo 32, Segurança de processamento)
  • A proposta solicita que as organizações criptografem dados confidenciais em trânsito e estáticos.
  • Requer que as organizações que processam ou mantém informações pessoalmente identificáveis de residentes da UE implementem medidas de segurança adequadas para proteção contra a perda de dados pessoais.
  • As organizações serão solicitadas a incluir esses padrões aperfeiçoados de processamento de dados em seus contratos com prestadores de serviço terceirizados.

Data encryption

Maior escopo territorial (aplicabilidade fora do território)

Possivelmente a maior mudança no cenário regulatório de privacidade de dados.

  • A jurisdição ampliada do GDPR aplica-se a todas as empresas que processam dados pessoais de objetos de dados residentes na União Europeia, independentemente da localização da empresa.

Maior escopo territorial

Notificação de violação

Notificações de violações de dados devem ser executadas até 72 horas depois do conhecimento da violação, onde possível, embora a notificação não precise ser feita para o DPA se for improvável que resulte em risco para os direitos ou liberdades dos indivíduos.

Novos Direitos do Consumidor
Benefícios para o consumidor
  • Mais proteção pelo GDPR e a capacidade de permanecer anônimo
  • Empodera os consumidores confirmando seu direito se não desejarem compartilhar dados
  • Novos direitos aperfeiçoados para o consumidor - ‘direito de ser esquecido - o ‘direito de portabilidade de dados exigindo que as empresas encerrem o uso de seus dados
  • As empresas que não estiverem em conformidade com esses direitos do consumidor estão sujeitas a mais processos por parte dos consumidores e entidades legais

Benefícios para o consumidor

Consentimento

As condições para o consentimento foram fortalecidas e as empresas não poderão mais usar longos termos e condições, repletos de termos legais, uma vez que o pedido de consentimento deve ser dado de forma inteligível e de fácil acesso, com a finalidade do processamento dos dados incluídos nesse consentimento.

  • O consentimento deve estar claro e distinto de outros assuntos e fornecido de forma inteligível e facilmente acessível, utilizando texto claro e simples. Deve ser tão fácil retirar o consentimento quanto é fácil fornecê-lo.
Direito de ser esquecido

Também conhecido como Apagamento de Dados, o direito de ser esquecido permite ao objeto dos dados que seus dados pessoais sejam apagados pelo controlador de dados, pare a distribuição futura dos dados e potencialmente que terceiros interrompam o processamento dos dados. As condições para o apagamento, conforme definido no (artigo 17), incluem os dados que não são mais relevantes para as finalidades originais de processamento ou o objeto dos dados retirando seu consentimento.

Deve-se observar também que esse direito exige que os controladores comparem os direitos dos objetos com o "interesse público na disponibilidade dos dados", ao considerar tais solicitações.

O que são Informações Pessoalmente Identificáveis (PII)?

Informações Pessoalmente Identificáveis (PII) referem-se a dados mantidos sobre os cidadãos da UE que, se revelados, poderia resultar em danos para aqueles cujas informações foram comprometidas. PII podem incluir registros médicos, dados biométricos, números de passaporte e Informações Financeiras Pessoalmente Identificáveis (PIFI) como também dados de segurança social e cartão de crédito. Informações que não podem ser consideradas PII, como nome e sobrenome, podem se tornar PII se relacionadas a outros dados.

  • Os ativos de dados de uma organização devem ser identificados como parte de uma avaliação de risco, incluindo o modo como os dados são armazenados e acessados, a qual nível de risco estão expostos e se contêm PII. Os ativos de dados podem estar armazenados em bancos de dados de aplicativos, sistemas de arquivos de servidor e em dispositivos do usuário final.

O que são Informações Pessoalmente Identificáveis (PII)?

Segmentos destacados
  • Um simples conjunto de regras da UE — Estima-se que uma simples lei para a UE sobre proteção de dados resulta em economias de €2,3 bilhões por ano
  • Um executivo de proteção de dados, responsável pela proteção de dados, será designado pelas autoridades governamentais e por empresas que processam dados em larga escala
  • Tudo em um só lugar – as empresas precisam lidar apenas com uma única autoridade de supervisão (no país da UE onde se encontra sua sede principal)
  • Regras da UE para empresas não localizadas na UE – empresas sediadas fora da UE devem aplicar as mesmas regras ao oferecerem serviços ou produtos, ou monitorar a conduta dos indivíduos dentro da UE
  • Regras amigáveis à inovação – uma garantia que os meios de segurança para a proteção de dados são integradas nos produtos e serviços desde o estágio inicial de desenvolvimento (proteção de dados no projeto e por padrão)
  • Técnicas favoráveis à privacidade como uso de pseudônimos (quando campos de identificação dentro de um registro de dados são substituídos por um ou mais identificadores artificiais) e criptografia (quando os dados são codificados de um modo que somente partes autorizadas possam lê-los)
  • Avaliações de impacto - as empresas terão que realizar avaliações de impacto quando o processamento de dados puder resultar em alto risco para os direitos e liberdades dos indivíduos
  • Manutenção de registros – não é necessário que os SMEs mantenham registros das atividades de processamento, salvo se o processamento for regular ou possa resultar em um risco para os direitos e liberdades da pessoa cujos dados estão sendo processados

Mais

Datas chave na Regulamentação Geral de Proteção de Dados (GDPR)
  • 31 de janeiro de 2018 PCI-DSS v3.2
    Exigência de Autenticação Multifator (8.3.1) - Afeta as organizações globais
  • 30 de junho de 2018 PCI-DSS v3.2
    Exigências de atualização de Criptografia SSL (2.2.3, 2.3, 4.1) - Afeta as organizações globais
  • Abril de 2018 PSD2 – Diretiva 2 de Serviços de Pagamento - Afeta empresas europeias
  • Maio de 2018 GDPR – Regulamentação Geral de Proteção de Dados - Afeta as organizações globais

Estas informações são apresentadas somente para sua orientação. A Kingston não está oferecendo serviços de consultoria ou orientação legal visando a conformidade com a GDPR da UE. Para informações adicionais com relação à GDPR da UE, por favor, acesse o site em: https://www.eugdpr.org

        Back To Top