[email protected]
+ 55 (11) 5505-0505
Leadcomm Trusted Digital Security
  • Soluções
    • Automação SOC
      • Soc Cognitivo
        • IBM Security ReaQta
      • Orquestração de respostas a Incidentes
    • Controle de Acesso e Governança
      • Gestão de Identidade e Acesso Privilegiado
    • Postura Cyber
      • SOC
      • Microsegmentação Zero Trust
      • Plataforma de Microsegmentação
      • Gerenciamento de Superfície de Ataque
      • Anti-Ransomware
    • Gestão de Privacidade
      • Gestão de Privacidade
      • Localização e Governança de Dados
    • [:pb]Proteção de Aplicativos[:en]APPLICATION SECURITY[:es]APPLICATION SECURITY[:]
      • Proteção de APPs
      • Proteção e Teste de Aplicações
      • Proteção Unificada de API
      • Value Stream Management
    • Proteção de Dados
      • Criptografia de Dados
      • Gestão de Ameaças e Vulnerabilidades
      • [:pb]Proteção de Vazamento de Dados (DLP)[:en]Proteção de Vazamento de Dados[:es]Proteção de Vazamento de Dados[:]
      • Sensitive Data Protection
      • Proteção de Dados Sensíveis
    • Proteção de Endpoints
      • Gerenciamento de Dispositivos Mobile (MDM)
      • [:pb]Proteção de Endpoints[:en]Detecção e Resposta para Endpoints[:es]Detecção e Resposta para Endpoints[:]
  • Serviços
    • Consultoria
    • Consultoria LGPD
    • Serviços Especializados
    • Pentest
  • Sobre nós
    • Sobre nós
    • Lugares Incríveis para Trabalhar
    • Pacto Global
  • Conteúdos
  • Blog
  • Clipping
  • Contato
  • Suporte
  • |
  • Soluções
    • Automação SOC
      • Soc Cognitivo
        • IBM Security ReaQta
      • Orquestração de respostas a Incidentes
    • Controle de Acesso e Governança
      • Gestão de Identidade e Acesso Privilegiado
    • Postura Cyber
      • SOC
      • Microsegmentação Zero Trust
      • Plataforma de Microsegmentação
      • Gerenciamento de Superfície de Ataque
      • Anti-Ransomware
    • Gestão de Privacidade
      • Gestão de Privacidade
      • Localização e Governança de Dados
    • [:pb]Proteção de Aplicativos[:en]APPLICATION SECURITY[:es]APPLICATION SECURITY[:]
      • Proteção de APPs
      • Proteção e Teste de Aplicações
      • Proteção Unificada de API
      • Value Stream Management
    • Proteção de Dados
      • Criptografia de Dados
      • Gestão de Ameaças e Vulnerabilidades
      • [:pb]Proteção de Vazamento de Dados (DLP)[:en]Proteção de Vazamento de Dados[:es]Proteção de Vazamento de Dados[:]
      • Sensitive Data Protection
      • Proteção de Dados Sensíveis
    • Proteção de Endpoints
      • Gerenciamento de Dispositivos Mobile (MDM)
      • [:pb]Proteção de Endpoints[:en]Detecção e Resposta para Endpoints[:es]Detecção e Resposta para Endpoints[:]
  • Serviços
    • Consultoria
    • Consultoria LGPD
    • Serviços Especializados
    • Pentest
  • Sobre nós
    • Sobre nós
    • Lugares Incríveis para Trabalhar
    • Pacto Global
  • Conteúdos
  • Blog
  • Clipping
  • Contato
  • Suporte
  • |

09/04/2019 By Kathrin Comments are Off BACEN4658, cibersegurança, cybersecurity, data protection, Data Security, GDPR, LGDP, Proteção de Dados, Security

[:pb]Abordaremos neste artigo as sanções que poderão ser impostas pelos três principais regulamentos que impactam a coleta, tratamento e uso de dados pessoais pelas empresas que atuam no Brasil: a LGPD, a Resolução Bacen 4.658 e a europeia GDPR.

 

LEI GERAL DE PROTEÇÃO DE DADOS (Lei 13.709/18)

A LGPD foi sancionada em 14 de agosto de 2018 e entrará em vigor a partir de agosto de 2020, para unificar diferentes regulamentações brasileiras sobre o uso e a troca de informações em ambientes digitais.

 

O principal objetivo é garantir que os cidadãos tenham maior controle quanto ao uso de dados compartilhados em diversos sites e serviços. A partir de 2020, as empresas deverão prestar contas sobre o que fazem com os dados coletados, informando de maneira clara aos usuários, caso existam alterações nesse sentido.

As empresas deverão garantir a segurança dos dados pessoais coletados e comunicar incidentes de segurança da informação ao órgão regulador, sendo que, dependendo do incidente, o titular dos dados também deverá ser comunicado. Outra novidade significativa é quanto ao tratamento de dados pessoais de crianças e adolescentes, que exigirão atenção especial, como por exemplo, a obtenção de consentimento de um dos pais antes da coleta dos dados.

A Lei também será aplicada às organizações com sedes estrangeiras, desde que, os dados sejam tratados em território nacional. Adicionalmente, dados tratados em outros países também estão sujeitos à lei caso tenham sido coletados no Brasil.

A Medida Provisória nº 869 de 27 de dezembro de 2018, entre outras alterações à LGPD, criou a Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador do tema no Brasil e responsável por impor as sanções administrativas previstas na LGPD.

 

Penalidades

As possíveis penalidades a serem impostas pela ANPD não substituem a aplicação de sanções administrativas, civis ou penais definidas em legislação específica e podem ir desde a advertência, com indicação de prazo para adoção de medidas corretivas; multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a 50 milhões de reais por infração; multa diária, observado o limite total; divulgação da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere a infração até a sua regularização e eliminação dos dados pessoais a que se refere a infração.

 

RESOLUÇÃO BACEN nº 4.658

Está em vigor desde 26 de abril de 2018 e dispõe sobre a política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

O objetivo final é assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados pelas instituições.

O artigo 23 da Resolução determina que deve ficar à disposição do Banco Central do Brasil pelo prazo de cinco anos:

  • o documento relativo à política de segurança cibernética;
  • a ata de reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição, aprovando a política de segurança cibernética;
  • o documento relativo ao plano de ação e de resposta a incidentes;
  • o relatório anual sobre a implementação do plano de ação e de resposta a incidentes;
  • a documentação sobre os procedimentos de comprovação da capacidade dos prestadores de serviço;
  • a documentação sobre a contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem prestados no exterior.
  • os contratos de prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem; e
  • os dados, os registros e as informações relativas aos mecanismos de acompanhamento e de controle a assegurar a implementação e a efetividade da política de segurança cibernética, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

 

Penalidades

O Banco Central do Brasil tem competência fiscalizadora sobre as instituições financeiras e demais instituições por ele autorizadas a funcionar e dispõe de poder legal para instaurar processo administrativo sancionador, quando verificada infração a norma legal ou regulamentar relativa às atividades supervisionadas.

De forma geral, o Banco Central do Brasil poderá adotar as medidas necessárias para cumprimento do disposto na Resolução e vetar ou impor restrições para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem quando constatar, a qualquer tempo, a inobservância do disposto na Resolução, bem como a limitação à atuação de fiscalização do BC, estabelecendo prazo para a adequação dos referidos serviços.

 

REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS (GDPR)

Em vigor desde 25 de maio de 2018, o objetivo da GDPR é proteger todos os cidadãos da União Europeia contra violações de privacidade e dados.

Qualquer empresa está sujeita às penalidades da GDPR?

Um dos pontos que causam confusão sobre a GDPR é a prevalência na União Europeia. O regulamento é válido para praticamente todo tipo de serviço que chega a um cidadão de um dos países do bloco. Isso significa, por exemplo, que uma loja online no Brasil ou em qualquer outro país terá que se adaptar à GDPR, se quiser enviar produtos para clientes na União Europeia sem desrespeitar a lei.

Várias empresas de países fora da Europa já atualizaram seus termos e adaptaram seus sistemas. Como muitos dos serviços estão disponíveis globalmente, é mais viável ajustar toda a plataforma, ou a parte relevante dela, do que fazer mudanças localizadas e correr o risco de infringir alguma regra.

Como consequência, redes sociais, lojas online, plataformas de streaming e tantos outros serviços modificaram ou acrescentaram recursos para todas as contas, independente do país de suas sedes.

 

Penalidades

 Organizações que violem a GDPR podem ser multadas em até 4% do faturamento global anual ou 20 milhões de euros (o que for maior). Esta é a multa máxima que pode ser imposta para as infrações mais graves, como por exemplo, não ter o consentimento suficiente do cliente para processar dados ou violar os conceitos básicos de Privacidade por Design. Existe uma abordagem escalonada para as multas, exemplo: uma empresa pode ser multada em 2% por não ter seus registros em ordem (artigo 28), sem notificar a autoridade supervisora e o titular dos dados sobre uma violação ou não realizar uma avaliação de impacto.

É importante observar que essas regras se aplicam tanto aos controladores quanto aos processadores, o que significa que as “nuvens” não estão isentas da fiscalização da GDPR.

O Google foi a primeira grande “vítima” da GDPR: a companhia foi multada em 50 milhões de euros por reguladores franceses, sob a acusação de não explicar de forma clara como informações de usuários são usadas e não exigir consentimento explícito para acesso a esses dados.

Esta não é a primeira multa emitida em função da GDPR, mas é de longe a maior. Em dezembro de 2018, um hospital em Portugal foi multado em 400.000 euros depois que sua equipe usou contas falsas para acessar registros de pacientes, enquanto um serviço de mídia social e bate-papo alemão foi multado em 20.000 euros em novembro do mesmo ano, por armazenar senhas de mídias sociais em texto simples. Um negócio local na Áustria também foi multado em 4.800 euros em outubro, por ter uma câmera de segurança que estava filmando um espaço público.

 

E os Estados Unidos?

Não existe uma lei federal única sobre proteção de dados nos Estados Unidos. Os regulamentos federais são dirigidos principalmente a setores da economia, enquanto a legislação estadual está mais focada em proteger os direitos sobre a privacidade de consumidores individuais. A aprovação da Lei de Privacidade do Consumidor da Califórnia (CCPA), que entrará em vigor em 1º de janeiro de 2020, é a primeira do que provavelmente será uma série de regras novas e mais rigorosas sobre a privacidade de dados em nível estadual nos Estados Unidos.

Essa lei de privacidade contém uma definição ampla de dados pessoais, estabelece amplos direitos para os residentes da Califórnia para determinar a exclusão de dados, estabelece amplos direitos para acessar dados pessoais, com certas exceções, e exige que as organizações possibilitem aos consumidores o direito de saber como seus dados são usados e porque estão sendo coletados.

Sua empresa certamente possui dados sensíveis e confidenciais armazenados em bancos de dados. Esses dados alimentam as aplicações usadas no seu negócio e estas são gerenciadas por pessoas. Para proteger os dados, é preciso ter uma solução completa e gerenciada, que inclui suporte de equipe especializada com domínio dos processos e tecnologia de classe mundial.[:en]Abordaremos neste artigo as sanções que poderão ser impostas pelos três principais regulamentos que impactam a coleta, tratamento e uso de dados pessoais pelas empresas que atuam no Brasil: a LGPD, a Resolução Bacen 4.658 e a europeia GDPR.

 

LEI GERAL DE PROTEÇÃO DE DADOS (Lei 13.709/18)

 

A LGPD foi sancionada em 14 de agosto de 2018 e entrará em vigor a partir de agosto de 2020, para unificar diferentes regulamentações brasileiras sobre o uso e a troca de informações em ambientes digitais.

 

O principal objetivo é garantir que os cidadãos tenham maior controle quanto ao uso de dados compartilhados em diversos sites e serviços. A partir de 2020, as empresas deverão prestar contas sobre o que fazem com os dados coletados, informando de maneira clara aos usuários, caso existam alterações nesse sentido.

 

As empresas deverão garantir a segurança dos dados pessoais coletados e comunicar incidentes de segurança da informação ao órgão regulador, sendo que, dependendo do incidente, o titular dos dados também deverá ser comunicado. Outra novidade significativa é quanto ao tratamento de dados pessoais de crianças e adolescentes, que exigirão atenção especial, como por exemplo, a obtenção de consentimento de um dos pais antes da coleta dos dados.

 

A Lei também será aplicada às organizações com sedes estrangeiras, desde que, os dados sejam tratados em território nacional. Adicionalmente, dados tratados em outros países também estão sujeitos à lei caso tenham sido coletados no Brasil.

 

A Medida Provisória nº 869 de 27 de dezembro de 2018, entre outras alterações à LGPD, criou a Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador do tema no Brasil e responsável por impor as sanções administrativas previstas na LGPD.

 

Penalidades

 

As possíveis penalidades a serem impostas pela ANPD não substituem a aplicação de sanções administrativas, civis ou penais definidas em legislação específica e podem ir desde a advertência, com indicação de prazo para adoção de medidas corretivas; multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a 50 milhões de reais por infração; multa diária, observado o limite total; divulgação da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere a infração até a sua regularização e eliminação dos dados pessoais a que se refere a infração.

 

 

RESOLUÇÃO BACEN nº 4.658

 

Está em vigor desde 26 de abril de 2018 e dispõe sobre a política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

 

O objetivo final é assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados pelas instituições.

 

O artigo 23 da Resolução determina que deve ficar à disposição do Banco Central do Brasil pelo prazo de cinco anos:

 

  • o documento relativo à política de segurança cibernética;
  • a ata de reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição, aprovando a política de segurança cibernética;
  • o documento relativo ao plano de ação e de resposta a incidentes;
  • o relatório anual sobre a implementação do plano de ação e de resposta a incidentes;
  • a documentação sobre os procedimentos de comprovação da capacidade dos prestadores de serviço;
  • a documentação sobre a contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem prestados no exterior.
  • os contratos de prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem; e
  • os dados, os registros e as informações relativas aos mecanismos de acompanhamento e de controle a assegurar a implementação e a efetividade da política de segurança cibernética, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

 

Penalidades

 

O Banco Central do Brasil tem competência fiscalizadora sobre as instituições financeiras e demais instituições por ele autorizadas a funcionar e dispõe de poder legal para instaurar processo administrativo sancionador, quando verificada infração a norma legal ou regulamentar relativa às atividades supervisionadas.

 

De forma geral, o Banco Central do Brasil poderá adotar as medidas necessárias para cumprimento do disposto na Resolução e vetar ou impor restrições para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem quando constatar, a qualquer tempo, a inobservância do disposto na Resolução, bem como a limitação à atuação de fiscalização do BC, estabelecendo prazo para a adequação dos referidos serviços.

 

 

REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS (GDPR)

 

Em vigor desde 25 de maio de 2018, o objetivo da GDPR é proteger todos os cidadãos da União Europeia contra violações de privacidade e dados.

 

Qualquer empresa está sujeita às penalidades da GDPR?

 

Um dos pontos que causam confusão sobre a GDPR é a prevalência na União Europeia. O regulamento é válido para praticamente todo tipo de serviço que chega a um cidadão de um dos países do bloco. Isso significa, por exemplo, que uma loja online no Brasil ou em qualquer outro país terá que se adaptar à GDPR, se quiser enviar produtos para clientes na União Europeia sem desrespeitar a lei.

 

Várias empresas de países fora da Europa já atualizaram seus termos e adaptaram seus sistemas. Como muitos dos serviços estão disponíveis globalmente, é mais viável ajustar toda a plataforma, ou a parte relevante dela, do que fazer mudanças localizadas e correr o risco de infringir alguma regra.

 

Como consequência, redes sociais, lojas online, plataformas de streaming e tantos outros serviços modificaram ou acrescentaram recursos para todas as contas, independente do país de suas sedes.

 

Penalidades

 

Organizações que violem a GDPR podem ser multadas em até 4% do faturamento global anual ou 20 milhões de euros (o que for maior). Esta é a multa máxima que pode ser imposta para as infrações mais graves, como por exemplo, não ter o consentimento suficiente do cliente para processar dados ou violar os conceitos básicos de Privacidade por Design. Existe uma abordagem escalonada para as multas, exemplo: uma empresa pode ser multada em 2% por não ter seus registros em ordem (artigo 28), sem notificar a autoridade supervisora e o titular dos dados sobre uma violação ou não realizar uma avaliação de impacto.

 

É importante observar que essas regras se aplicam tanto aos controladores quanto aos processadores, o que significa que as “nuvens” não estão isentas da fiscalização da GDPR.

 

O Google foi a primeira grande “vítima” da GDPR: a companhia foi multada em 50 milhões de euros por reguladores franceses, sob a acusação de não explicar de forma clara como informações de usuários são usadas e não exigir consentimento explícito para acesso a esses dados.

 

Esta não é a primeira multa emitida em função da GDPR, mas é de longe a maior. Em dezembro de 2018, um hospital em Portugal foi multado em 400.000 euros depois que sua equipe usou contas falsas para acessar registros de pacientes, enquanto um serviço de mídia social e bate-papo alemão foi multado em 20.000 euros em novembro do mesmo ano, por armazenar senhas de mídias sociais em texto simples. Um negócio local na Áustria também foi multado em 4.800 euros em outubro, por ter uma câmera de segurança que estava filmando um espaço público.

 

 

E os Estados Unidos?

 

Não existe uma lei federal única sobre proteção de dados nos Estados Unidos. Os regulamentos federais são dirigidos principalmente a setores da economia, enquanto a legislação estadual está mais focada em proteger os direitos sobre a privacidade de consumidores individuais. A aprovação da Lei de Privacidade do Consumidor da Califórnia (CCPA), que entrará em vigor em 1º de janeiro de 2020, é a primeira do que provavelmente será uma série de regras novas e mais rigorosas sobre a privacidade de dados em nível estadual nos Estados Unidos.

 

Essa lei de privacidade contém uma definição ampla de dados pessoais, estabelece amplos direitos para os residentes da Califórnia para determinar a exclusão de dados, estabelece amplos direitos para acessar dados pessoais, com certas exceções, e exige que as organizações possibilitem aos consumidores o direito de saber como seus dados são usados e porque estão sendo coletados.

 

 

Sua empresa certamente possui dados sensíveis e confidenciais armazenados em bancos de dados. Esses dados alimentam as aplicações usadas no seu negócio e estas são gerenciadas por pessoas. Para proteger os dados, é preciso ter uma solução completa e gerenciada, que inclui suporte de equipe especializada com domínio dos processos e tecnologia de classe mundial.[:]

Comments are closed.

Posts recentes

  • Proteja a saúde financeira da sua organização, priorizando a segurança de APIs
  • Illumio pode ajudar a conter ataques de ransomware em instituições financeiras
  • Mantenha a segurança das APIs utilizando o modelo Zero Trust
  • O verdadeiro impacto e custo do ransomware para os negócios!
  • Um mergulho técnico na proteção anti-ransomware

Comentários

    Arquivos

    • novembro 2023
    • outubro 2023
    • agosto 2023
    • julho 2023
    • fevereiro 2023
    • janeiro 2023
    • dezembro 2022
    • novembro 2022
    • outubro 2022
    • julho 2022
    • maio 2022
    • abril 2022
    • março 2022
    • fevereiro 2022
    • dezembro 2021
    • setembro 2021
    • agosto 2021
    • julho 2021
    • junho 2021
    • maio 2021
    • abril 2021
    • março 2021
    • fevereiro 2021
    • janeiro 2021
    • dezembro 2020
    • novembro 2020
    • outubro 2020
    • setembro 2020
    • agosto 2020
    • julho 2020
    • junho 2020
    • maio 2020
    • abril 2020
    • março 2020
    • fevereiro 2020
    • janeiro 2020
    • novembro 2019
    • outubro 2019
    • setembro 2019
    • agosto 2019
    • julho 2019
    • junho 2019
    • maio 2019
    • abril 2019
    • fevereiro 2019
    • janeiro 2019
    • dezembro 2018
    • novembro 2018
    • outubro 2018
    • junho 2018
    • setembro 2017
    • agosto 2017
    • julho 2017
    • junho 2017

    Categorias

    • Arxan
    • Check Marx
    • Cyber Security
    • Data Discovery
    • Data Protection for Vertical Markets
    • DevSecOps
    • DLP
    • Eventos
    • GDPR
    • Gestão de Identidade
    • Gestão de Privacidade
    • Guardium
    • Guardium Data Encryption
    • Halcyon
    • Inteligência Artificial
    • LGPD
    • MaaS360
    • OneTrust
    • Performance
    • Programas de conscientização
    • Proteção de APIs
    • Proteção de Apps
    • Proteção de Dados
    • Proteção de marcas e pessoas
    • QRadar XDR
    • Resposta a incidentes
    • Safebreach
    • Security
    • Segurança Digital
    • Sem categoria
    • Simulação Contínua de Ataques
    • Value Stream Management
    • VM Analytic Services
    • Zero Trust Security
    • ZeroFox
    • ZeroTrust Security

    Meta

    • Acessar
    • Feed de posts
    • Feed de comentários
    • WordPress.org

    Líder em implementação de Programas de Segurança Digital, serviços e soluções para LGPD e Gestão de Riscos Cibernéticos.

    Últimos posts

    Proteja a saúde financeira da sua organização, priorizando a segurança de APIs

    28/11/2023

    Illumio pode ajudar a conter ataques de ransomware em instituições financeiras

    Illumio pode ajudar a conter ataques de ransomware em instituições financeiras

    27/10/2023

    Segurança de APIs utilizando modelo Zero Trust

    Mantenha a segurança das APIs utilizando o modelo Zero Trust

    23/10/2023

    Contato

    55 (11) 5505-0505
    contato@leadcomm.com.br

    Canal de denúncias da Leadcomm

    Clique aqui para fazer uma denúncia

    ou ligue no número 0800 033 0314

    Leadcomm 2024© Todos os direitos reservados