Criar e manter um ROPA (Registro de Atividades de Processamento) é essencial para a proteção de dados e conformidade com a privacidade em uma empresa de médio a grande porte. O ROPA é o núcleo de qualquer documentação de conformidade. Ele documenta os processos centrais dentro de sua organização no que diz respeito ao processamento de dados pessoais. Essencialmente, é uma análise do fluxo de dados a partir de uma perspectiva legal.
Os dados pessoais fluem através de interfaces, os chamados pontos de coleta de dados. Por exemplo, um ponto de coleta de dados pode ser seu website com um formulário de contato, seu servidor de e-mail onde você recebe e-mails ou uma determinada feira comercial onde você se envolve com potenciais clientes em potencial ou potenciais clientes. Para cada um desses pontos de coleta de dados, é necessário avaliar se ele precisa mostrar avisos de proteção de dados sobre os direitos e liberdades do indivíduo envolvido.
Portanto, este é um dos pontos de partida para um ROPA e o fluxo de dados que ele contém. Uma vez que os dados entram em sua organização, eles são utilizados em vários processos ligados aos sistemas. Estes processos têm uma descrição geral que explica o que eles fazem. A descrição inclui as pessoas que estão envolvidas nesse processo. Dependendo da estrutura da organização, os departamentos ou equipes lidam com os dados dentro de um processo.
A documentação do processo também inclui as partes externas com as quais você compartilha diretamente as informações e que não utilizam nenhuma aplicação ou sistema. Há duas formas de transferência de dados: Uma transferência direta seria enviar uma tabela Excel com prospectos potenciais para uma agência de marketing. A segunda maneira é através de um sistema; por exemplo, você poderia ter um sistema de RH que enviasse arquivos específicos de RH ou informações de RH para o fornecedor da solução de RH SaaS.
Ambos os casos são transferências para processadores ou controladores de dados. Este fornecedor tem que ser avaliado, e os contratos necessários precisam estar em vigor.
As informações fluem para sua organização, processos, vários departamentos e sistemas e de lá para os processadores ou controladores de dados. Ao final dos ciclos de vida dos dados, há períodos de eliminação e retenção definidos para as informações processadas e para os sistemas envolvidos. O uso de programações de exclusão e retenção de dados disponíveis na plataforma Priverion, facilita aos administradores do sistema a manutenção dos registros e a implementação dos processos necessários, manual ou automaticamente, para excluir ou reter certas informações.
A última etapa do fluxo de dados é apagar ou tornar anônimos os dados. Tudo isso, em conjunto, constitui a documentação de uma atividade de processamento.
Agora resta um ponto necessário: a análise de risco para esta atividade de processamento. A análise de risco considera a probabilidade de ocorrência de certas ameaças e a quantidade de danos que resultam da exploração de uma vulnerabilidade.
Por exemplo, a manipulação dos dados de um arquivo de RH pode ter algum impacto financeiro ou de reputação, mas nenhum impacto sobre a saúde. Em comparação, a manipulação de alguns valores em uma bomba de insulina em um hospital resultaria em danos muito altos.
Esses casos devem ser avaliados para avaliar o risco nessas duas dimensões de probabilidade e quantidade de danos e dentro das várias sub-dimensões de probabilidade e categorias de ameaça.
Um fator determinante da probabilidade e do montante do dano são as medidas técnicas e organizacionais que são aplicadas dentro desse processo. Por exemplo, a criptografia dos dados em trânsito e em repouso pode até eliminar os danos que uma violação de dados ou hacking do banco de dados causaria, pois o atacante teria acesso apenas aos dados criptografados. Portanto, o dano potencial seria mínimo.
Esta avaliação de risco é geralmente realizada dentro de uma equipe, pois os indivíduos têm uma perspectiva particular ou uma percepção específica de certos riscos e probabilidades. Portanto, recomendamos muito que se faça isso com o proprietário do processo, um responsável pela proteção de dados ou um especialista em proteção de dados, e alguém da segurança da informação ou TI da organização. Essas três ou quatro pessoas podem avaliar melhor os riscos relacionados à pessoa afetada por esse processamento e encontrar um consenso ou uma média da probabilidade e das dimensões danificadas.
Em resumo, antes de começar com o registro das atividades de processamento ou a determinação do risco, a organização tem que definir parâmetros específicos em relação à probabilidade e aos danos. Uma organização deve determinar o que é uma probabilidade pequena, média, alta ou muito alta para eles nesta avaliação em particular. Pode ocorrer uma vez por ano, mensalmente, diariamente, a cada hora, ou a cada minuto. Isto tem que ser padronizado e escrito em uma política para que cada funcionário que realiza tal avaliação conheça os valores subjacentes. O mesmo vale para a quantidade de danos. Quando a quantidade de danos é alta em relação ao sujeito dos dados e quando é baixa?
Normalmente, as organizações têm tabelas que definem o que é alto dano para elas do ponto de vista da segurança da informação. Embora 100.000 euros possam ser altos danos para algumas organizações, são 100 milhões de euros para outras. No entanto, a avaliação deve considerar o indivíduo sujeito dos dados e não a organização. No ROPA, somente os danos para a pessoa em questão são relevantes. Aqui, a média do sujeito dos dados no contexto do processamento é a linha de base, e seus danos devem ser avaliados. Uma perda de 10.000 euros ou danos à saúde ou à reputação pode ser significativa para uma pessoa média, mesmo que as somas do ponto de vista da organização sejam baixas.
Suponha que os resultados da avaliação concluam um alto risco para o indivíduo afetado. Nesse caso, medidas técnicas e organizacionais adicionais que dependem da lei aplicável devem ser tomadas para proteger a pessoa em questão dos danos identificados.
Aqui a proporcionalidade é importante. A implementação de medidas específicas que excedam um montante significativo pode não ser proporcional à quantidade de danos que podem ser infligidos. Neste caso, a medida pode não ser viável, mas pode haver alternativas que não custam tanto, mas podem atingir um objetivo semelhante.
É importante observar que esta avaliação de alto nível é mais curta do que uma avaliação de impacto na privacidade dos dados e feita a partir de uma perspectiva de risco geral que permite decisões pragmáticas, particularmente para situações padrão especiais.
Uma avaliação de impacto na privacidade de dados entra em mais detalhes, analisa medidas mais técnicas e organizacionais, e inclui um processo de entrevista das partes interessadas afetadas ou um processo de feedback para a atividade de processamento subjacente que está sendo avaliada.
em 01 06 2022
5 leitura min