Blog

Qual a diferença entre Controlador e Processador?
Categorias: Segurança ; Publicado em 23/01/2019

De acordo com o artigo 4.º do GDPR da UE, os diferentes papéis são identificados como indicado abaixo:

(note que na LGPD no artigo 5.º, itens V e VI as definições são semelhantes, apenas menos abrangentes)

Controlador - “significa a pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determina os propósitos e meios do processamento de dados pessoais”

Processador - “significa uma pessoa singular ou colectiva, autoridade pública, agência ou outro organismo que processa dados pessoais em nome do responsável pelo tratamento”

Resultado de imagem para controlador gdpr

Assim, as organizações que determinam os meios de processar dados pessoais são controladores, independentemente de coletarem diretamente os dados dos sujeitos de dados. Por exemplo, um banco (controlador) coleta os dados de seus clientes quando eles abrem uma conta, mas é outra organização (processador) que armazena, digitaliza e cataloga todas as informações produzidas em papel pelo banco. Essas empresas podem ser datacenters ou empresas de gerenciamento de documentos. Ambas as organizações (controlador e processador) são responsáveis ​​por manipular os dados pessoais desses clientes.

Quais são as responsabilidades dos controladores?

Nos termos do artigo 5.º do GDPR da UE, o responsável pelo tratamento deve ser responsável e demonstrar o cumprimento dos princípios relativos ao tratamento de dados pessoais. São eles: legalidade, justiça e transparência, minimização de dados, precisão, limitação e integridade de armazenamento e confidencialidade dos dados pessoais.

Nos termos do artigo 24.º do GDPR da UE, “Tendo em conta a natureza, o âmbito, o contexto e os fins do tratamento, bem como os riscos de variação de probabilidade e gravidade dos direitos e liberdades das pessoas singulares, o responsável pelo tratamento deve implementar as medidas técnicas e organizacionais adequadas. medidas para assegurar e demonstrar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas devem ser revistas e atualizadas sempre que necessário. ”

Exemplos de tais medidas podem ser a alocação de responsabilidades para proteção de dados, uma avaliação de impacto de proteção de dados e um plano de mitigação de riscos, implementação de pseudonimização (o processamento de dados pessoais de maneira que os dados pessoais não possam mais ser atribuídos a dados específicos). assunto sem o uso de informações adicionais) e a minimização de dados, a fim de satisfazer os requisitos do presente regulamento e proteger os direitos dos titulares dos dados.

Se existem várias organizações que partilham a responsabilidade pelo processamento de dados pessoais, o GDPR da UE inclui a existência de controladores conjuntos. Eles devem determinar suas respectivas responsabilidades por acordo e fornecer o conteúdo deste acordo aos titulares dos dados, definindo os meios de comunicação com os processadores com um único ponto de contato.

Quais são as responsabilidades dos processadores?

De acordo com o Artigo 28 do GDPR da UE, “Quando o processamento é para ser executado em nome de um controlador, o controlador deve usar apenas processadores que forneçam garantias suficientes para implementar medidas técnicas e organizacionais apropriadas de tal maneira que o processamento satisfará as exigências do presente regulamento e assegurar a protecção dos direitos da pessoa em causa. ”

Isso significa que, se qualquer empresa da UE ou de fora da UE quiser permanecer no negócio, como controladora ou processadora, terá que implementar os controles necessários para garantir que eles estejam em conformidade com o GDPR da UE, porque as multas podem ser aplicadas a ambos os controladores e processadores. De acordo com o Artigo 83, multas serão impostas com relação ao “grau de responsabilidade do controlador ou do processador, levando em consideração as medidas técnicas e organizacionais implementadas por eles”.

A implementação da ISO 27001 atende aos requisitos de GDPR da UE?

A implementação da ISO 27001 cobre a maioria dos requisitos do PIBR da UE; no entanto, alguns controles devem ser adaptados para incluir dados pessoais no Sistema de Gerenciamento de Segurança da Informação. Além do que está planejado para a implementação da ISO 27001, algumas medidas terão que ser incluídas para que uma organização, um controlador ou um processador (ambos precisam realizar essas atividades), para garantir a conformidade com o GDPR da UE, como :

  •     procedimentos para assegurar o exercício dos direitos das pessoas em causa
  •     mecanismos para a transferência de dados para fora da UE
  •     Conteúdo mínimo da avaliação de impacto sobre a protecção de dados
  •     procedimentos a serem seguidos em caso de violação de dados pessoais

Todas estas medidas podem ser integradas no Sistema de Gestão de Segurança da Informação, permitindo a garantia da conformidade legal e melhoria contínua - ainda mais se o SGSI e o GDR da UE estiverem alinhados.  A implementação de um SGSI pode ser o apoio em falta que a organização necessita para cumprir o GDPR da UE.

Formação DPO - DATA PROTECTION OFFICER
Categorias: Segurança ; Publicado em 27/11/2018

Webinar feito em 27/11/2018 sobre a formação DPO lançada pela IT Partners.

A abordagem foi sobre a necessidade desse profissional nas organizações e as oportunidades do mercado.

Saiba mais sobre a formação: CLIQUE AQUI

 

PALESTRA PARA LEIGOS SOBRE HACKERS E PROGRAMAÇÃO SEGURA
Categorias: Segurança Cloud ; Publicado em 30/03/2016

Por trás de todos os ataques encontramos sempre a exploração de um código que não antecipou aquele tipo de ataque. O conhecimento das técnicas de Desenvolvimento Seguro protegem os sistemas contra ataques mais conhecidos diminuindo radicalmente a exposição ao risco de sua organização.

Palestrante: Fernando Fonseca da Antebellun

Saiba mais sobre estes cursos com certificação do EXIN -  treinamento@itpartners.com.br

PALESTRA SOBRE SECURE E ETHICAL FOUNDATION
Categorias: Segurança Cloud ; Publicado em 21/12/2015

Webinar sobre Secure e Ethical Foundation, feito por Fernando Fonseca em dezembro de 2015

Maiores informações: treinamento@itpartners.com.br

SEGURANÇA, ASSUNTO DESCONHECIDO...
Categorias: Segurança ; Publicado em 14/12/2015

Ethical Hacking é uma das necessidades atuais na luta contra o crime cibernético. Seu objetivo é defensivo, fornecendo às organizações os recursos para verificação da robustez de seus hardwares, softwares, sistemas de rede e websites. Curioso que este curso é voltado para profissionais de TI. A maioria está despreparada para lidar com este assunto e é refratária ao tema, achando que este assunto é do pessoal de segurança. Por isso mesmo este curso é bastante prático, com muita mão na massa e diferente de cursos iniciais que apenas pincelam o assunto. Eu recomendo.

Cesar Monteiro