Pontos principais
Definição de proteção de dados: A proteção de dados refere-se a práticas que protegem os dados críticos contra corrupção, perda ou acesso não autorizado.
- Proteção de dados tradicional: Inclui backups e processos de recuperação.
- Segurança de dados e defesa contra violações: Proteção de dados contra acesso não autorizado e violações.
- Privacidade de dados: Garantia de conformidade com os requisitos legais e regulamentares relativos a dados pessoais.
Leis de proteção de dados nos Estados Unidos:
- HIPAA: Protege informações pessoais relacionadas à saúde.
- FCRA: Regulamenta as agências de relatórios ao consumidor.
- GLBA: Rege o manuseio de dados pessoais pelas instituições financeiras.
- COPPA: Protege a privacidade on-line das crianças.
- FERPA: Protege os registros educacionais dos alunos.
- TCPA: Regulamenta as comunicações de telemarketing.
- Lei de Privacidade: Aplica-se ao manuseio de dados pessoais pelos órgãos federais.
Leis de proteção de dados no Canadá:
- PIPEDA: Lei federal que rege a proteção de dados pessoais.
- BC PIPA: Uma lei que protege informações pessoais na Colúmbia Britânica.
- AB PIPA: Uma lei que protege as informações pessoais na Colúmbia Britânica.
- Lei do Setor Privado de Quebec: Rege os dados pessoais no setor privado de Quebec.
- CASL: A legislação anti-spam do Canadá referente ao marketing eletrônico.
Proteção de dados na União Europeia: O Regulamento Geral de Proteção de Dados (GDPR) é uma estrutura abrangente para proteção e privacidade de dados.
Sete princípios do GDPR:
- Legalidade, justiça e transparência: Os dados devem ser processados de forma legal, justa e transparente.
- Limitação do objetivo: Dados coletados apenas para fins específicos.
- Minimização de dados: Somente os dados necessários devem ser coletados.
- Precisão: Garantir que os dados sejam precisos e atualizados.
- Limitação de armazenamento: Os dados não devem ser mantidos por mais tempo do que o necessário.
- Integridade e confidencialidade: Garantir a segurança adequada dos dados.
- Prestação de contas: As organizações devem ser responsáveis e capazes de demonstrar conformidade.
Não há dúvida de que a empresa moderna típica gera grandes quantidades de dados que precisam ser movidos, analisados e armazenados com segurança. Como grande parte desses dados envolve a privacidade de usuários e clientes, várias leis e regulamentações foram criadas para promover práticas sólidas de proteção. Embora esses regulamentos variem muito de país para país, o conceito subjacente permanece o mesmo. Isso significa manter os dados seguros e, ao mesmo tempo, disponibilizá-los aos usuários autorizados quando eles precisarem.
O que este artigo abordará:
- O que é proteção de dados?
- Proteção de dados nos EUA
- Proteção de dados no Canadá
- Proteção de dados na UE
- Os 7 princípios da proteção de dados (GDPR)
- Soluções de proteção de dados
O que é proteção de dados?
Proteção de dados é o conceito de proteger dados importantes contra corrupção, comprometimento ou perda. Não se trata apenas de proteção passiva. Também inclui o estabelecimento de processos de restauração e recuperação de dados. Normalmente, isso é feito por meio de um software de backup confiável. A proteção de dados também abrange questões de conformidade com os requisitos legais ou regulamentares aplicáveis.
Além da segurança, a proteção de dados diz respeito ao acesso autorizado aos dados. Obviamente, não se pode simplesmente excluir dados importantes ou trancá-los em um cofre impenetrável. Os dados devem ser usados, e os dados protegidos devem estar disponíveis para usuários autorizados quando necessário para a finalidade pretendida.
Em termos gerais, a ideia moderna de proteção de dados abrange três grandes categorias: proteção de dados tradicional, como backups; segurança de dados e defesa contra violações; e privacidade de dados.
Aqui está um guia em vídeo sobre proteção de dados e métodos para saber mais sobre como as equipes de TI e MSP podem manter seguras as informações críticas para os negócios.
O NinjaOne SaaS Backup ajuda você a cumprir os requisitos regulamentares de proteção de dados.
O primeiro princípio da proteção de dados
O princípio primário da proteção de dados é envolver metodologias e tecnologias para proteger os dados. Idealmente, tudo isso enquanto o torna disponível para usuários autorizados em todas as circunstâncias.
Além dessa máxima básica, a proteção de dados se torna muito granular. Isso pode depender da região em questão. Várias leis e regulamentações governamentais acrescentam camadas e detalhes a esse objetivo de nível amplo, levando em consideração inúmeras preocupações com a segurança cibernética e questões de privacidade pessoal.
Continuando, exploraremos a proteção de dados conforme definida em diferentes regiões.
Princípios de proteção de dados nos Estados Unidos
Ao contrário de algumas regiões, notadamente a União Europeia, os Estados Unidos não têm uma lei federal abrangente que regule a privacidade. Eles também não abrangem o manuseio de dados ou informações pessoais. Em vez disso, as organizações nos EUA precisam navegar por um amálgama de leis federais e estaduais. Todos eles devem regular a coleta, o processamento, a divulgação e a segurança das informações pessoais (PII).
Além disso, determinados setores, como o de saúde e o financeiro, são regulamentados de maneiras exclusivas para seu setor.
Devido à natureza descentralizada das leis de proteção de dados dos EUA, os controladores de dados precisam se manter atualizados com essas leis variadas e se preparar para a provável evolução futura da regulamentação de dados dos EUA.
Vamos dar uma olhada rápida nas principais leis de proteção de dados que codificam os princípios fundamentais da proteção de dados nos EUA:
HIPAA
A HIPAA (Health Insurance Portability and Accountability Act) de 1996 é uma lei federal. Ela se refere aos padrões de proteção de determinadas informações pessoais relacionadas à saúde, para que não sejam divulgadas sem o consentimento ou o conhecimento do paciente.
A Regra de Privacidade da HIPAA, criada pelo Departamento de Saúde e Serviços Humanos dos EUA, entrou em vigor em 2003. Ele regulamenta o uso e a divulgação de informações pessoais protegidas no tratamento, pagamento e operações de saúde.
Uma Regra de Segurança HIPAA adicional também entrou em vigor em 2003 e trata especificamente de registros médicos eletrônicos. Essa regra especifica as proteções administrativas, físicas e tecnológicas necessárias para a conformidade com a HIPAA.
FCRA
O Fair Credit Reporting Act (FCRA) é uma lei federal que rege as agências de relatórios de consumidores e seus procedimentos com relação à confidencialidade, precisão, relevância e uso adequado de dados pessoais.
As informações pessoais regidas pela FCRA são específicas para relatórios de crédito e relatórios de consumidores. Ele é vendido para fins de determinação da elegibilidade para emprego, para subscrição de crédito ou seguro e para alguns outros fins descritos na FCRA.
A FCRA também inclui várias proteções para os consumidores, inclusive o direito de obter sua própria pontuação de crédito e o direito de saber o que está no arquivo que uma agência de relatórios de consumidores mantém sobre o consumidor.
GLBA
A Lei Gramm-Leach-Bliley de 2002 (GLBA) é uma lei federal que regulamenta principalmente a coleta, o uso, a divulgação e a proteção de informações pessoais não públicas coletadas por instituições financeiras.
COPPA
A COPPA (Children’s Online Privacy Protection Act) é uma lei federal que impõe requisitos a sites direcionados a crianças com menos de 13 anos de idade. Também se aplica a operadores de sites ou serviços on-line que coletam intencionalmente informações pessoais de crianças com menos de 13 anos de idade. As operadoras abrangidas pela COPPA devem divulgar determinadas informações em sua política de privacidade e obter o consentimento dos pais antes de coletar determinados tipos de informações de crianças com menos de treze anos de idade.
FERPA
A Lei de Privacidade e Direitos Educacionais da Família (FERPA) é uma lei federal que abrange a proteção dos registros educacionais dos alunos. A FERPA se aplica a qualquer escola pública ou privada de ensino fundamental, médio ou pós-secundário. Bem como agências educacionais estaduais ou locais que recebem fundos de determinados programas do Departamento de Educação dos EUA.
A FERPA oferece aos pais e alunos qualificados maior controle sobre seus registros educacionais. Além de proibir as instituições educacionais de divulgar informações de identificação pessoal em registros educacionais sem o consentimento por escrito de um indivíduo autorizado
TCPA
O Telephone Consumer Protection Act (TCPA) é uma lei federal que regulamenta as chamadas de telemarketing, as chamadas discadas automaticamente, as chamadas gravadas, as mensagens de texto automatizadas e os faxes não solicitados. A TCPA também estabelece requisitos técnicos para aparelhos de fax, discadores automáticos e sistemas de mensagens de voz e como identificar os usuários desses equipamentos.
Lei de privacidade
A Privacy Act (Lei de Privacidade) de 1974 é uma lei federal que se aplica, em grande parte, a órgãos, contratados e funcionários do governo federal. A Lei de Privacidade restringe a divulgação de informações pessoais mantidas por órgãos governamentais e concede aos indivíduos maiores direitos de acesso aos registros de agências mantidos sobre eles mesmos. Essa lei também estabelece um código de práticas justas de informação com requisitos estatutários para coleta, segurança e divulgação de registros pessoais.
Princípios de proteção de dados no Canadá
As leis de proteção de dados no Canadá são semelhantes às dos EUA. Ambos consistem em um conjunto complexo de estatutos federais e provinciais. Como nos EUA, algumas dessas leis impõem regulamentações a setores específicos. Alguns estatutos incluem requisitos obrigatórios de notificação e relatório no caso de violação de informações pessoais.
Os principais estatutos de proteção de dados no Canadá incluem:
- Federal: Lei de Proteção de Informações Pessoais e Documentos Eletrônicos de 2000 (PIPEDA)
- Colúmbia Britânica: Lei de Proteção de Informações Pessoais (BC PIPA)
- Alberta: Lei de Proteção de Informações Pessoais (AB PIPA)
- Quebec: Lei relativa à proteção de informações pessoais no setor privado (Lei do Setor Privado de Quebec)
O Canadá também promulgou uma lei anti-spam, a CASL (Canada’s Anti-Spam Legislation). Isso envolve atividades de marketing eletrônico, como coleta de dados e envio de e-mails em massa.
Princípios de proteção de dados na União Europeia
Atualmente, a União Europeia possui a estrutura de proteção de dados mais abrangente do mundo. O Regulamento Geral sobre a Proteção de Dados (GDPR), promulgado em 2018, serve como estrutura jurídica para a proteção e a privacidade de dados em todos os estados-membros.
Essa legislação complexa estabelece princípios de proteção de dados que as empresas devem seguir se estiverem realizando comércio com a UE. O não cumprimento das estruturas legais acarreta multas e penalidades rígidas para garantira conformidade com o GDPR. O GDPR foi criado para proteger os dados confidenciais dos cidadãos da UE e dar a eles mais controle sobre como eles são acessados e usados. Os requisitos incluem controles sobre transferências internacionais de dados e direitos dos cidadãos de ter os dados excluídos.
Exploraremos o GDPR em mais detalhes na próxima seção.
Os 7 princípios da proteção de dados (GDPR)
Legalidade, justiça e transparência
Artigo 5(1)(a) do GDPR: “Os dados pessoais devem ser processados de forma legal, justa e transparente em relação ao titular dos dados (‘legalidade, justiça, transparência’)”
De acordo com esse princípio de proteção de dados, as organizações devem garantir que seus métodos de coleta de dados não comprometam a lei e que seu uso de dados seja transparente para aqueles cujos dados estão sendo coletados.
Limitação do objetivo
Artigo 5(1)(b) do GDPR: “Os dados pessoais devem ser coletados para fins específicos, explícitos e legítimos e não devem ser processados posteriormente de maneira incompatível com esses fins; o processamento posterior para fins de arquivamento de interesse público, pesquisa científica ou histórica ou fins estatísticos não deve ser considerado incompatível com os fins iniciais”
O princípio da proteção de dados estabelece que as organizações só devem coletar dados pessoais para uma finalidade definida e declarada. Eles devem definir o propósito e a meta e coletar dados apenas durante o tempo necessário para atingir esses objetivos.
A coleta e o processamento de dados realizados para pesquisa histórica, científica ou estatística, ou por motivos de interesse público, têm mais liberdade.
Minimização de dados
Artigo 5(1)(c): “Os dados pessoais devem ser adequados, relevantes e limitados ao que é necessário em relação às finalidades para as quais são processados (minimização de dados).”
As organizações devem reter apenas a menor quantidade de dados necessária para seus requisitos. Não é permitido coletar dados “extras” na esperança de que sejam úteis posteriormente.
Precisão
Artigo 5(1)(d): “Os dados pessoais devem ser exatos e, quando necessário, mantidos atualizados; devem ser tomadas todas as medidas razoáveis para assegurar que os dados pessoais inexatos, tendo em conta as finalidades para as quais são processados, sejam apagados ou retificados sem demora (‘exatidão’)”
As organizações devem garantir que as informações pessoais que coletam sejam precisas e atualizadas. As informações de identificação pessoal devem ser revisadas regularmente, e as informações imprecisas devem ser corrigidas ou excluídas.
Limitações de armazenamento
Artigo 5(1)(e): “Os dados pessoais devem ser mantidos em uma forma que permita a identificação dos titulares dos dados por um período não superior ao necessário para os fins para os quais os dados pessoais são processados; os dados pessoais podem ser armazenados por períodos mais longos, desde que os dados pessoais sejam processados apenas para fins de arquivamento de interesse público, para fins de pesquisa científica ou histórica ou para fins estatísticos, sujeitos à implementação das medidas técnicas e organizacionais apropriadas exigidas pelo GDPR para proteger os direitos e as liberdades dos indivíduos (‘limitação de armazenamento’)”
Após a coleta de dados, esses dados devem ser excluídos. Se houver um motivo aceitável para manter as informações, por exemplo, que elas possam ser usadas para interesse público ou pesquisa histórica, a organização deverá definir e justificar um período de retenção.
Integridade e confidencialidade
Artigo 5(1)(f): “Os dados pessoais devem ser processados de forma a garantir a segurança adequada dos dados pessoais, incluindo proteção contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental, usando medidas técnicas ou organizacionais adequadas (‘integridade e confidencialidade’).”
Todas as informações retidas devem ser mantidas em segurança. As organizações devem implementar medidas adequadas de proteção de dados para proteger as informações pessoais. Normalmente, isso exige que a organização conte com ferramentas de segurança de TI.
Responsabilidade
Artigo 5(2): “O controlador deve ser responsável e ser capaz de demonstrar conformidade com [os outros princípios de proteção de dados]”
Isso significa que as organizações devem assumir a responsabilidade pelos dados que retêm e demonstrar conformidade com todos os outros princípios. As organizações devem ser capazes de documentar e comprovar sua adesão a essas práticas.
Isso pode envolver:
- Manter-se atualizado sobre as práticas de proteção de dados
- Criação de um cargo de diretor de proteção de dados (DPO) ou de diretor de conformidade
- Estabelecimento de um inventário de dados pessoais
- Realização de avaliações do impacto da proteção de dados e auditorias de segurança cibernética
NinjaOne e proteção de dados
A escolha das ferramentas certas pode fazer uma grande diferença na criação de umplano de proteção de dados para sua organização.O NinjaOneBackup permite que as organizações protejam seus dados fazendo backup de dados confidenciais para facilitar a recuperação em caso de desastre, ataque cibernético ou até mesmo uma exclusão acidental. Esses dados são armazenados em um armazenamento imutável na nuvem e são criptografados em trânsito e em repouso para impedir o acesso não autorizado e garantir a integridade dos dados. O NinjaOne foi projetado para ajudar as organizações e os provedores de TI a lidar com as complexidades das normas de proteção de dados.
- Backup de imagem completa
- Backup de documentos, arquivos e pastas
- Gerenciamento de endpoints
- Gerenciamento de patches
- Bitdefender Advanced Threat Security
- Defesa abrangente contra ransomware
Crie uma base sólida de proteção de dados. Assista Os princípios fundamentais da proteção de dados agora!
Proteja dados essenciais com backup confiável e seguro baseado na nuvem.
Conclusão
A proteção de dados protege os dados confidenciais contra comprometimento ou corrupção. Embora a implementação do princípio fundamental da proteção de dados possa parecer desafiadora, as organizações que lidam com dados de alto valor devem proteger as informações pessoais que coletam e processam contra o número crescente de ameaças cibernéticas.
Conformidade de TI com as principais leis de proteção de dados e padrões regulatórios reduz a possibilidade de violações de dados e evita que as empresas enfrentem multas e taxas legais caras. Seguir os princípios fundamentais da proteção de dados garante a implementação de medidas de segurança rigorosas e a manutenção da conformidade em regiões ou setores onde isso é necessário. A escolha do gerenciamento de conformidadecorreto soluções e parceiros pode salvar vidas quando se trata de navegar pelas complexas águas da proteção de dados.
