Com OneTrust DataGuidance é possível ficar em dia com as últimas atualizações da LGPD e das diversas legislações e estruturas de segurança e privacidade do mundo.
Saiba mais sobre OneTrust DataGuidance e solicite um free trial
Confira as últimas notícias:
Governo lança guia operacional para respostas a incidentes
Notícia publicada em 05/10/2021. Confira a notícia na fonte e em OneTrust DataGuidance.
O Governo do Brasil divulgou, em 5 de outubro de 2021, seu Guia de Resposta a Incidentes de Segurança, relacionado ao cumprimento da Lei nº 13.709 de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (conforme alterada pela Lei nº 13.853 de 8 de julho de 2019) ( ‘LGPD’) para órgãos públicos. Em particular, o guia discute a conformidade com o LGPD e as melhores práticas para os requisitos de especificação relativos à segurança da informação e privacidade na aquisição de serviços de tecnologia da informação. Além disso, o guia traça um processo a ser seguido quando houver casos de incidente de segurança, que consiste em considerar, entre outros:
- O contexto do incidente de segurança relacionado aos dados pessoais;
- Fluxograma simplificado para notificações de incidentes de segurança envolvendo dados pessoais;
- Quando, como e se um relatório de impacto da proteção de dados pessoais deve ser preparado;
- Estrutura organizacional para lidar com incidentes cibernéticos;
- Ciclo de resposta a incidentes;
- Documentação específica;
- Priorização e impacto nos negócios;
- Planos de contenção, erradicação e recuperação de incidentes de segurança; e
- 35 recomendações de melhores práticas a serem seguidas.
ANPD assina memorando de entendimento com a AEPD
Notícia publicada em 05/10/2021. Confira a notícia na fonte e em OneTrust DataGuidance.
A Autoridade Nacional de Proteção de Dados (‘ANPD’) assinou, em 4 de outubro de 2021, um Memorando de Entendimento (‘MoU’) com a autoridade espanhola de proteção de dados (‘AEPD’). Em particular, o MoU visa promover mecanismos específicos de cooperação técnica que permitam o intercâmbio de conhecimentos e experiências entre as duas autoridades, possibilitem a colaboração institucional, a identificação das melhores práticas no domínio da proteção de dados pessoais e promovam o desenvolvimento de ações conjuntas no divulgação e aplicação prática dos regulamentos de proteção de dados. Além disso, de acordo com a ANPD, o MoU é o primeiro acordo internacional assinado pela ANPD com uma autoridade internacional de proteção de dados. Além disso, a par de outros acordos de cooperação já assinados, o MoU resulta dos objectivos definidos no Plano Estratégico da ANPD, que incluem o reforço da cultura de protecção de dados pessoais, bem como o diálogo com entidades governamentais e não governamentais, como organizações internacionais e outras autoridades de proteção de dados pessoais.
ANPD publica guia de segurança da informação para pequenos agentes de processamento de dados
Notícia publicada em 04/10/2021. Confira a notícia na fonte e em OneTrust DataGuidance.
A Autoridade Nacional de Proteção de Dados (‘ANPD’) publicou, em 4 de outubro de 2021, um guia de segurança da informação destinado a pequenos agentes de processamento de dados (controladores e / ou processadores). Em particular, o guia visa ajudar os pequenos agentes de processamento a implementar medidas de segurança da informação para a proteção dos dados pessoais processados. Além disso, o guia traz algumas medidas administrativas e técnicas de segurança e um checklist para facilitar a visualização das sugestões que serão adotadas, tais como:
- Política de informações de segurança;
- Conscientização e treinamento;
- Gestão de contratos;
- Controle de acesso;
- Segurança de dados pessoais armazenados;
- Segurança das comunicações;
- Gerenciamento de vulnerabilidade;
- Dispositivos móveis; e
- Serviços na nuvem.
Banco Central e Banese confirmam vazamento de dados de 395.097 chaves de pagamento PIX
Notícia publicada em 30/09/2021. Confira a notícia na fonte e em OneTrust DataGuidance.
O Banco Central do Brasil (‘BACEN’) e o Banco do Estado de Sergipe S.A. (‘Banese’) confirmaram, em 30 de setembro de 2021, o vazamento de dados de chaves eletrônicas de pagamento (‘PIX’) pelo Banese. Em particular, o Banes informou ter detectado o vazamento de chaves de pagamento eletrônico pessoal de 395.097 clientes. Inicialmente, o Banese observou que o evento não afetou o sigilo de senhas, histórico de transações e demais informações financeiras de seus clientes. No entanto, o Banese afirmou ainda que foram divulgados dados como nomes, números de segurança social, nomes do banco onde está registada a chave, agências bancárias, números de contas bancárias e outros dados técnicos utilizados no controlo antifraude. Além disso, o Banese confirmou que dados sigilosos, como senhas, informações de transações e saldos, não foram afetados. Ademais, o Banese informou que tem trabalhado com o BACEN na apuração e comunicação dos fatos, tendo adotado ações de contenção e medidas técnicas, como a revogação do acesso às contas utilizadas e a implantação de mecanismos de segurança para prevenção de casos semelhantes. Por fim, nos termos da legislação aplicável, o Banese comunicou o incidente à Autoridade Nacional de Proteção de Dados (‘ANPD’).
Câmara dos Deputados aprova projeto de lei regulando IA
Notícia publicada em 29/09/2021. Confira a notícia na fonte e em OneTrust DataGuidance.
A Câmara dos Deputados aprovou, em 29 de setembro de 2021, o Projeto de Lei nº 21/20, que estabelece os fundamentos e princípios para o desenvolvimento e aplicação da inteligência artificial (‘IA’) no Brasil, listando diretrizes para a promoção e atuação do poder público sobre o sujeito. Em particular, o projeto de lei prevê, entre outras coisas, que a matéria de IA caberá às autoridades federais legislar e expedir normas sobre a matéria. Além disso, o projeto de lei lista diversos aspectos que vão depender de regulamentação, por meio de órgãos setoriais, e entidades com competência técnica na área, como agências reguladoras e o Banco Central do Brasil. Além disso, o projeto de lei regula diversos aspectos como: transparência e uso ético de sistemas de IA no setor público; o dever de estimular a criação de mecanismos de governança transparentes e colaborativos com a participação de representantes de diversos setores; promover a cooperação internacional e a negociação de tratados, acordos e normas técnicas globais que facilitem a interoperabilidade entre os sistemas e a harmonização da legislação na matéria; e a adoção de instrumentos regulatórios que promovam a inovação. O projeto agora será encaminhado ao Senado para aprovação.
ANPD anuncia estudo sobre práticas de proteção de dados com setor farmacêutico (8/9/2021)
Notícia publicada em 08/09/2021. Confira a notícia na fonte e em OneTrust DataGuidance.
A Autoridade Nacional de Proteção de Dados (‘ANPD’) anunciou, em 8 de setembro de 2021, que havia iniciado um estudo sobre as melhores práticas de proteção de dados pessoais no setor farmacêutico. Em particular, o estudo está sendo realizado pela Coordenação Geral de Tecnologia e Pesquisa, e tem como objetivo incentivar as associações a promoverem as boas práticas do setor no que diz respeito ao cumprimento da Lei nº 13.709 de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (conforme alterada pela Lei nº 13.853, de 8 de julho de 2019) (‘LGPD’). De acordo com a ANPD, o estudo visa também promover a atualização das políticas e avisos de privacidade, bem como melhorar o diálogo e a transparência dessas associações com os titulares dos dados.
Câmara dos Deputados aprova emenda constitucional sobre proteção de dados pessoais.
Notícia publicada em 31/08/2021. Confira a notícia na fonte e em OneTrust DataGuidance.
A Câmara dos Deputados aprovou, em 31 de agosto de 2021, em segundo turno, o texto da Proposta de Emenda Constitucional PEC nº 17/2019, que altera a Constituição Federal Brasileira para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais, bem como estabelecer a competência federal exclusiva para legislar sobre a proteção e o tratamento de dados pessoais.
No entanto, a Câmara dos Representantes observou que, durante a votação, o Partido Novo destacou a decisão de retirar do texto original da PEC 17/2019 a frase: ‘a criação de um órgão regulador de proteção de dados sob a forma de um órgão independente entidade, integrante da administração pública federal indireta, sujeita a regime autárquico especial ”. Em particular, o deputado Vinícius Poit, do Partido Novo, questionou a inclusão na Constituição desta questão específica da criação de uma agência, afirmando: “Ninguém aqui está questionando a autonomia, nem a independência do regulador. Mas, constitucionalizando essa questão nunca foi feito para nenhuma outra agência “. Assim, os deputados da Câmara delinearam que o dispositivo em questão foi retirado do texto original.
O texto da PEC nº 17/2019 aprovado pela Câmara dos Deputados agora retornará ao Senado para nova aprovação e votação.
ANPD anuncia audiência pública sobre pequenos negócios
Notícia publicada em 30/08/2021. Confira a notícia na fonte e em OneTrust DataGuidance.
A Autoridade Nacional de Proteção de Dados (‘ANPD’) anunciou, em 30 de agosto de 2021, que realizará, nos dias 14 e 15 de setembro de 2021, audiência pública sobre micro e pequenas empresas, bem como para iniciativas empresariais incrementais ou disruptivas que se declarem como startups ou empresas de inovação, nos termos do artigo 55 (J) (XVIII) da Lei n.º 13.709 de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (conforme alterada pela Lei n.º 13.853 de 8 de julho de 2019) (‘LGPD ‘). Em particular, o projeto de resolução nomeia esse grupo de empresas como ‘pequenos agentes de processamento de dados’. Além disso, o projeto de resolução destaca a necessidade urgente de adoção de procedimentos simplificados e diferenciados para este grupo de empresas, facilitando assim a adesão deste grupo à LGPD e sua contribuição para a disseminação da cultura de proteção de dados pessoais no Brasil.
As inscrições para participação na consulta pública estarão disponíveis na plataforma Participa + Brasil até 29 de setembro de 2021. Além disso, a ANPD destacou que as pessoas físicas e profissionais interessados em realizar apresentações orais durante a audiência pública deverão se inscrever até as 18h do dia 9 de setembro de 2021.
PROCON-SP notifica varejista para mais informações sobre o ataque de ransomware
Notícia publicada em 23/08/2021. Confira a notícia na fonte e em OneTrust DataGuidance.
A Fundação de Proteção e Defesa do Consumidor do Estado de São Paulo (‘PROCON-SP’) notificou, em 20 de agosto de 2021, as Lojas Renner SA solicitando esclarecimentos sobre o ciberataque / ransomware sofrido pela empresa em 19 de agosto de 2021. Em especial, o Procon-SP exigiu que a Renner informasse, entre diversos tópicos, os listados a seguir:
- quais bancos de dados foram afetados pelo ataque;
- qual foi o nível de exposição dos dados;
- por qual período o site não estava disponível;
- se existe a possibilidade de vazamento de dados pessoais de clientes e outras informações estratégicas;
- informações adicionais sobre as metodologias de proteção de dados da empresa;
- demonstrações sobre o plano de recuperação executado;
- qual o prazo previsto para a solução definitiva do problema;
- quais canais de atendimento estão disponíveis aos consumidores durante a ocorrência;
- as comunicações enviadas aos consumidores e ao mercado para esclarecimento dos fatos;
- comprovar a forma de acesso do consumidor ao site alvo do ataque cibernético;
- informar quais tipos de dados são necessários para realizar o cadastro e as transações no site;
- esclarecer dúvidas sobre o processo de criptografia usado na coleta, tratamento e armazenamento de dados de clientes; e
- perguntas sobre a existência ou não de um oficial de proteção de dados nomeado, conforme previsto pela Lei nº 13.709 de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (conforme alterada pela Lei nº 13.853 de 8 de julho de 2019) (‘LGPD’)
A empresa deve responder ao Procon até 25 de agosto de 2021.
Brasil: ANPD lança repositório de publicações e divulga cronograma das principais realizações
Notícia publicada em 16/08/2021. Confira a notícia na fonte e em OneTrust DataGuidance.
A Autoridade Nacional de Proteção de Dados (‘ANPD’) lançou, em 12 de agosto de 2021, um repositório de publicações em seu site, incluindo guias e documentos técnicos. Em particular, a ANPD observou que o objetivo dessas publicações é fornecer um registro de temas e orientações e servir de referência para controladores de dados, agentes de processamento e a sociedade em geral. Entre os diversos documentos disponibilizados, a ANPD incluiu um cronograma contendo os marcos de sua atuação até o momento.
Presidente do Brasil nomeia membros do conselho do CNPD e seus substitutos
Notícia publicada em 10/08/2021. Confira a notícia na fonte e em OneTrust DataGuidance.
O Presidente da República do Brasil, Jair Messias Bolsonaro, nomeou, em 9 de agosto de 2021, os membros efetivos e suplentes para compor o Conselho Nacional de Proteção de Dados Pessoais e Privacidade (‘CNPD’) da Autoridade Nacional de Proteção de Dados (‘ANPD’). Em particular, e por meio de um decreto publicado no Diário Oficial em 10 de agosto de 2021, a nomeação dos conselheiros e seus substitutos, respectivamente, são:
- Representantes do Poder Executivo Federal:
- Casa Civil da Presidência da República: Jonathas Assunção Salvador Nery de Castro e Renato David Clack de Aquino;
- Ministério da Justiça e Segurança Pública: Rodrigo Lange e Leonardo Garcia Greco;
- Ministério da Economia: Marcelo de Lima e Souza e Marta Juvina de Medeiros;
- Ministério da Ciência, Tecnologia e Inovação: Marcos Cesar de Oliveira Pinto e Fernando Antonio Rodrigues Dias; e
- Gabinetes de Segurança Institucional da Presidência da República: Adriano de Souza Azevedo e José Placido Matias dos Santos;
- Representantes dos demais poderes, órgãos ou instituições públicas:
- Senado Federal: Fabricio da Mota Alvez e Gustavo Sabioa Vieira;
- Câmara dos Deputados: Danilo Cesar Maganhoto Doneda e Fernando Antonio Santiago Junior;
- Conselho Nacional de Justiça: Henrique de Almeida Avila e Valter Shuenquener de Araújo;
- Conselho Nacional do Ministério Público: Marcelo Weitzel Rabello de Souza e Silvio Roberto de Amorim Junior; e
- Comitê Gestor da Internet no Brasil: Marcio Nobre Migon e Hartmut Richard Glaser;
- Representante de Organizações da Sociedade Civil:
- Rodrigo Badaró Almeida de Castro e Fabro Boaz Steibel;
- Bruno Ricardo Bioni e Maria Lumena Balaben Sampaio; e
- Michelle Nogbueira Lima e Davis Souza Alves;
- Representante de Instituições Científicas, Tecnológicas e de Inovação:
- Laura Schertel Ferreira Mendes e Ana Carla Bliacheriene;
- Fabio Menke e Leonardo Netto Parentoni; e
- Claudio Lucena Neto e Caitlin Sampaio Mulhollans;
- Representantes das Confederações Sindicais das Categorias Econômicas do Setor Produtivo:
- Natasha Torres Gil Nunes e Franscisco Soares Campelo Filho;
- Cássio Augusto Muniz Briges e Marcos Vinicius Barros Ottoni; e
- Flávio Boson Gambogi e Táis Carvalho Serralva;
- Representantes de entidades do setor empresarial relacionadas ao processamento de dados pessoais:
- Ana Paula Martins Bialer e Vitor Morais de Andrade; e
- Annette Martinelli de Mattos Pereira e Fabio Augusto Andrade;
- Representantes de entidades do setor de trabalho:
- Patrícia Peck Garrido Pinheiro e Claudio Eduardo Lobato Abreu Rocha; e
- Deborah Sirotheau Siqueira Rodrigues e Emerson Rocha.
Sanções da LGPD entram em vigor
Notícia publicada em 04/08/2021. Confira a notícia na fonte e em OneTrust DataGuidance.
A Autoridade Nacional de Proteção de Dados (‘ANPD’) anunciou, em 30 de julho de 2021, uma série de perguntas frequentes (‘FAQs’) relacionadas ao início da aplicação de sanções e multas nos termos da Lei nº 13.709 de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (conforme alterada pela Lei nº 13.853 de 8 de julho de 2019) (‘LGPD’), uma vez que as multas entraram em vigor em 1 de agosto de 2021, após o início de todos os outros artigos da LGPD, que celebraram efeito em 18 de setembro de 2020.
Em particular, as perguntas frequentes abordam vários tópicos, como:
- os tipos de sanções, multas ou penalidades que podem ser aplicadas pela ANPD;
- os órgãos públicos que podem aplicar penalidades;
- como a ANPD tem se estruturado para aplicar as penalidades;
- o calendário de aprovação do projecto de Regulamento de Fiscalização e Aplicação de Sanções Administrativas, que se encontra em fase final de análise e consulta pública;
- se a ANPD pretende estabelecer contato com outros órgãos públicos para fins de fiscalização;
- como os órgãos públicos serão penalizados;
- que a ANPD não poderá aplicar sanções relacionadas a incidentes ocorridos antes de 1º de agosto de 2021, mas que poderá ser aplicada a infrações contínuas iniciadas antes de 1º de agosto de 2021;
- que a ANPD pode aplicar essas sanções em diversos tipos de situações em que os controladores não cumpram a LGPD como um todo e não apenas nos casos de violação de dados;
- como as multas serão calculadas;
- as equipes internas da ANPD formadas para monitorar o cumprimento da LGPD, receber reclamações e aplicar sanções; e
- que os processos administrativos da ANPD possam ser consultados publicamente por meio da plataforma Fala.BR.
ANPD anuncia audiência pública sobre regras de fiscalização
Notícia publicada em 25/06/2021 e atualizada em 02/07/2021. Confira a notícia na fonte e em OneTrust DataGuidance.
A Autoridade Nacional de Proteção de Dados (‘ANPD’) anunciou, em 25 de junho de 2021, que realizará, no dia 8 de julho de 2021, audiência pública sobre suas regras de fiscalização, onde pretende discutir a proposta normativa que estabeleceria o mecanismo de fiscalização da ANPD.
Além disso, a consulta pública estará aberta a comentários e sugestões a respeito do padrão proposto pela ANPD para estabelecer os mecanismos de fiscalização que pretende adotar, com dispositivos de monitoramento, orientação, prevenção e punição.
Os interessados em participar da audiência pública devem se inscrever até o dia 6 de julho de 2021, por meio do formulário. A audiência pública será transmitida pelo canal da ANPD no YouTube e não é necessário cadastro para quem deseja apenas assistir.
EPIC insta o Brasil a abordar os poderes de aplicação da lei na reforma do Código de Processo Penal.
Notícia publicada em 29/06/2021. Confira a notícia na fonte e em OneTrust DataGuidance.
O Centro de Informações de Privacidade Eletrônica (‘EPIC’) anunciou, em 29 de junho de 2021, que aderiu e assinou uma carta da Coalizão Global de Criptografia (‘GEC’), instando o Brasil a abordar as atualizações propostas para o Código de Processo Penal Brasileiro (‘CPP’), que atualmente está em fase de tentativa de reforma. Em particular, o GEC observou que a reforma do CPP está à luz dos novos desafios apresentados pelos avanços tecnológicos que ameaçariam a criptografia e a segurança dos dados no Brasil. Nesse sentido, o GEC expressou sua preocupação com os riscos decorrentes desses desenvolvimentos para criptografia e segurança de usuários, que poderiam impactar negativamente os direitos fundamentais, a economia digital, a segurança pública e a segurança nacional não apenas no Brasil, mas em vários países.
Além disso, a carta destaca, entre outras coisas, que as principais questões de preocupação são as disposições relativas à interceptação telemática e à exploração de vulnerabilidades tecnológicas pela aplicação da lei para a produção de provas criminais, conhecido como ‘hacking governamental’, expedições de pesca, coleta remota, repouso de dados acessados à distância, acesso forçado ao sistema de computador e processamento de código aberto, que podem ser responsáveis por facilitar o acesso por meio de tecnologias de vigilância e podem criar abusos descontrolados do poder do Estado, como espionar jornalistas e ativistas.
ANPD e CADE assinam acordo de cooperação técnica
Notícia publicada em 02/06/2021. Confira a notícia na fonte e em OneTrust DataGuidance.
A autoridade brasileira de proteção de dados (‘ANPD’) assinou, em 2 de junho de 2021, o Acordo de Cooperação Técnica nº 5/2021 em conjunto com o Conselho Administrativo de Defesa Econômica (‘CADE’) a fim de estabelecer ações coordenadas em casos de violação da ordem econômica envolvendo dados pessoais e para a divulgação da cultura da livre concorrência em serviços que assegurem a proteção de dados pessoais. Além disso, o acordo destaca as garantias de controle efetivo que os titulares dos dados devem ter sobre seus dados e como os dados pessoais estão sendo usados pelos controladores e processadores de dados em atividades de processamento específicas.
Além disso, para cumprir o objeto do contrato, a ANPD e o CADE desenvolverão atividades como:
- compartilhar documentos, estudos, pesquisas e informações;
- realização de reuniões periódicas, workshops e visitas técnicas;
- treinamentos;
- cooperação em atos de concentração de transferência ou outros tipos de processamento de dados; e
- cooperação em casos de violação da ordem econômica envolvendo dados pessoais.
SENACON multa banco em R$ 4 milhões por uso indevido de dados pessoais de consumidores idosos
Notícia publicada em 02/06/2021. Confira a notícia na fonte e em OneTrust DataGuidance.
A Secretaria Nacional do Consumidor (‘SENACON’) anunciou, em 14 de junho de 2021, que multou o Banco Cetelem SA em R$ 4.000.000,00 por fraude financeira, como ofertas abusivas e contratação de folha de pagamento empréstimos com o uso indevido de dados pessoais de consumidores idosos. Ademais, o SENACON destacou que o Banco Cetelem infringiu disposições da Lei nº 8.078, de 11 de setembro de 1990, ao não exercer sua função de vigilância e fiscalização das atividades desenvolvidas por seus correspondentes bancários. Em particular, a decisão do SENACON observa que o Banco Cetelem não impediu terceiros por ele contratados de atuarem de forma abusiva, e os consumidores cujos dados foram utilizados para contatos não foram informados da abertura do banco de dados e cadastro, o que gerou a exploração de aposentados idosos e pensionistas do Instituto Nacional de Segurança Social.