FRAMEWORK DE SOLUÇÃO COMPLETA PARA ADEQUAÇÃO A "LGPD"

 

GLOSSÁRIO DE TERMOS

 

 

•Agentes de tratamento: são respectivamente o controlador e o operador.

 

•Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

 

•Autoridade nacional: órgão da administração pública ou independente, responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

 

Banco de dados: conjunto estruturado de dados pessoais e outros, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

 

•Bloqueio de tratamento: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.

 

•Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

 

•Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

 

•Criptografia: Técnicas ou ferramentas de software (programas) para cifrar dados e torná-los ilegíveis claramente. Protege dados contra acesso indevido.

 

•Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

 

•Dado pessoal: informação relacionada à pessoa natural identificada ou identificável.

 

•Dado pessoal de criança e de adolescente: o Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

 

•Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

 

•DPO: (Data Protection Officer): Pessoa física ou jurídica nomeada pelo controlador, que atuará como um canal de comunicação entre o controlador, os titulares dos dados e a autoridade de proteção de dados (no caso do Brasil a ANPD) – aqui é chamado de Encarregado.

 

•Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

 

•Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

 

•Framework: é um documento ou documentação que tem como principal objetivo registrar a solução ou resolver problemas recorrentes, com uma abordagem genérica, permitindo ao desenvolvedor focar seus esforços na resolução de outros problemas em si, de forma padronizada e reutilizável.

 

•Garantia da segurança da informação: capacidade de sistemas e organizações assegurarem a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. A Política Nacional de Segurança da Informação (PNSI) dispõe sobre a governança da segurança da informação aos órgãos e às entidades da administração pública federal em seu âmbito de atuação.

 

•Garantia da segurança de dados: ver garantia da segurança da informação.

 

•GDPR: Sigla em inglês para designar a General Data Protection Regulation, lei europeia que entrou em vigor em maio de 2018, traduzida para o português como RGPD.

 

•Interoperabilidade: capacidade de sistemas e organizações operarem entre si. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, além dos padrões de interoperabilidade de governo eletrônico (ePING).

 

•LGPD: é a sigla de Lei Geral de Proteção de Dados Pessoais, norma que dispõe sobre o tratamento de dados pessoais de pessoas físicas obtidos em meio online ou offline, realizado por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

 

•LIA: (Legitimate Interests Assessment): é uma metodologia internacional que aplica um teste de ponderação entre os interesse de proteção de dados dos Titulares e os interesses de usar estes dados pelos Controladores. Permite avaliar as salvaguardas necessárias para a fundamentação de uso dessa base legal.

 

•Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

 

•Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.

 

•PIA: (Privacy Impact Assessment): é uma metodologia internacional para avaliar em uma base de dados o uso de dados pessoais e seu impacto para a organização que os usam.

 

•Privacy by Design (PbD): é uma metodologia criada nos anos 90 por Ann Cavoukian, que formaliza princípios, critérios e controles, com regras de privacidade aplicadas desde a concepção de um produto ou serviço, que deve ser aplicada nas empresas que pretendem conduzir seriamente as questões de privacidade de dados.

 

•PIMS: (Sistema de Gerenciamento de Informações de Privacidade): é a forma de gerenciar a privacidade de dados pessoais, estabelecido pela norma internacional ISO/IEC 27701 de 2019.

 

•Pseudonimização: é o tratamento de dados por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

 

•RIPD: - Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

 

•RGPD: Sigla para o Regulamento Geral de Proteção de Dados, que é um conjunto de leis voltado a segurança e privacidade de dados pessoais para os cidadãos da União Europeia.

 

•RoPA: (Record of Processing Activities): O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem desde a sua coleta até a sua exclusão, indicando quais dados serão coletados, sua base legal, finalidades, tempo de retenção, e as práticas de segurança.

 

•SASE: significa Secure Access Service Edge, que é uma arquitetura de rede que combina recursos VPN e SD-WAN com  recursos de segurança nativos das nuvens / multi-nuvens.

 

•SI: Sigla que se refere a Segurança da Informação, ou ao tratamento dados por profissionais especializados nessa área de proteção de dados das organizações.

 

•Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (todas as pessoas humanas vivas).

 

•Tokenização: é uma técnica exercitada através do uso de tokens digitais criptográficos, para representar a propriedade de um determinado ativo da informação ou dados, reduzindo o risco de seu uso.

 

•Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.

 

Tratamento: toda operação realizada com dados pessoais; como as que se referem a:

  •acesso - possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade de rede, memória, registro, arquivo etc., visando receber,     fornecer, ou eliminar dados

  •armazenamento - ação ou resultado de manter ou conservar em repositório um dado

  •arquivamento - ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotada a sua vigência

  •avaliação - ato ou efeito de calcular valor sobre um ou mais dados

  •classificação - maneira de ordenar os dados conforme algum critério estabelecido

  •coleta - recolhimento de dados com finalidade específica

  •comunicação - transmitir informações pertinentes a políticas de ação sobre os dados

  •controle - ação ou poder de regular, determinar ou monitorar as ações sobre o dado

  •difusão - ato ou efeito de divulgação, propagação, multiplicação dos dados

  •distribuição - ato ou efeito de dispor de dados de acordo com algum critério estabelecido

  •eliminação - ato ou efeito de excluir ou destruir dado do repositório

  •extração - ato de copiar ou retirar dados do repositório em que se encontrava

  •modificação - ato ou efeito de alteração do dado

  •processamento - ato ou efeito de processar dados

  •produção - criação de bens e de serviços a partir do tratamento de dados

  •recepção - ato de receber os dados ao final da transmissão

  •reprodução - cópia de dado preexistente obtido por meio de qualquer processo

  •transferência - mudança de dados de uma área de armazenamento para outra, ou para terceiro

  •transmissão - movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc.

  •utilização - ato ou efeito do aproveitamento dos dados

 

Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

 

 

 

 

 

 

Termos adicionais empregados

 

•Agile Coach: é o nome dado ao especialista que implementa uma metodologia ágil (ou agile, no original, em inglês) em empresas. Seu papel é garantir resultados e entregas bem-sucedidas de projetos, além de ajudar a empresa a navegar pelos diversos métodos existentes de apoio.

 

•Criptografia forte e leve Pós-Quântica: padrão moderno de criptografia de dados forte  e leve o suficiente para demorar anos para serem quebradas, mesmo usando poder computacional de um supercomputador Quântico.

 

•Descarte seguro de dados pessoais: Uso de técnicas e padrões internacionais para deleção segura de dados em dispositivos de armazenamento e ou trituração, com base no padrão DoD 5220.22M.

 

•FIPS/homomórfica/ECC:  
    FIPS –Federal Information Processing Standards são padrões desenvolvidos pelo National Institute of Standards and Technology (NIST) para uso em sistemas de computador por agências do governo americano não-militares e contratantes do governo, padrão adotado pela EU para proteger dados na GDPR.
    Homomórfica: é um tipo de encriptação especial que permite acesso a textos cifrados sem precisar abrir. Os sistemas usam os dados criptografados sem que os usuários tenha acesso aos dados abertos.
    ECC: Elliptic-curve cryptography ou criptografia de curva elíptica, permite alta segurança criptográfica  e baixa necessidade de processamento, para ser utilizada em dispositivos como celulares e devices IoT (Internet das Coisas).

 

•Implantação e Implementação: Implantar significa iniciar alguma coisa, e implementar significa pôr essa coisa em prática.

 

•Melhores Práticas ou Boas Práticas:  é uma expressão derivada do pensamento em inglês “best practice”, a qual denomina  um conjunto de técnicas identificadas como as melhores para realizar determinada tarefa ou alcançar uma solução.

 

•Operational Mentoring: são técnicas de liderança de equipes, capazes de conduzir um time de profissionais com conhecimentos diversos (multidisciplinar) a alcançar resultados melhores e integrados para uma organização.

 

•Políticas, Normas e Procedimentos: As Políticas são determinações de alto nível da direção das empresas e norteiam as ações como referência. As Normas, permitem ajustar condutas definidas nas Políticas e as atividades necessárias, através da determinação de que os detalhes sejam descritos através  de Procedimentos.

Para maiores informações por gentileza solicite o agendamento de uma apresentação através de “Immersive Telepresence” .

                                                  privacidadeok@uberconsult.com.br