{"id":20998,"date":"2023-04-03T10:28:29","date_gmt":"2023-04-03T13:28:29","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=20998"},"modified":"2023-04-03T10:28:49","modified_gmt":"2023-04-03T13:28:49","slug":"pii-gathering-advice","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/pii-gathering-advice\/20998\/","title":{"rendered":"Como trabalhar com dados pessoais de forma segura"},"content":{"rendered":"<p>Os governos de muitos pa\u00edses est\u00e3o endurecendo as leis que regulam o trabalho com dados pessoais. Ao mesmo tempo, o n\u00famero de vazamentos de dados s\u00f3 cresce ano a ano. Se h\u00e1 cerca de dez anos as perdas financeiras mais graves que uma empresa poderia sofrer tendiam a ser processos judiciais e consequ\u00eancias de danos \u00e0 reputa\u00e7\u00e3o, hoje em dia s\u00e3o as penalidades dos reguladores que podem responder por uma parte significativa dos danos da empresa como resultado de um incidente de perda de dados. Por isso, decidimos publicar uma s\u00e9rie de dicas que ir\u00e3o ajud\u00e1-lo a organizar processos seguros de coleta, armazenamento e transfer\u00eancia de informa\u00e7\u00f5es de identifica\u00e7\u00e3o pessoal em sua empresa.<\/p>\n<h2>Coleta de dados pessoais<\/h2>\n<p>A primeira coisa e a mais importante: colete dados somente se voc\u00ea tiver fundamentos legais suficientes para faz\u00ea-lo. A coleta de dados pode ser formalmente prevista pela lei do pa\u00eds em que sua empresa opera; ou por um contrato com termos que permitem claramente o processamento de PII; ou ainda pelo consentimento expresso do titular de PII em formato eletr\u00f4nico ou em papel. Al\u00e9m disso:<\/p>\n<ul>\n<li>Mantenha provas de seu consentimento obtido para processamento e armazenamento de PII em caso de reivindica\u00e7\u00f5es legais ou inspe\u00e7\u00f5es do regulador;<\/li>\n<li>N\u00e3o recolha dados que n\u00e3o sejam realmente necess\u00e1rios para os seus processos de trabalho (os dados n\u00e3o devem ser recolhidos \u201cpor via das d\u00favidas\u201d);<\/li>\n<li>Se dados que n\u00e3o s\u00e3o necess\u00e1rios para o trabalho forem coletados devido a algum erro ou mal-entendido, exclua-os imediatamente.<\/li>\n<\/ul>\n<h2>Armazenamento de dados pessoais<\/h2>\n<p>Se voc\u00ea coleta dados pessoais, \u00e9 muito importante saber onde eles s\u00e3o armazenados, quem tem acesso a eles e como s\u00e3o processados. Para isso, pode ser necess\u00e1rio criar uma esp\u00e9cie de \u201cmapa\u201d onde est\u00e3o cadastrados todos os processos relacionados a PII. Ent\u00e3o, \u00e9 sensato desenvolver regulamentos r\u00edgidos para o armazenamento e processamento de dados e monitorar constantemente a implementa\u00e7\u00e3o de ambos. Tamb\u00e9m recomendamos o seguinte:<\/p>\n<ul>\n<li>Armazenar PII exclusivamente em m\u00eddia inacess\u00edvel a pessoas de fora;<\/li>\n<li>Limitar o acesso ao PII a um n\u00famero m\u00ednimo de funcion\u00e1rios (deve estar dispon\u00edvel apenas para aqueles que realmente precisam por motivos comerciais);<\/li>\n<li>Excluir prontamente os dados pessoais que n\u00e3o s\u00e3o mais necess\u00e1rios para os processos de trabalho;<\/li>\n<li>Se o fluxo de trabalho exigir o armazenamento de documentos em papel, eles devem ser colocados apenas em locais seguros (por exemplo, cofres com fechadura);<\/li>\n<li>Documentos em papel desnecess\u00e1rios devem ser destru\u00eddos usando trituradores;<\/li>\n<li>Caso os dados n\u00e3o sejam necess\u00e1rios como est\u00e3o, devem ser anonimizados (privados de identificadores \u00fanicos para que, mesmo em caso de vazamento, seja imposs\u00edvel identificar o titular);<\/li>\n<li>Se, devido aos seus processos de trabalho, n\u00e3o for poss\u00edvel anonimizar os dados, eles precisam ser pseudo-anonimizados \u2014 para converter as PII em uma string \u00fanica para que a identifica\u00e7\u00e3o do sujeito seja imposs\u00edvel sem informa\u00e7\u00f5es adicionais;<\/li>\n<li>Evitar o armazenamento de PII em dispositivos de trabalho e unidades externas ou flash (eles podem ser roubados ou perdidos e os dados do computador podem ser acessados por um invasor);<\/li>\n<li>N\u00e3o armazenar ou processar PII reais na infraestrutura de teste;<\/li>\n<li>N\u00e3o usar novos servi\u00e7os para armazenar e processar dados at\u00e9 ter certeza de que eles atendem aos requisitos b\u00e1sicos de seguran\u00e7a.<\/li>\n<\/ul>\n<h2>Transfer\u00eancia de dados pessoais<\/h2>\n<p>Todos os processos relacionados com a transfer\u00eancia de dados pessoais devem ser registados e aprovados pelo departamento de seguran\u00e7a, ou pelo respons\u00e1vel pela prote\u00e7\u00e3o de dados se houver. Todos os funcion\u00e1rios com acesso a IPI devem ter instru\u00e7\u00f5es claras sobre como os dados devem ser tratados em sua empresa, quais servi\u00e7os corporativos ou de terceiros podem ser usados para isso e para quem esses dados podem ser transferidos. Al\u00e9m disso, certifique-se de que:<\/p>\n<ul>\n<li>Subcontratados (por exemplo, servi\u00e7os gerenciados) n\u00e3o tenham acesso com direitos de administrador a sistemas que contenham PII;<\/li>\n<li>O acesso aos dados seja limitado extraterritorialmente (dados de cidad\u00e3os de um pa\u00eds n\u00e3o devem estar dispon\u00edveis de outros pa\u00edses, a menos que a transfer\u00eancia de dados entre fronteiras n\u00e3o seja regulamentada);<\/li>\n<li>Ao transferir PII, a criptografia seja sempre usada (isso \u00e9 especialmente importante ao enviar dados por e-mail);<\/li>\n<li>Ao transferir dados pessoais para organiza\u00e7\u00f5es terceirizadas, um contrato de processamento de dados (DPA) seja assinado;<\/li>\n<li>Voc\u00ea tem o direito legal de transferir PII a terceiros (ou seja, h\u00e1 consentimento claro do titular da PII para isso, ou isso \u00e9 especificado em um contrato ou exigido por lei).<\/li>\n<\/ul>\n<p>Obviamente, nem essas dicas nem regulamentos r\u00edgidos podem excluir a possibilidade de erro humano. Portanto, entre outras coisas, recomendamos a realiza\u00e7\u00e3o peri\u00f3dica de treinamentos de conscientiza\u00e7\u00e3o de seguran\u00e7a. E \u00e9 aconselh\u00e1vel escolher <a href=\"https:\/\/k-asap.com\/pt\/?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">plataformas de aprendizagem<\/a> que tenham li\u00e7\u00f5es relacionadas \u00e0 privacidade e a como trabalhar com dados pessoais especificamente.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kasap\">\n","protected":false},"excerpt":{"rendered":"<p>Como armazenar e processar informa\u00e7\u00f5es de identifica\u00e7\u00e3o pessoal em uma empresa com riscos m\u00ednimos.<\/p>\n","protected":false},"author":2733,"featured_media":20999,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1028,1656],"tags":[347,2441,3124,3126,3125],"class_list":{"0":"post-20998","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-privacy","10":"category-smb","11":"tag-dados-pessoais","12":"tag-identificacao","13":"tag-personal-data","14":"tag-pii","15":"tag-pii-dados-pessoais"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/pii-gathering-advice\/20998\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/pii-gathering-advice\/25450\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/pii-gathering-advice\/20884\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/pii-gathering-advice\/28054\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/pii-gathering-advice\/25746\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/pii-gathering-advice\/26138\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/pii-gathering-advice\/28594\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/pii-gathering-advice\/35409\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/pii-gathering-advice\/47669\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/pii-gathering-advice\/20377\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/pii-gathering-advice\/29958\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/pii-gathering-advice\/26316\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/pii-gathering-advice\/31763\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/pii-gathering-advice\/31450\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/dados-pessoais\/","name":"dados pessoais"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20998","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2733"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=20998"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20998\/revisions"}],"predecessor-version":[{"id":21003,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20998\/revisions\/21003"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/20999"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=20998"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=20998"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=20998"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}