Skip to main content

Saber mais sobre leis e regulamentação de privacidade

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

  • Explicar a importância da privacidade dos dados.
  • Descrever como as leis de privacidade se aplicam à sua organização.
  • Delinear as expectativas dos clientes em relação à privacidade.

Introdução à privacidade

Como profissional de segurança, é importante manter-se informado sobre as leis de privacidade mais recentes que se aplicam à sua organização, especialmente se sua organização lida com dados pessoais dos clientes. Por que isso é tão importante? Garantir que os dados de seus clientes e funcionários estão protegidos é primordial para estabelecer e manter a confiança. Neste módulo, vamos rever as ferramentas para implementar um programa de privacidade eficaz.

Se sua organização armazena e processa dados de clientes, seus clientes confiam em você para proteger, usar e processar esses dados com segurança, de acordo com as leis aplicáveis. Esses dados podem incluir dados pessoais, como informações de contato, saúde ou financeiras, ou informações relacionadas a negócios, como despesas, marketing ou análises.

Independentemente do tipo de dados que você processa ou armazena, é importante mantê-los seguros. Além de processar ou armazenar dados de clientes, sua organização é responsável pelos seus próprios dados, incluindo conhecimento sobre potenciais clientes, informações de funcionários, dados financeiros e muito mais.

Assim, como você garante que esses dados estão protegidos? Para começar, você deve estar ciente das leis de privacidade aplicáveis e deve segui-las. Nós entramos nos detalhes dessas leis de privacidade aqui. Para documentar a conformidade com as leis de privacidade aplicáveis e proteger a si mesmo e a seus clientes, é uma boa ideia celebrar contratos quando você está coletando dados de clientes. Esses contratos devem detalhar como sua organização manterá os dados dos clientes seguros e confidenciais. Por exemplo, a maioria das companhias aéreas internacionais são obrigadas a atestar em seus sites públicos como elas protegem a privacidade de um cliente, quais dados coletam e por que e como são coletados, usados, avaliados, protegidos e armazenados.

Por que a privacidade importa

Vamos dar um passo atrás por um momento e rever o conceito de privacidade e o que isso significa. A privacidade diz respeito à forma como uma informação (ou dados) deve ser gerenciada e protegida com base na sua importância relativa.

A privacidade de dados tornou-se um tópico importante ultimamente devido a lapsos de segurança e preocupações sobre como as empresas estão usando os dados coletados dos clientes. As preocupações com a privacidade de dados são particularmente importantes para empresas de certos setores, como Financeiro e Saúde. Esses setores contêm informações confidenciais e são, normalmente, altamente regulamentados. Eles também são cada vez mais alvos de ataques cibernéticos, que, se tiverem êxito, poderão resultar não apenas na perda desses dados, mas também na perda de confiança dos consumidores. 

Vamos ver um exemplo. Quando você solicita um cartão de crédito, normalmente é obrigado a fornecer o nome civil, data de nascimento, endereço, número de identificação emitido pelo governo e renda anual. É muita informação! Essas informações não só são usadas para verificar sua identidade, mas também permitem que a empresa de cartão de crédito verifique seu histórico de crédito. Essas informações são consideradas dados pessoais, e a empresa de cartão de crédito é obrigada a colocar medidas de segurança em prática para protegê-los.

Nesse exemplo, privacidade significa que a empresa de cartão de crédito é responsável por proteger suas informações pessoais contra divulgação não autorizada, que ela precisa ser transparente sobre como usa seus dados pessoais, que usa os dados de acordo com as leis aplicáveis e que você concorda com o uso de seus dados para determinado propósito.

Um laptop mostra uma pessoa solicitando um cartão de crédito online, com uma pasta de arquivo cheia de cifrões e cartões de crédito, sobrepostos por um escudo.

Terminologia da privacidade

Antes de mergulharmos nas leis de privacidade, vamos rever algumas definições básicas.

Dados de clientes: as informações que um cliente fornece enquanto interage com uma empresa; pode ser por meio de um site, aplicativo móvel, mídias sociais e muito mais.

Titular de dados: um indivíduo cujos dados pessoais são coletados, mantidos ou processados.

Dados pessoais: os dados que são diretamente atribuíveis a um titular de dados e podem identificar um indivíduo, como nome, endereço residencial ou identificador pessoal (por exemplo, número do passaporte).

Dados pessoais confidenciais: alguns tipos de dados pessoais são considerados confidenciais e estão sujeitos a uma regulamentação mais rígida. Isso pode incluir dados sobre raça, etnia, afiliação partidária, crenças religiosas ou filosóficas, associação a sindicatos, dados genéticos, dados biométricos, dados de saúde ou dados relativos à vida ou orientação sexual da pessoa.

Processamento: qualquer operação ou conjunto de operações em dados (por exemplo, acesso, coleta, gravação, recuperação, cópia, armazenamento, divulgação e assim por diante).

Controlador: pessoa física ou jurídica que determina os propósitos e meios de processamento de dados pessoais.

Processador: pessoa física ou jurídica que processa dados pessoais em nome de um controlador.

Guardião: indivíduo responsável pela preservação, transporte e armazenamento seguro dos dados e pela implementação de regras de negócios. 

Autoridade de proteção de dados (DPA): autoridades federais responsáveis pela proteção de dados e da privacidade e que também monitoram e fazem cumprir a legislação de proteção de dados no país.

Sua organização pode atuar como processador e como controlador, dependendo da situação e dos dados envolvidos. É útil pensar nas funções de processador e controlador em relação à divisão de responsabilidades entre as partes. Seus clientes podem ser controladores e processadores. No entanto, sua organização sempre atua como um processador, quando um cliente envia dados para você, e como controlador, quando você determina os meios e propósitos de processamento dos dados.

Leis de privacidade

Dependendo de onde sua organização opera, você pode precisar obedecer às leis de privacidade específicas do local. Se sua organização opera globalmente, é importante implementar requisitos de políticas aplicáveis ao país de operação. Por exemplo, se sua organização opera no Japão, você está sujeito à Lei sobre proteção de informações pessoais.

Existem leis de privacidade para proteger os indivíduos em relação aos seus dados pessoais. Elas também regulam como os dados pessoais podem ou não ser usados. Vamos dar uma olhada mais atenta ao conteúdo das leis de privacidade.

  • Se os dados pessoais podem ser coletados e processados
  • O que e como as informações devem ser fornecidas em relação a práticas de processamento de dados
  • Quem pode acessar e usar dados pessoais
  • Como os dados pessoais podem ser processados
  • Como os dados devem ser protegidos
  • Quando excluir ou alterar os dados
  • Quem tem permissão para transportar ou preservar os dados
  • Onde e como os dados pessoais podem ser transferidos para outros países
  • Como os incidentes de segurança são resolvidos
  • Que direitos os titulares de dados têm em relação aos seus dados pessoais

Globalmente, existem dois tipos de leis de privacidade: abrangentes (aplicáveis a todos os setores e indústrias) e setoriais (aplicável a setores ou indústrias específicos[as]). Nos EUA, o governo federal historicamente tem tido uma abordagem setorial. Por exemplo, há a Lei de portabilidade e responsabilização de seguros de saúde (HIPAA, Health Insurance Portability and Accountability Act), lei de privacidade de cuidados de saúde dos EUA que protege dados que revelam o estado de saúde de um indivíduo (chamados de informações de saúde protegidas ou PHI, Protected health information). 

A única lei de privacidade nacional dos EUA é a Lei de proteção à privacidade online das crianças (COPPA, Children’s Online Privacy Protection Act), que regulamenta como as empresas online podem coletar e usar dados sobre crianças menores de 13 anos. 

Na falta de uma legislação federal sobre privacidade abrangente, vários estados tomaram a iniciativa de criar suas próprias leis sobre privacidade, incluindo:

  • Califórnia - Lei de direitos de privacidade da Califórnia (CPRA)
  • Virgínia - Lei de proteção de dados do consumidor da Virgínia (VCDPA)
  • Connecticut - Lei de privacidade de dados de Connecticut (CTDPA)
  • Utah - Lei de privacidade do consumidor de Utah (UCPA)
  • Colorado - Lei de privacidade do Colorado (CPA)

Esses estados promulgaram recentemente suas próprias leis sobre privacidade ou estão no processo de criação dessas leis. E muitos outros estados estão considerando fazer o mesmo. Ao aprovar suas próprias leis de privacidade, esses estados fornecem sua própria proteção para seus eleitores.

Em contrapartida, a União Europeia (UE) e o Espaço Econômico Europeu (EEE) adotaram uma abordagem mais abrangente por meio do Regulamento geral de proteção de dados (RGPD). O RGPD é a legislação de privacidade da UE e do EEE e se aplica a todos os controladores e processadores, independentemente de sua indústria ou setor. No entanto, existem também algumas leis setoriais específicas na Europa, como a do setor de telecomunicações.

Embora não seja uma lista exaustiva, vários outros países em todo o mundo, incluindo Japão, Austrália, China, Canadá, Brasil, Argentina, Índia, África do Sul e muito mais, têm suas próprias leis de privacidade ou estão trabalhando na elaboração delas. Embora cada país possa ter sua própria lei, a maioria das leis de privacidade em todo o mundo são baseadas nos mesmos princípios fundamentais.

  • Imparcialidade e transparência
  • Limitação do propósito
  • Minimização de dados
  • Precisão
  • Exclusão e retenção de dados
  • Segurança
  • Responsabilidade
  • Direitos individuais
  • Transferências internas
  • Avaliações de impacto da privacidade de dados

Vamos dar uma olhada mais de perto nesses princípios na próxima unidade.

Contratos de clientes e acordos de nível de serviço

Além de cumprir as leis de privacidade, as organizações incluem compromissos de privacidade em contratos de clientes ou acordos de nível de serviço (SLAs, Service level agreements). Esses compromissos detalham como sua organização pode utilizar dados pessoais, incluindo as formas exigidas pela legislação aplicável.

Certificações e normas internacionais de privacidade

Além das leis de privacidade, sua organização também pode ser obrigada a cumprir certas certificações e normas que impõem requisitos abrangentes de privacidade. Essas certificações e normas variam de acordo com a indústria, mas podem incluir:

  • Organização Internacional para Padronização e Comissão Eletrotécnica Internacional (ISO/IEC) 27001/27018, que fornecem requisitos para sistemas de gerenciamento de segurança da informação e para proteger informações pessoalmente identificáveis (PII) em nuvens públicas que atuam como processadores de PII
  • Relatórios de Controle da organização de serviços (SOC, Service Organization Control), que ajudam as empresas a estabelecer confiança em seus processos e controles na prestação de serviços
  • Certificação TRUSTe, que permite às organizações demonstrar práticas responsáveis consistentes com normas de responsabilidade sobre privacidade
  • Norma da Organização internacional para uniformização e Comissão eletrotécnica internacional (ISO/IEC) 27701, que é uma extensão das normas ISO/IEC 27001 e ISO/IEC 27002 sobre gestão de informações sobre privacidade. Ela oferece diretrizes para o processamento de PII e ajuda as organizações a estabelecer, implementar, manter e melhorar continuamente seus Sistemas de gestão de informações sobre privacidade (PIMS).

Políticas de privacidade

Sua organização deve respeitar os compromissos assumidos com os clientes quando você coleta dados pessoais. Além disso, sua organização deve manter uma declaração de privacidade em seu site público descrevendo os tipos de dados que coleta dos usuários de seu site e como você usa e compartilha esses dados. Os compromissos que você faz nessa declaração de privacidade devem ser semelhantes aos que faz nos contratos que assina com seus clientes. O mesmo vale para políticas internas de privacidade e avisos para funcionários que detalham como você coleta, usa, compartilha e processa dados de funcionários.

Resumo

Agora, você tem uma melhor compreensão dos conceitos de privacidade, leis e expectativas dos clientes. Na próxima unidade, abordaremos os princípios de privacidade e como você pode aplicá-los para proteger sua organização.

Recursos

Continue a aprender de graça!
Inscreva-se em uma conta para continuar.
Inscrever-se Login
O que você ganha com isso?
  • Receba recomendações personalizadas para suas metas de carreira
  • Pratique suas habilidades com desafios práticos e testes
  • Monitore e compartilhe seu progresso com os empregadores
  • Conecte-se a orientação e oportunidades de carreira
Pular por enquanto