Defenda a sua privacidade online

A privacidade está relacionada com o direito de controlar os tipos de compartilhamento e uso das informações sobre as vidas das pessoas, quem pode saber o que, e em quais condições. O direito à privacidade é um dos direitos humanos fundamentais para a dignidade humana e para a autonomia. Cada país e cada cultura têm seus limites e seus costumes relacionados aos limites entre aquilo que se considera público e privado em cada contexto. No Brasil, o princípio da inviolabilidade à privacidade está previsto na Constituição Federal, em seu art. 5º, inciso X, dispondo que são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação. Atualmente, em virtude do avanço da tecnologia e dos meios de comunicação, torna-se cada vez mais comum a quebra deste princípio, resultando em danos materiais e, principalmente morais, que muitas vezes trazem consequências irreparáveis em virtude da repercussão social de certos atos. Diante disso, é de fundamental importância uma maneira lícita e eficaz de proteger, garantir e, principalmente, controlar a inviolabilidade à privacidade das pessoas para evitar a ocorrência de danos que muitas vezes se tornam irreparáveis. Quando se pensa privacidade nos ambientes digitais, existem muitos desafios, pois nem sempre é fácil saber o quão público ou privado é o ambiente. Na legislação brasileira o direito à privacidade está garantido, inclusive para crianças e adolescentes, dentro e fora das redes. Toda e qualquer violação da privacidade precisa ser legalmente justificada e com condições específicas e proporcionais às necessidades. Porém, o problema que as pessoas enfrenta na internet é saber quem tem acesso à quais informações, que usos fazem delas e quão públicas elas são. Na rede fica mais difícil de controlar quem poderá ver uma informação que publicamos, mesmo que nossa intenção seja mostrar apenas para nossos amigos ou familiares. Este desafio não está relacionado apenas às configurações de privacidade dos sites de redes sociais que são usados. Para facilitar o entendimento sobre o direito à privacidade na rede é preciso entender o seu funcionamento básico e as regras de uso dos sites que são acessados. Informar-se sobre esses serviços é a melhor forma de se prevenir para uma navegação segura. O conhecimento permite que se tenha consciência sobre os riscos a que se está exposto e tomar as precauções para diminuí-los e evitá-los.

privacidade2Hayrton Rodrigues do Prado Filho –

À medida em que as organizações embarcam na transformação digital, há uma necessidade clara de privacidade e proteção dos dados empresariais e pessoais. Novas leis de privacidade de dados e a constante evolução das regulamentações atuais são um desafio para as organizações.

Dessa forma, a maioria das organizações e pessoas enfrenta o crescimento rápido e a proliferação de dados em toda a empresa. As organizações possuem mais dados, casos de uso e locais do que nunca. Apesar dos bilhões investidos em segurança cibernética, as organizações continuam a sofrer com o uso indevido e com a perda de dados de clientes, funcionários e parceiros. A perda de dados empresariais vem crescendo em uma média de 87% desde 2017, ameaçando o cumprimento das normas de conformidade e a confiança do cliente.

Para complementar essas afirmações, pode-se citar como exemplo que o Procon-SP multou em agosto de 2019 as empresas Google Brasil Internet Ltda. e Apple Computer Brasil Ltda., fornecedoras autorizadas do aplicativo faceapp aos consumidores de suas plataformas, por terem desrespeitado o Código de Defesa do Consumidor (CDC). As multas, nos valores de, respectivamente, R$ 9.964.615,77 – valor máximo estipulado pelo CDC – e R$7.744.320,00, serão aplicadas mediante procedimento administrativo.

Na Política de Privacidade e Termos de Uso do aplicativo, as empresas, que têm responsabilidade sobre dados essenciais dos produtos e serviços que ofertam, disponibilizaram informações somente em língua estrangeira. As informações em língua inglesa impossibilitam que muitos consumidores tenham conhecimento do conteúdo e contraria a legislação, artigo 31 do CDC. A informação adequada, clara e em língua portuguesa é direito básico.

As empresas Google e Apple estabeleceram na Política de Privacidade e Termos e Serviços cláusulas abusivas, infringindo o artigo 51 do CDC, incisos I, VII, XV. Uma das cláusulas prevê a possibilidade de compartilhamento dos dados do consumidor – o conteúdo do usuário e suas informações – com as empresas que fazem parte do mesmo grupo, prestadoras de serviços e organizações terceirizadas, violando deste modo o direito de não fornecimento a terceiros de seus dados pessoais e infringindo também o Marco Civil da Internet (artigo 7º, VII, Lei 12.965/14).

Além disso, há uma cláusula que prevê que os dados do consumidor podem ser transferidos para outros países que não tenham as mesmas leis de proteção de dados que as do país de origem, o que implica em renúncia de direitos dos consumidores. Outra cláusula estipula que conflitos entre usuários e as empresas sejam resolvidos não por meio judicial, mas por um serviço realizado no condado de Santa Clara, na Califórnia, determinando a utilização compulsória de arbitragem. As empresas estabelecem ainda cláusula que limita e isenta suas responsabilidades por vício (problema) de qualquer natureza do produto ou serviço disponibilizado.

Dessa forma, os dados pessoais de empresas como Alphabet (dona da Google) e Facebook deixaram para trás a gigante Exxon Mobil, que reinou no ranking na década passada. Em comum, elas geram parte considerável das receitas oferecendo serviços gratuitos para coletar informações dos usuários, que abastecem as duas maiores plataformas de publicidade do planeta.

Soma-se a isso, o Ministério da Justiça e Segurança Pública, por meio da Secretaria Nacional do Consumidor (Senacon) notificou a Google por suposta coleta de dados de crianças e adolescentes, usuários do Youtube, sem o conhecimento dos pais, usando esses dados para autorizar publicidade dirigida. Os dados dizem respeito a localização, aparelho usado e número de telefone. A notificação foi feita pelo Departamento de Proteção e Defesa do Consumidor (DPDC).

O Departamento também tomou conhecimento que a empresa teria feito um acordo com a Federal Trade Commission, pendente de homologação pelo Departamento de Justiça americano. A Google terá dez dias para apresentar esclarecimentos à Secretaria Nacional do Consumidor, contados a partir do recebimento da notificação. A depender das informações prestadas, a Senacon irá estudar as medidas a serem adotadas em seguida.

Para mediar essa relação assimétrica com o consumidor, governos estão criando leis específicas. Na Europa, o General Data Protection Regulation (GDPR) entrou em vigor em maio do ano passado e, no Brasil, a Lei Geral de Proteção de Dados (LGPD) passa a valer em agosto de 2020. A nova lei garante aos consumidores uma série de direitos e, às empresas, deveres. Na prática, as pessoas passam a ser donas das suas informações, podendo exigir das companhias acesso aos dados coletados, às políticas sobre a finalidade de uso e até mesmo a eliminação das informações.

Já as empresas devem coletar apenas os dados necessários e somente com o consentimento expresso dos consumidores. Por outro lado, a lei abre espaço para a companhia usar as informações quando comprovar que são necessárias à prestação do serviço ou desenvolvimento do negócio, mesmo sem a aprovação do titular. Uma instituição de saúde poderia, por exemplo, coletar dados epidêmicos para subsidiar um programa de vacinação.

Na Europa, o uso indevido de dados por grandes empresas já resultou em uma multa milionária ao Google. Com base na nova lei de dados europeia, a agência do setor na França multou a empresa em € 50 milhões, ou cerca de R$ 215 milhões. Especialistas acreditam que punições ao Google e a outras empresas podem se repetir, já que a lei europeia entrou em vigor há menos de um ano.

Assim, deve-se evitar colocar na nuvem as informações que seriam mantidas fechadas em uma gaveta com chave, como arquivos confidenciais, cópias de documentos particulares e fotos íntimas. Embora práticos, sistemas como Dropbox e Google Drive não estão imunes a ataques e falhas de segurança.

O GPDR é uma reação do bloco europeu à espionagem em massa promovida pelo governo dos Estados Unidos e pela Rússia, que compartilhavam informações com outros países, como o Reino Unido. Revelado em 2013 por Edward Snowden, ex-analista da CIA, o escândalo ajudou a impulsionar a revisão da lei que havia começado no ano anterior.

Trata-se de um conjunto de proteção à privacidade online, o GDPR tinha seus efeitos suspensos desde 2016, quando foi aprovado, justamente para que companhias se adaptassem a ele. Há alguns pontos do GDPR que merecem ser destacados. Os usuários podem, em algumas situações, ver, corrigir ou até deletar as informações que empresas guardam sobre ele. As empresas devem coletar apenas dados necessários para que seus serviços funcionem.

A coleta e uso de dados pessoais só podem ser feitas com consentimento explícito e qualquer serviço conectado tem de conceder o direito ao esquecimento. As informações de crianças ganham proteção especial e os clientes que tiverem dados hackeados devem ser avisados em até 72 horas.

As empresas devem informar com linguagem compreensível sua política de proteção de dados e os infratores são punidos com multa pesada, de € 20 milhões ou 4% do volume global de negócios da empresa. Os dados de europeus podem ser transferidos só para países com lei de proteção de dados equivalente a europeia e as empresas que tratem dados de europeus têm de seguir a lei europeia caso estejam em países não considerados portos seguros. Os grandes processadores de informação têm de guardar registros sobre todas as vezes em que manipularam dados.

O GDPR determina que o usuário tenha direito de acessar e obter cópia dos seus dados. Pois bem, o facebook vai permitir, nas configurações de privacidade, que o usuário apague, faça download ou exporte suas informações facilmente. De novo, isso valerá para usuários no mundo todo. A companhia também promete revisar o registro de atividades para que os usuários tenham mais controle sobre as informações que compartilham via dispositivos móveis.

No Brasil, a Lei Geral de Proteção de Dados Pessoais (LGPD) ou a lei nº 13.709/2018 trata dos dados pessoais cujo acesso é público que devem considerando a finalidade, a boa-fé e o interesse público que justificaram a sua disponibilização. A LGPD define, por exemplo, que uma organização pode, sem precisar pedir novo consentimento, tratar dados tornados anterior e manifestamente públicos pelo titular.

Porém, se uma organização quiser compartilhar esses dados com outras, aí ela deverá obter outro consentimento para esse fim – resguardadas as hipóteses de dispensa previstas na lei. A LGPD também se relaciona com a Lei de Acesso à Informação (LAI) e com princípios constitucionais, como o de que todos têm direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral, ressalvadas aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado.

De toda forma, a principal lição que se pode extrair tanto do GDPR como da LGPD se baseia na necessidade de se instituir uma nova cultura para as organizações, partindo da premissa de que o titular está no controle dos seus dados. Com isso, as organizações com presença nacional podem se valer das lições aprendidas durante os 12 meses de aplicação do GDPR como benchmarking para adequar suas operações e garantir a conformidade com a lei brasileira, mitigando riscos, danos financeiros e reputacionais, possibilitando, ainda, um relevante potencial competitivo para seus clientes e demais stakeholders.

A privacidade de dados ou de informações é um ramo da segurança da informação relacionado ao manuseio adequado dos dados – consentimento, aviso e obrigações regulatórias. Há dois fatores que explicam o porquê de a privacidade de dados ser um dos problemas mais significativos no mundo atual.

Os dados são um dos ativos mais importantes que uma empresa possui. Com o surgimento da economia de dados, as empresas encontraram um enorme valor na coleta, compartilhamento e uso de dados. Empresas como Google, Facebook e Amazon criaram impérios no topo da economia de dados. A transparência na forma como as empresas solicitam consentimento, cumprem as suas políticas de privacidade e gerenciam os dados que coletaram é vital para criar confiança e responsabilidade com clientes e parceiros que esperam privacidade.

A principal meta da LGPD é garantir a privacidade dos dados pessoais das pessoas e permitir um maior controle sobre eles. Além disso, a lei cria regras claras sobre os processos de coleta, armazenamento e compartilhamento dessas informações, ajuda a promover o desenvolvimento tecnológico na sociedade e a própria defesa do consumidor.

Segundo os especialistas, a lei deve ser aplicada a todos os setores da economia; possui aplicação extraterritorial, ou seja, toda empresa que tiver negócios no país deve se adequar a ela; consentimento do usuário para coletar informações pessoais; os titulares podem retificar, cancelar ou até solicitar a exclusão desses dados; criação da Autoridade Nacional de Proteção aos Dados (ANPD); e a notificação obrigatória de qualquer incidente.

Em consequência, a partir de agora, as organizações devem estabelecer um Comitê de Segurança da Informação para analisar os procedimentos internos. Dentro deste órgão haverá um profissional exclusivo para a proteção dos dados e responsável pelo cumprimento da nova lei.

A adoção do Privacy by Design deve abordar a proteção desde a concepção do produto ou sistema, sendo incorporada diretamente às estruturas tecnológicas, ao modelo de negócio e à infraestrutura física. Ou seja, a privacidade está presente na própria arquitetura, permitindo que o próprio usuário seja capaz de preservar e gerenciar a coleta e o tratamento de seus dados pessoais.

A LGPD estende-se também aos subcontratantes de uma empresa, como fornecedores e parceiros de tecnologia. Eles também ficam sujeitos às obrigações e podem realizar pagamentos de indenização, por exemplo. A lei prevê sanções para quem não tiver boas práticas. Elas englobam advertência, multa ou até mesmo a proibição total ou parcial de atividades relacionadas ao tratamento de dados. As multas podem variar de 2% do faturamento do ano anterior até a R$ 50 milhões, passando por penalidades diárias.

Muitas empresas aprenderam a importância da privacidade da maneira mais difícil, devido a falhas de privacidade altamente divulgadas. A privacidade é o direito de um indivíduo estar livre de vigilância não convidada. Existir com segurança no espaço da internet e expressar livremente a opinião a portas fechadas é fundamental para se viver em uma sociedade democrática.

As organizações geralmente acreditam que manter os dados confidenciais protegidos contra hackers significa que eles são automaticamente compatíveis com os regulamentos de privacidade de dados. Não é o caso. A segurança de dados e a privacidade de dados são frequentemente usadas de forma intercambiável, mas existem diferenças distintas. A segurança de dados protege os dados contra comprometimentos de invasores externos e pessoas mal intencionadas. A privacidade de dados controla como os dados são coletados, compartilhados e usados.

Considere um cenário em que houve um esforço para proteger a informação de identificação pessoal (personally identifiable information – PII). Os dados são criptografados, o acesso é restrito e existem vários sistemas de monitoramento sobrepostos. No entanto, se essa PII tiver sido coletada sem o consentimento adequado, pode-se estar violando uma regra de privacidade de dados, mesmo que os dados estejam seguros.

Ressalte-se que a privacidade de dados não pode existir sem proteção de dados, pois embora possa se ter proteção de dados sem privacidade de dados, não pode ter privacidade de dados sem proteção de dados. Em suma, garantir a privacidade dos dados significa que a empresa não é uma sugadora de dados que coleta avidamente todos os dados pessoais de seus clientes – seja com rastreamento passivo de localização, aplicativos que absorvem secretamente sua agenda pessoal ou sites que registram todas as teclas digitadas.

Em vez disso, os funcionários devem ser treinados regularmente em proteção de dados para que possam entender os processos e os procedimentos necessários para garantir também a coleta, o compartilhamento e o uso adequados de dados confidenciais. A privacidade das informações também inclui os regulamentos necessários para as empresas protegerem os dados. E, à medida que mais regulamentação de proteção de dados cresce em todo o mundo, os requisitos e as demandas globais de privacidade também se expandem e mudam.

Contudo, a única constante é a proteção adequada dos dados, o que é a melhor maneira de garantir que as empresas cumpram a lei e garantam a privacidade das informações. Na maioria das leis de privacidade de dados, os legisladores reconheceram a importância de ter uma regulamentação de privacidade de dados e a necessidade de responsabilizar as empresas pelos dados do usuário final. As empresas agora precisam determinar quais atos e leis de privacidade de dados afetam seus usuários. Por exemplo, todos devem saber de onde os dados se originaram (país e estado), quais informações de identificação pessoal podem conter e metodologia de uso.

Como a privacidade dos dados é um problema tão prevalecente, muitas organizações e corporações governamentais gastam milhões de dólares a cada ano para ajudar a proteger seus dados – que podem incluir suas PII – da exposição. O consumidor médio provavelmente não tem esse tipo de dinheiro para gastar. Mas, existem passou que se pode adotar para ajudar a proteger os dados. Em casa, deve-se usar use um slot de correio ou caixa de correio de bloqueio, para que os ladrões não possam roubar o e-mails. Antes de descartar, destrua documentos, incluindo recibos e extratos bancários e de cartão de crédito, que contêm informações pessoais. Certifique-se de proteger sua rede wi-fi doméstica e outros dispositivos para que os criminosos não possam acompanhar a atividade online. Não forneça automaticamente seu número de cartões apenas porque alguém o solicita. Determine se eles realmente precisam e, em caso afirmativo, pergunte como eles ajudarão a protegê-lo. Use senhas fortes e exclusivas para todas as suas contas online.

Uma recomendação para ajudar a manter os dados privados: avalie regularmente as configurações de privacidade das contas de mídia social. Caso contrário, pode-se compartilhar apenas o seu nome com pessoas que nunca conheceu – e um criminoso experiente pode usar essas informações para roubar a identidade e muito mais.

A ISO/IEC 27701:2019 – Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and Guidelines especifica os requisitos e fornece a orientação para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Informações sobre Privacidade (Privacy Information Management System – PIMS) na forma de uma extensão da ISO/IEC 27001 e ISO/IEC 27002 para gerenciamento de privacidade dentro do contexto da organização. Este documento especifica os requisitos relacionados ao PIMS e fornece orientação para os controladores de Personally Identifiable Information (PII) e processadores de PII que detêm responsabilidade e responsabilidade pelo processamento de PII.

Este documento é aplicável a todos os tipos e tamanhos de organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que são controladores de PII e/ou processadores de PII dentro de um SGSI.

Conteúdo da norma (tradução do autor)

Prefácio……………………………… vi

Introdução…. …………………… vii

1 Escopo…. ………………………. 1

2 Referências normativas……… 1

3 Termos, definições e abreviaturas………………… 1

4 Geral………………………………. ………………….. 2

4.1 Estrutura deste documento…………. ……….. 2

4.2 Aplicação dos requisitos da ISO/IEC 27001: 2013… …….. 2

4.3 Aplicação das diretrizes ISO/IEC 27002: 2013 ……………. 3

4.4 Cliente………………………………………… .4

5 Requisitos específicos do PIMS relacionados à ISO/IEC 27001…….. 4

5.1 Geral…………………………………… …… 4

5.2 Contexto da organização………… ………. 4

5.2.1 Entendendo a organização e seu contexto…………. 4

5.2.2 Entendendo as necessidades e expectativas das partes interessadas……………5

5.2.3 Determinar o escopo do sistema de gerenciamento de segurança da informação…………………. 5

5.2.4 Sistema de gerenciamento de segurança da informação…………………………. … 5

5.3 Liderança…………………………… 5

5.3.1 Liderança e compromisso……………………….. 5

5.3.2 Política……. ………………………………….. 5

5.3.3 Funções organizacionais, responsabilidades e autoridades………………………. 5

5.4 Planejamento………………. 6

5.4.1 Ações para endereçar riscos e oportunidades…….. …. 6

5.4.2 Objetivos de segurança da informação e planejamento para alcançá-los………. …….. 7

5.5 Suporte………………………………… ….. 7

5.5.1 Recursos…… ………………………… 7

5.5.2 Competência……….. ……………………. 7

5.5.3 Conscientização………. ………………….7

5.5.4 Comunicação………………. ……………. 7

5.5.5 Informação documentada………………… 7

5.6 Operação………………………………………….. 7

5.6.1 Planejamento e controle operacional……………… 7

5.6.2 Avaliação de risco de segurança da informação…………… 7

5.6.3 Tratamento do risco de segurança da informação…………………………………………… 7

5.7 Avaliação de desempenho.. ……………. 8

5.7.1 Monitoramento, medição, análise e avaliação…………. 8

5.7.2 Auditoria interna………. …………………. 8

5.7.3 Revisão da gestão……………………………. 8

5.8 Melhoria…………………………………………. 8

5.8.1 Não conformidade e ação corretiva…………… 8

5.8.2 Melhoria contínua…………………………………. 8

6 Orientações específicas do PIMS relacionadas à ISO/IEC 27002…………………. 8

6.1 Geral……………………………….. …… 8

6.2 Políticas de segurança da informação……………… 8

6.2.1 Direção da gerência para a segurança da informação…………………………… 8

6.3 Organização da segurança da informação…………….. 9

6.3.1 Organização interna…………………………………… 9

6.3.2 Dispositivos móveis e teletrabalho………………….. 10

6.4 Segurança dos recursos humanos…………………….. 10

6.4.1 Antes do emprego……………………………………………10

6.4.2 Durante o emprego……………………………………. 10

6.4.3 Rescisão e mudança de emprego…………… 11

6.5 Gestão de ativos…….. ……………………. 11

6.5.1 Responsabilidade pelos ativos……………….. 11

6.5.2 Classificação da informação………………….. 11

6.5.3 Manuseio de mídia…….. …………… 12

6.6 Controle de acesso…………………………. 13

6.6.1 Requisitos de negócios do controle de acesso….. 13

6.6.2 Gerenciamento de acesso do usuário………………. 13

6.6.3 Responsabilidades do usuário…………………………………………. ..14

6.6.4 Controle de acesso a sistemas e aplicativos……….. 14

6.7 Criptografia………. ……………………………….. 15

6.7.1 Controles criptográficos………………………….. 15

6.8 Segurança física e ambiental………………….. 15

6.8.1 Áreas seguras……………. …………………. 15

6.8.2 Equipamento………. ……………………. 16

6.9 Segurança operacional. …………………… 17

6.9.1 Procedimentos operacionais e responsabilidades……………. 17

6.9.2 Proteção contra malware…………………………… 18

6.9.3 Backup……………….. ……………………………. 18

6.9.4 Registro e monitoramento……………………….. 18

6.9.5 Controle do software operacional……………………. 19

6.9.6 Gerenciamento técnico de vulnerabilidades……………. 20

6.9.7 Considerações sobre auditoria de sistemas de informação………………………………. 20

6.10 Segurança de comunicações……………. ……… 20

6.10.1 Gerenciamento de segurança de rede……………………… 20

6.10.2 Transferência de informação……………………………. ..20

6.11 Aquisição, desenvolvimento e manutenção de sistemas…………………….. 21

6.11.1 Requisitos de segurança dos sistemas de informação…………………………………. 21

6.11.2 Segurança em processos de desenvolvimento e suporte……………………………….. 21

6.11.3 Dados de ensaio…………………….. 23

6.12 Relações com fornecedores …………….. 23

6.12.1 Segurança da informação nas relações com fornecedores…………………… 23

6.12.2 Gerenciamento de entrega de serviços de fornecedores…………………………. 24

6.13 Gerenciamento de incidentes de segurança da informação….. …………….. 24

6.13.1 Gerenciamento de incidentes e melhorias de segurança da informação……. 24

6.14 Aspectos de segurança da informação na gestão de continuidade de negócios………….. 27

6.14.1 Continuidade da segurança da informação……………………. 27

6.14.2 Redundâncias………………… …………….. 27

6.15 Conformidade…………………………………. 27

6.15.1 Cumprimento dos requisitos legais e contratuais………… 27

6.15.2 Revisões de segurança da informação…………………………. 28

7 Orientação adicional ISO / IEC 27002 para controladores PII………………………… ..29

7.1 Geral…………………….. … 29

7.2 Condições para coleta e processamento…………………… 29

7.2.1 Identifique e documente a finalidade………………… 29

7.2.2 Identifique a base legal………………………………. 29

7.2.3 Determinar quando e como o consentimento deve ser obtido…………………………. 30

7.2.4 Obter e registrar o consentimento…………………. 30

7.2.5 Avaliação do impacto de privacidade…………… 31

7.2.6 Contratos com processadores PII………………….. 31

7.2.7 Controlador PII comum…………………….. …….. 32

7.2.8 Registros relacionados ao processamento de PII…………… 32

7.3 Obrigações com os princípios de PII………………….. ….. 33

7.3.1 Determinação e cumprimento de obrigações para com os princípios de PII…………………. 33

7.3.2 Determinando as informações para os principais objetos de informação pessoal…………………………….. 33

7.3.3 Fornecendo informações aos principais PII………. ……… 34

7.3.4 Fornecendo o mecanismo para modificar ou retirar o consentimento…………………… 34

7.3.5 Fornecendo o mecanismo para contestar o processamento de PII……….. 35

7.3.6 Acesso, correção e/ou eliminação……………….. 35

7.3.7 Obrigações dos controladores de PII de informar terceiros…………………………….. 36

7.3.8 Fornecendo cópia das PII processadas……………………… 36

7.3.9 Processando solicitações……………………. …….. 37

7.3.10 Tomada de decisão automatizada………………………. 37

7.4 Privacidade por projeto e privacidade por norma……….. 38

7.4.1 Cobrança limite………………………… 38

7.4.2 Processamento de limite…….. ………… 38

7.4.3 Precisão e qualidade…………………… ..38

7.4.4 Objetivos de minimização de PII……………….. 39

7.4.5 Desidentificação e eliminação de PII no final do processamento…………………………. 39

7.4.6 Arquivos temporários… ………….. 39

7.4.7 Retenção….. ………………………. 40

7.4.8 Descarte…. …………………………. 40

7.4.9 Controles de transmissão PII…………………. 40

7.5 Compartilhamento, transferência e divulgação de PII…………. 41

7.5.1 Identificar base para transferência de PII entre jurisdições………………………… 41

7.5.2 Países e organizações internacionais para os quais PII podem ser transferidos………. 41

7.5.3 Registros de transferência de PII…………………… 41

7.5.4 Registros de divulgação de PII para terceiros……. 42

8 Orientação adicional ISO/IEC 27002 para processadores PII….. 42

8.1 Geral……………………………….. … 42

8.2 Condições para coleta e processamento……………………. 42

8.2.1 Contrato com o cliente……………………………….. .42

8.2.2 Finalidades da organização………………………………. 43

8.2.3 Marketing e publicidade…. ……………………….. 43

8.2.4 Instrução infratora……………………………. 43

8.2.5 Obrigações do cliente…………………………….. 43

8.2.6 Registros relacionados ao processamento de PII…………… 44

8.3 Obrigações aos principais PII…………………………. ….. 44

8.3.1 Obrigações para com os princípios de PII…………… 44

8.4 Privacidade por projeto e privacidade por norma…… 44

8.4.1 Arquivos temporários………… ……………. 44

8.4.2 Devolução, transferência ou descarte de PII………… 45

8.4.3 Controles de transmissão PII…………………. 45

8.5 Compartilhamento, transferência e divulgação de PII……… 46

8.5.1 Base para transferência de PII entre jurisdições….. 46

8.5.2 Países e organizações internacionais para as quais os PII podem ser transferidos…………. 46

8.5.3 Registros de divulgação de PII para terceiros… ……. 47

8.5.4 Notificação de solicitações de divulgação de PII………… 47

8.5.5 Divulgações de PII legalmente vinculativas……………. 47

8.5.6 Divulgação de subcontratantes utilizados para processar PII…..47

8.5.7 Contratação de um subcontratado para processar PII……. 48

8.5.8 Mudança de subcontratado para processar PII………. 48

Anexo A (normativo) Objetivos e controles de referência específicos do PIMS (Controladores PII) …… 49

Anexo B (normativo) Objetivos e controles de referência específicos do PIMS (Processadores PII) ……. 53

Anexo C (informativo) Mapeamento para a ISO/IEC 29100……… 56

Anexo D (informativo) Mapeamento ao Regulamento Geral de Proteção de Dados………………… 58

Anexo E (informativo) Mapeamento para a ISO/IEC 27018 e ISO/IEC 29151……………. 61

Anexo F (informativo) Como aplicar a ISO/IEC 27701 à ISO/IEC 27001 e ISO/IEC 27002……………… 64

Bibliografia………………………66

Quase toda organização processa Informações Pessoais Identificáveis (Personally Identifiable Information – PII). Além disso, a quantidade e os tipos de PII processados estão aumentando, assim como o número de situações em que uma organização precisa cooperar com outras em relação ao processamento de PII. A proteção da privacidade no contexto do processamento de PII é uma necessidade social, bem como o tópico de legislação e/ou regulamentação dedicadas em todo o mundo.

O Sistema de Gerenciamento de Segurança da Informação (SGSI) definido na ISO/IEC 27001 foi projetado para permitir a adição de requisitos setoriais específicos, sem a necessidade de desenvolver um novo sistema de gestão. As normas do sistema de gestão ISO, incluindo as específicas do setor, são projetadas para serem implementadas separadamente ou como um sistema de Gestão combinado.

Os requisitos e as orientações para a proteção das PII variam de acordo com o contexto da organização, em particular quando existe legislação e/ou regulamentação nacional. A ISO/IEC 27001 exige que esse contexto seja compreendido e levado em consideração.

Este documento inclui mapeamento para: o quadro e os princípios de privacidade definidos na norma ISO/IEC 29100; ISO/IEC 27018; ISO/IEC 29151; e o Regulamento Geral de Proteção de Dados da UE. No entanto, estas proteções podem precisar ser interpretadas para levar em conta a legislação e/ou regulamentação local. Este documento pode ser usado por controladores PII (incluindo aqueles que são controladores PII de junção) e processadores PII (incluindo aqueles que usam processadores PII subcontratados e aqueles que processam PII como subcontratantes para processadores PII).

Uma organização que atenda aos requisitos deste documento gerará evidências documentadas de como ele lida com o processamento de PII. Tal evidência pode ser usada para facilitar acordos com parceiros de negócios onde o processamento de PII é mutuamente relevante. Isso também pode ajudar nas relações com outras partes interessadas.

O uso deste documento em conjunto com a ISO/IEC 27001 pode, se desejado, fornecer uma verificação independente dessa evidência. Este documento foi inicialmente desenvolvido como ISO/IEC 27552 e ele se aplica a estrutura desenvolvida pela ISO para melhorar o alinhamento entre os normas do sistema de gestão e permite que uma organização alinhe ou integre seu PIMS com os requisitos de outras normas de gestão.

Privacidade no setor da saúde

privacidade3

A ABNT ISO/TR 18638 de 04/2019 – Informática em saúde — Orientações sobre educação da privacidade das informações em saúde em organizações de assistência à saúde especifica os componentes educacionais essenciais recomendados para estabelecer e fornecer um programa de educação em privacidade para apoiar a proteção da privacidade da informação de organizações de assistência à saúde. Os usuários primários deste documento são os responsáveis por planejar, estabelecer e fornecer educação sobre privacidade da informação em saúde para uma organização de assistência à saúde.

Este documento oferece os componentes para educação sobre privacidade no contexto de papéis e responsabilidades de trabalho. É responsabilidade da organização definir e aplicar as políticas e procedimentos de proteção da privacidade e, ao mesmo tempo, garantir que toda a equipe da organização de assistência à saúde entenda suas responsabilidades relacionadas com a proteção da privacidade.

O escopo deste documento abrange: o conceito de privacidade da informação em saúde; os desafios de práticas de proteção da informação em uma organização de assistência à saúde; os componentes de um programa de educação sobre privacidade da informação em saúde; conteúdo educacional básico sobre privacidade da informação em saúde. As preocupações com a privacidade das informações em saúde precisam ser abordadas com a crescente adoção de tecnologia da informação em saúde (TIS) incluindo o uso de sistemas de registro eletrônico de saúde (RES).

Tanto o ambiente crescentemente legislado sobre privacidade quanto a crescente necessidade de compartilhamento de informação entre pacientes, prestadores, pagadores, pesquisadores e administradores contribuem para a crescente necessidade de educação sobre a privacidade da informação no setor saúde. Apesar da crescente conscientização e sensibilidade a respeito da privacidade do paciente, não existem diretrizes ou normalização para a educação sobre privacidade da informação em saúde nas organizações de assistência à saúde.

O propósito deste documento é descrever os componentes educacionais essenciais recomendados para assegurar a privacidade da informação em saúde em uma organização de assistência à saúde. Este documento descreve os conceitos de privacidade da informação em saúde, os componentes de um programa de educação sobre privacidade para organizações de assistência à saúde e conteúdo educacional básico sobre privacidade da informação em saúde que pode ser aplicado em várias jurisdições.

Este documento oferece orientação para organizações de assistência à saúde para estabelecer e melhorar a educação sobre privacidade da informação em saúde para seus colaboradores. O Anexo A oferece a lista de normas publicadas pela ISO/TC 215 que podem ser usadas para desenvolver educação sobre privacidade em organizações de assistência à saúde visto que elas transmitem conteúdo específico e abordam a proteção da privacidade das informações em saúde.

Deve-se ressaltar que a internet e as tecnologias da informação de saúde e comunicação emergentes estão mudando a forma como os profissionais da saúde e o público têm acesso à informação em saúde, resultando em uma expectativa para o crescimento no uso desta informação. Ainda que a informação pessoal de saúde consista em dados pessoais privados, esta informação pode ser usada pela saúde pública, pesquisa clínica, educação médica, elaboração de políticas, execução da legislação, acreditação e outros propósitos para a melhoria da sociedade.

Convém que as organizações de assistência à saúde desenvolvam uma abordagem completa para permitir uma proteção adequada da privacidade da informação em saúde de seus pacientes. Convém que a educação dos colaboradores em relação à da privacidade da informação de saúde seja uma parte integral desta abordagem incluindo orientação sobre quando ou como convém que a informação de saúde seja protegida com relação aos papéis específicos dos colaboradores.

A educação sobre privacidade em uma organização de assistência à saúde é um conjunto de recursos educacionais customizados para os papéis dos colaboradores envolvidos na criação, gerenciamento, compartilhamento, uso e reuso de informação de assistência à saúde. Convém que a educação seja edificada sobre conceitos e padrões internacionais gerais no tópico de privacidade da informação e de privacidade da informação de saúde nos tópicos específicos.

Convém que a legislação jurisdicional seja considerada no projeto e implementação de políticas organizacionais e os procedimentos do programa de proteção da privacidade assim como sendo um componente educacional deste programa. Requisitos educacionais precisam incluir as configurações e legislação locais. Assim, convém que estes requisitos considerem a privacidade da informação.

A informação de saúde contém características únicas de sensibilidade em termos de privacidade. Informação pessoal de saúde inclui uma ampla gama de demografias do paciente incluindo nome, números de identificação, endereço, número de telefone, educação, estado civil, condição socioeconômica e outros pontos de dados individualmente identificáveis.

A informação pessoal de saúde também inclui dados sobre o estado de saúde física e mental, prestação de serviços de assistência à saúde a um sujeito do cuidado ou pagamentos de serviços de assistência à saúde prestados a um sujeito do cuidado. É coletada ou criada no contexto de agendamento ou pagamento de um serviço de assistência à saúde incluindo: registro e verificação da identidade do indivíduo para prestação de serviços de assistência à saúde; informação sobre o indivíduo que é coletada ou criada durante a prestação de serviços de assistência à saúde ao indivíduo; informação sobre os colaboradores envolvidos na prestação de serviços de assistência à saúde ao indivíduo; resultados derivados durante a prestação de serviços de assistência à saúde ao indivíduo incluindo resultados de testes ou exames, medicamentos prescritos e outros.

Esta informação pode ser considerada sensível pela pessoa a quem ela está relacionada. Informação pessoal de saúde pode ser compartilhada com múltiplos prestadores envolvidos na prestação de serviços de assistência à saúde ao indivíduo. Além disso, esta informação pode ser reutilizada para uma ampla gama de propósitos, como pesquisa clínica, saúde pública, treinamento e outras atividades relacionadas à saúde.

Informação pessoal de saúde que é coletada durante a prestação de serviços de assistência à saúde é registrada em registros de saúde. Ela pode residir em vários meios incluindo registros em papel, registros eletrônicos, aplicativos móveis, filmes, amostra etc. Esta informação é coletada, mantida, transmitida, armazenada, usada e reutilizada pelos colaboradores envolvidos na prestação de assistência à saúde. Assim, é responsabilidade da organização de assistência à saúde, e de seus colaboradores, proteger a privacidade da informação de saúde dos pacientes.

Em consequência, as políticas e práticas de um programa organizacional de proteção da privacidade são realizadas pelos colaboradores envolvidos no gerenciamento da informação de saúde do paciente em vários papéis. Os papéis dos colaboradores caem nos seguintes grupos: profissionais da saúde; administradores da informação de assistência à saúde; equipe administrativa; pesquisadores; colaboradores de TI, segurança e privacidade; outros colaboradores envolvidos na assistência ao paciente; outros colaboradores que apoiam a operação da organização de assistência à saúde. A tabela abaixo apresenta os papéis dos colaboradores na proteção da privacidade da informação de saúde por grupo.

privacidade4

Para garantir a proteção dos direitos do paciente relativos à privacidade da informação, uma organização pode estabelecer um comitê de representantes destes grupos de colaboradores para definir e implementar políticas e procedimentos assim como responsabilidades específicas de cada grupo na proteção da privacidade. Este comitê, de sua parte, pode definir conteúdos educacionais específicos, formatos de treinamento e periodicidade para cada um desses grupos de colaboradores.

As políticas e práticas do programa organizacional de proteção à privacidade contribuem para uma cultura de privacidade e ajudam a formar a base para a educação sobre privacidade dos colaboradores envolvidos na criação, gerenciamento, uso e reuso da informação. Convém que a educação ajude os colaboradores a garantir a proteção dos direitos do paciente relativos à privacidade da informação.

A Seção 6 oferece orientação referente à educação dos colaboradores na proteção da privacidade da informação em uma organização de assistência à saúde. Antes de coletar informação de saúde, convém que o paciente e/ou seu representante legal sejam informados sobre o porquê, quando, com quem e como sua informação pessoal de saúde é compartilhada, usada e reutilizada.

O paciente e/ou seu representante legal tem que expressar, por meio de diretivas de consentimento, o porquê, quando, com quem e como a informação pessoal de saúde pode ser compartilhada, usada ou reutilizada. Desta forma, convém que um programa organizacional de proteção da privacidade inclua um componente educacional para pacientes e/ou seus representantes legais sobre como a privacidade da informação do paciente é protegida pela organização. Isto inclui execução de diretivas de consentimento. A Seção 6 fornece orientação para educação em privacidade.



Categorias:Normalização, Qualidade

Tags:, , , , , , , , , , , , ,

Deixe uma resposta

%d blogueiros gostam disto: