Post on 11-Nov-2018
Até aonde vai a portinha digital
do seu negócio?
Como internet não tem fronteiras, negócios digitais já nascem globais. Então, já precisam fazer uma análise de compliance de Direito
Digital Internacional, comparando as regras e delimintando limites de responsabilidade.
2
DESAFIO PARA OS NEGÓCIOS DIGITAIS: O MEDO!
CONFIANÇA
INTEGRIDADE
TRANSPARÊNCIA
https://www.blockchainhub.com.br/
TECNOLOGIA PARA
GARANTIR ÉTICA E BOA-FÉ
CERTEZA DA AUTORIA
(associar Identidade válida)
SEGURANÇA DA INFORMAÇÃO
GUARDA DAS PROVAS DA MANIFESTAÇÃO DE VONTADE (documentação – guarda com cadeia de custódia e validade jurídica para ser capaz de executar obrigações e responsabilizar as partes)
QUAL A MELHOR TESTEMUNHA DOS FATOS: O HUMANO OU A MÁQUINA?
REFLEXÃO...
RISCOS INTERSISTÊMICOS
(Quando e em quem recai a responsabilidade?)
Novos Modelos de Negócios
Dispositivos Móveis e BYOD
Cloud Computing
Regulamentação ou autorregulamentaçãode diversos segmentos
Proteção de Dados Pessoais
Open Source
Segurança da Informação
Copyright ou Copyleft
Inovação
Plataformas Digitais
4
RANSOMWARE...
5
Fonte: http://www.valor.com.br/internacional/4966934/megaciberataque-derruba-sistemas-de-comunicacao-ao-redor-do-mundo; http://www.valor.com.br/empresas/4967124/ataque-de-hackers-atinge-
o-brasil-inss-do-rio-e-tj-sp-sao-afetados - Acesso em: 16 mai. 2017
Riscos de Fraude
6Fonte:www.portaldoholanda.com.br/aplicativo/conheca-os-principais-golpes-no-whatsapp.Acessado em 07.06.2016
Case – WhatsApp – Ativar emoticons
RansomwareTipos de Ransomware - Encryption
7Fonte:https://www.nomoreransom.org/ransomware-qa.html.Acessado em 24.10.2016
Em tempos de ransomware...
9
Pesquisa Kaspersky Lab – 1º Trimestre 2017
Fonte: http://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&infoid=45238&sid=18 - Acesso em: 23 mai. 2017.
Será que estamos preparados?
10
Fonte: http://g1.globo.com/globo-news/jornal-globo-news/videos/t/videos/v/precisamos-estar-sempre-preparados-diz-o-advogado-leandro-bissoli/5865904/ ; http://g1.globo.com/globo-news/jornal-globo-news/videos/t/videos/v/advogado-especialista-em-direito-digital-fala-sobre-ciberataque/5869627/ ; http://g1.globo.com/globo-news/jornal-globo-news/videos/t/videos/v/especialista-explica-como-se-proteger-de-ataques-ciberneticos/5868112/ - Acesso em: 16 mai. 2017
Já atualizou o antivírus hoje?
11Fonte Imagem: http://i1137.photobucket.com/albums/n520/thiagoart/boleto_ANTIVIRUS_zps9ee866de.png - Acesso em: 16 mai. 2017. Finalidade Educacional.
NÃO DEIXE PARA AMANHÃ AS ATUALIZAÇÕES!
CASENa Áustria – Janeiro/2017
- O gerente do hotelinformou que não utilizarámais fechaduras eletrônicas;
- O hotel não havia um planode gerenciamento de riscos.
12http://exame.abril.com.br/tecnologia/hackers-trancam-hospedes-em-hotel-e-exigem-resgate-em-bitcoin/
VIOLAÇÕES DE DADOS
13
Principais Causas:
- Reutilização de Senhas;- Senhas Fracas;- Falhas de Configuração;- Exploração de
Vulnerabilidades;- Abuso de Privilégios
(gerenciamento de senhas)
http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&infoid=45105&sid=18
RECURSOS HUMANOS
14
As áreas estão integradas?
- Normas e Políticas Internas;- Termo de Confidencialidade;- Integração das áreas de RH,
TI e Jurídico;- Gestão e Controles de
Acessos ao Sistema;- Programas de Capacitação e
Conscientização sobre o usodas tecnologias em nívelpessoal e profissional
Fonte: http://www.itforum365.com.br/seguranca/ameacas/alta-rotatividade-de-funcionarios-e-o-principal-fator-para-aumento-do-risco-de-fraudes - Acesso em: 24 mai. 2017
15
Inovar mas com padrão de Segurança paraa Indústria:- Conceito de Cloud Computing- Diferença de cloud pública e cloud
privada- Segurança na Infraestrutura- Proteção dos Dados- Criptografia- Privacy by Design- Portabilidade e Interoperabilidade- Auditoria- Transparência- Compliance
Recomendações de Segurança para as Empresas de Cloud Computing– Federal Office for Information Security
https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/CloudComputing/SecurityRecommendationsCloudComputingProviders.pdf?__blob=publicationFile&v=2
CYBER SECURITY – EUROPA - ALEMANHA
CYBER SECURITY - EUROPA
16
NIS – DIRECTIVE (EU) 2016/1148 – NETWORK AND INFORMATION SECURITY
• Medidas destinadas a garantir um elevado nível comum de segurança das redes e dainformação em toda a união;
• Aplicada a todos os operadores de serviços essenciais (i) e aos prestadores de serviçosdigitais (ii), os quais podem aplicar outras medidas de segurança mais rigorosas do que asprevistas na diretiva (4) e (6);
(i) entidade pública ou privada pertencente a um dos setores disciplinados noanexo II (energia, transporte, saúde, financeiro, etc.) que preste um serviço essencial para amanutenção de atividades sociais e/ou econômicas cruciais
(ii) pessoa coletiva que presta um serviço da sociedade da informação pertencenteaos tipos enumerados no anexo III (computação em nuvem, por exemplo)
Cronograma: publicado em em 6 de julho de 2016
Prazo para adoção das medidas: de 9 de fevereiro de 2017 a 9 de novembro de 2018
Prazo para os Estados-Membros adotarem e publicarem leis nacionais que atendam a diretivaaté 9 de maio de 2018
Prazo aplicação efetiva de todas as medidas inclusive penalidades 10 de maio de 2018
http://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A32016L1148
Framework de Proteção de Dados Pessoais no Brasil (leis em vigor)
18
FRAMEWORK DE PROTEÇÃO DE DADOS PESSOAIS NO BRASIL
Constituição Federal/1988Art. 5º, inciso X, incisos XI e XII
Art. 5º, inciso LXXII
Código Civil – Lei nº 10.406/2002 Art. 20 e 21
Código de Defesa do Consumidor – Lei nº 8.078/1990 Art. 43
Lei do SAC - Decreto nº 6.523/2008 Art. 11
Lei do Cadastro Positivo – Lei nº 12.414/2011 Art. 3º, 5º, 9º
Decreto do Marco Civil da Internet – Decreto nº 8.771/2016
Art. 4
Marco Civil da Internet – Lei nº 12.965/2014
Art. 3º, incisos II e IIIArt. 7º, incisos I, II, III, VII, VIII
Art. 8º Art. 15Art. 10
[1] Nota: Quadro com as principais normas relacionadas à Proteção de Dados Pessoais no Brasil e aplicáveis à Clear Sale. Há ainda normas de setores específicos como o setor financeiro e setor da saúde.
Decreto do Marco Civil da Internet – Decreto nº 8.771/2016
Art. 13ºArt. 14º
Compliance Empresas: Proteção de Dados
20
No Brasil: Lei Marco Civil Internet de 2014 + Decreto 8771/2016Decreto do Comércio Eletrônico de 2013 + Código de Defesa do Consumidor PL 5276/2016 + 4060/2012 + 330/2013
- Mera ciência Consentimentoprévio (1 única vez)
- Exclusão apenas a pedido (nãoautomática) e apenas o prazolegal mínimo (MCI 6 meses ououtra lei)
- Apenas bases de dados coletadasda internet (MCI)
Na Europa: GDPR- Consentimento prévio (no ciclo de vida ocorre
de 4 vezes: adesão, enriquecimento, compartilhamento, armazenar fora do país (cloud)
- Exclusão automática (se deixar de ser cliente) ou a pedido a qualquer tempo
- Portabilidade (está sendo debatido se seria estrita apenas dos dados fornecidos ou completa também dos dados comportamentais e enriquecidos)
- Toda base de dado pessoal (coletada por qualquer meio)
- Dever de anonimização- Dever de criptografia- Dever de notificar interessados (violação)- Multas altíssimas (para o Grupo Econômico)- Prevê ação coletiva
PROTEÇÃO DE DADOS PELO MUNDO
21
LATAM Proteção de dados pessoais
Argentina Lei nº 25.326/2000 – Lei de Proteção de Dados Pessoais
Chile Lei 19.628/1999 – Lei de Proteção de Dados Pessoais
Colômbia Lei nº 1581/2012 - Lei Geral de Proteção de Dados PessoaisDecreto nº 1.377/2013 – Regulamenta a Lei Geral de Proteção de Dados Pessoais
México Lei Federal de Transparência e Acesso à Informação Pública GovernamentalLei Federal de Proteção de Dados Pessoais em Poder de Particulares (2010)
Panamá Projeto de Lei sobre Proteção de Dados PessoaisLei nº 06/2002 – Lei de Transparência e Acesso à Informação Pública
Peru Lei nº 29.733/2011 – Lei de Proteção de Dados Pessoais
Uruguai Lei n° 18.331/2008 – Lei de Proteção de Dados Pessoais
Proteção de dados pessoais
• Necessidade de garantir ao consumidor informações clarassobre os direitos e os ônus da transferência de dados
• Criação de princípios gerais, a fim de que a lei não se torneineficaz diante da inovação e desenvolvimento tecnológico
• Papel mais atuante dos próprios consumidores
• Criação de uma agência reguladora para fiscalização dotratamento de dados pessoais
Pontos levantados pelos participantes da audiência públicada Comissão Especial:
http://www2.camara.leg.br/camaranoticias/noticias/CIENCIA-E-TECNOLOGIA/526953-COMISSAO-ESPECIAL-DEBATE-COMERCIALIZACAO-DE-DADOS-PESSOAIS-NESTA-SEMANA.html
23
Análise Comparativa dos Projetos de Lei BrasileirosRealizado pelo Article 19
Fonte:
http://artigo19.org/wp-content/blogs.dir/24/files/2017/01/Prote%C3%A7%C3%A3o-de-Dados-Pessoais-no-Brasil-ARTIGO-19.pdf
Projetos de Lei em andamento
no Brasil
24
1. Análise deviabilidade Jurídica daInovação Tecnológica
2. Implementaçãomelhores práticastécnicas para ficar emconformidade com leis(padrão desegurança,controleacesso criptografia,guarda de logs)
3. Implementação deproteções legais (registrode patente, política deprivacidade, normas eprocedimentos desegurança da informação,tabela de temporalidade,cadeia de custódia,contratos)
4. Acompanhamento donegócio para aplicaçãoalimentar o modelo PDCAde evolução eaprimoramento (se tivercaso, incidente, defesajurídica)
BLINDAGEM LEGAL DA INOVAÇÃO TECNOLOGICA
PDCA LEGAL
Blindagem da Inovação Tecnológica
Regras Claras (algumas precisam ser por lei, regulamentação de
indústria)
VigilânciaMonitoramento e
Documentação das evidências (guarda
provas) com ferramentas
Educação Digital (Campanhas Públicas e
Privadas) finalidade preventiva
Resposta a Incidentes (rápida e com rigor) e Penalização (combate
impunidade)
17
Projeto de Assessoria: Blindagem Legal da Segurança
Elaboração e Revisão das Diretrizes de SIBlindagem legal do SGSI- Sistema de
Gestão de Segurança da Informação
Participação no Comitê de Segurança da
Informação, Comitê de Riscos, Comitê de
Ética, Comitê de Compliance
Elaboração e Revisão das Normas e
Procedimentos de SI
Campanha de Conscientização de SI
Plano de Implementação
Participação na Resposta a Incidentes
Parecer/ Relatório de Resposta a
Incidentes de SI
Pareceres/ Relatórios e Análises pontuais
de Segurança da Informação
Parecer/ Relatório de Análise de Riscos de
SI
Monitoramento Legislativo
Monitoramento de marca na Internet
27
Conclusão:
➢ Foi feito o due dilligence para gerar um Parecer de Diagnóstico quanto ao grau de conformidade e blindagem legal da inovação tecnológica ou do negócio digital?
➢ Foi feita verificação se a infra-estrutura de TI (auditoria técnica-legal) vaiatender ao padrão exigido pelas regulamentações (nacionais e internacionais) de guarda de provas eletrônicas (tabela de temporalidade, cadeia de custódiaíntegra, criptografia)?
➢ A documentação está atualizada (Brasil, União Européia, outros):- Contratos (cliente, fornecedor, parceiro, funcionário, SLAs, NDAs)- Termos de Uso- Política de Privacidade- Código de Ética- Política de Segurança da Informação