Lorem ipsum dolor sit amet, consectetur adipiscing elit. Mauris tempus leo in nulla bibendum dapibus. Donec ut vestibulum diam. Nullam non efficitur mi. Donec vestibulum cursus convallis. Nam scelerisque quam neque, feugiat dictum turpis maximus ut. Donec iaculis est non ultrices facilisis. Aliquam diam turpis, sodales ut consectetur a, tempus nec nis!. Sed ullamcorper accumsan orci eu rhoncus. Aenean ultrices ut massa vel vestibulum.
Morbi vel commodo ex. Aliquam vehicula, nulla id rhoncus tristique, arcu magna faucibus purus, hendrerit interdum elit erat eu neque. Nulla volutpat mi eget placerat mollis. Praesent pulvinar lectus nec rhoncus maximus. Curabitur eu risus in urna tristique rutrum. Quisque dapibus ac tortor at finibus. In commodo tempor massa, at eleifend ante fringilla a. In eu erat gravida, gravida nisl at, volutpat mi. Praesent quis rhoncus elit, sit amet commodo lectus. Duis elementum massa at elit efficitur, vitae dapibus neque consectetur. Orci varius natoque penatibus et magnis dis parturient montes, nascetur ridiculus mus.
Fusce in ligula eu ex efficitur eleifend. Integer lobortis, est eu porttitor aliquet, justo velit condimentum nunc, vitae luctus massa lorem non tellus. Maecenas blandit tortor at sem congue imperdiet. Aenean vel dictum ipsum. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut fringilla lacinia condimentum. Pellentesque lobortis dictum urna at sollicitudin. Suspendisse lorem erat, condimentum ut vulputate quis, porta imperdiet neque. Praesent malesuada est ac nunc blandit, quis condimentum dui sodales. Proin eleifend metus a sem accumsan blandit.
Le RGPD (Règlement Général sur la Protection des Données) publié en vertu du Règlement (UE) 2016/679 ou Règlement Général sur la Protection des Données (RGPD) et de la Loi Générale sur la Protection des Données Personnelles (LGPD) publiée par le Gouvernement Fédéral Brésilien sous le numéro 13.709, du 14 août 2018., le RGPD prévoit le traitement des données personnelles, y compris sur les supports numériques, par une personne physique ou morale de droit public ou privé, dans le but de protéger les droits fondamentaux de liberté et de vie privée et le libre développement de la personnalité de la personne physique.
Ce site Web est géré par RD2Buzz, qui assume l’obligation de protéger la vie privée du journaliste.
Les informations que nous recevons sont protégées contre toute utilisation et divulgation non autorisées en vertu de dispositions spécifiques de la loi.
La violation de cette loi peut entraîner une responsabilité pénale et/ou civile.
Nous pouvons collecter des informations personnelles vous concernant lorsque vous visitez ce site Web. Généralement, vous
Vous pouvez visiter ce site sans nous dire qui vous êtes, sauf si vous choisissez de fournir cette information.
Sécurité des informations
Les réglementations et législations formées ici réglementent la protection des données personnelles pour les motifs suivants :
I – respect de la vie privée;
II – autodétermination informative;
III – liberté d’expression, d’information, de communication et d’opinion;
IV – l’inviolabilité de l’intimité, de l’honneur et de limage;
V – développement économique et technologique et innovation ;
VI – libre entreprise, libre concurrence et protection des consommateurs; C’est
VII- les droits de l’homme, le libre développement de la personnalité, la dignité et l’exercice de la citoyenneté par les personnes physiques.
Données de visite du site Web
Les informations que nous enregistrons lorsque vous accédez à notre site Web comprennent :
• votre adresse IP ou votre serveur
• la date et l’heure de votre visite sur le site Internet
• les pages ou fichiers auxquels vous avez accédé
• le délai nécessaire pour vous transmettre l’information
• l’adresse Internet précédente à partir de laquelle vous avez été redirigé vers notre site Internet.
Les informations que nous collectons sont analysées pour afficher les liens rompus sur notre site Web, goulots d’étranglement et autres problèmes. Nous utilisons ces informations pour maintenir efficacement le site Web.
Nous pouvons également collecter des informations sur l’appareil informatique que vous utilisez. Ces informations peuvent être utilisées pour vous identifier et nous aider à remplir nos fonctions et activités.
Biscuits
Nous utilisons des cookies pour maintenir le contact avec un utilisateur lors d’une session sur le site Web. Les cookies nous permettent de reconnaître la séquence de connexion des navigateurs lorsqu’ils accèdent à notre site Internet.
Nous utilisons deux types de cookies : les cookies de session et les cookies persistants.
Cookies de session
Ces fichiers ne sont utilisés que lors d’une session de navigation sur notre site Web.
Tous les cookies seront supprimés immédiatement lorsque vous terminerez votre session Internet ou éteindrez votre ordinateur. Notre copie de vos informations sera automatiquement supprimée vingt minutes après votre dernière utilisation de notre système.
Ces informations sont uniquement utilisées pour vous aider à utiliser nos systèmes de site Web plus efficacement, et non pour suivre vos mouvements sur Internet ou pour enregistrer vos informations. personnel.
Cookies persistants
Ces fichiers restent dans l’un des sous-dossiers de votre navigateur jusqu’à ce que vous les supprimiez manuellement ou que votre navigateur les supprime en fonction de la durée contenue dans le fichier cookie persistant (généralement après la fin de la session en cours).
Aucune information personnelle n’est stockée dans les cookies utilisés par notre site Internet. Aucun des tentatives seront faites pour identifier les utilisateurs anonymes ou leurs activités de navigation, à moins que nous soyons légalement tenus de le faire.
Les autres informations
Si, à tout moment, vous pensez que nous n’avons pas respecté les principes mentionnés dans cette déclaration de confidentialité, veuillez nous contacter par e-mail. Toutes les questions peuvent être envoyées à info@rd2buzz.com
Brésil
Le responsable du traitement des données à caractère personnel a pour fonction de servir de canal de communication entre l’institution, les personnes concernées et l’Autorité nationale de protection des données (ANPD).
Responsable
Paulo Bitar
Address
Rua João Antônio de Oliveira, 1228 Torre Avanti Conjunto 143 – Mooca – São Paulo – SP/ Brésil Téléphone +55 (11) 3042-8990 Courriel dpo@rd2buzz.com
Prédiction légale:
LGPD, art. 5ème, VIII
Missions
Article 41, §2, de la LGPD
I – recevoir les réclamations et communications des titulaires, apporter des éclaircissements et prendre des mesures;
II – recevoir les communications de l’autorité nationale et adopter des mesures ;
III – orienter les salariés et sous-traitants de l’entité sur les pratiques à adopter en matière de protection des données personnelles; C’est
IV – exercer d’autres attributions déterminées par le responsable du traitement ou fixées dans des règles complémentaires.
Consulter la LGPD:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
EUROPA
Art. 37 RGPD Désignation du délégué à la protection des données Consulter : https://gdpr-info.eu/art-37-gdpr/
– Californie, Portugal & Brésil
Le droit à la vie privée est un droit constitutionnel et essentiel à la vie en société, qui garantit la sécurité de la vie privée et privée de tout individu, garantie par la loi, et il est chargé de garder notamment tous les événements de la vie d’une personne qui ne rentrent pas dans l’aspect public.
Avec les récents changements, et la facilité de partage de contenus, qu’ils soient sous forme visuelle ou textuelle, ce droit est de plus en plus discuté par la société civile.
Il est nécessaire que la loi suive les nouvelles technologies apparues au cours de la dernière décennie et se mette à jour pour réglementer la réalité dans laquelle nous vivons aujourd’hui.
Il appartient à nous tous chez RD2Buzz et à vous, qui lisez cet article, d’assurer la meilleure forme de conduite en vous protégeant et en ne jamais exposer quoi que ce soit qui pourrait nuire à des tiers.
Ici, nous divulguons les informations que nous collectons et comment nous les utilisons (“Conditions d’utilisation” et “Avis de confidentialité”) afin qu’il y ait plus de clarté sur l’engagement de RD2Buzz envers la sécurité, la confidentialité et l’intégrité de vos données personnelles (“données”) .
*Cette version a été mise à jour pour la dernière fois le XXXXXXXXXX 2023 et RD2Buzz peut la mettre à jour à tout moment, nous vous invitons donc à consulter périodiquement cette section. Les conditions suivent la loi n° 13 709 du 14 août 2018, dite loi générale sur la protection des données personnelles (LGPD).
En utilisant les services RD2Buzz, vous confirmez que vous avez lu, compris et accepté les conditions et politiques applicables et que vous êtes lié par celles-ci.
Il est important de souligner que nos composants sont disponibles sous forme d’APIS, avec la documentation appropriée à intégrer/utiliser par nos Clients et, même si aucune donnée ne nous est envoyée, il est important que nous guidions :
Définitions :
Données personnelles : informations relatives à une personne physique identifiée ou identifiable.
Données personnelles sensibles : données personnelles concernant l’origine raciale ou ethnique, les convictions religieuses, les opinions politiques, l’affiliation syndicale ou à une organisation à caractère religieux, philosophique ou politique, les données relatives à la santé ou à la vie sexuelle, les données génétiques ou biométriques, lorsqu’elles sont liées à une personne physique .
Titulaire : personne physique à laquelle se réfèrent les données personnelles faisant l’objet du traitement.
Utilisateurs (ou utilisateur, pris individuellement) : toutes les personnes physiques qui utilisent les services, qu’elles soient ou non concernées.
Troisièmement : personne ou entité qui ne participe pas directement à un contrat, à un acte juridique ou à une entreprise, ou qui, outre les parties concernées, peut avoir un intérêt dans une procédure judiciaire.
Responsable du traitement : personne physique ou morale, publique ou privée, qui est responsable des décisions concernant le traitement des données personnelles.
Opérateur : personne physique ou morale, publique ou privée, qui traite des données personnelles pour le compte du responsable du traitement.
Responsable : personne désignée par le responsable du traitement et l’opérateur pour servir de canal de communication entre le responsable du traitement, les personnes concernées et l’Autorité nationale de protection des données (ANPD).
Agents de traitement : le contrôleur et l’opérateur.
Autorité nationale de protection des données (ANPD) : organisme de l’administration publique chargé d’assurer, de mettre en œuvre et de contrôler le respect de la présente loi sur l’ensemble du territoire national.
Traitement : toute opération effectuée avec des données personnelles, telle que la collecte, la production, la réception, le classement, l’utilisation, l’accès, la reproduction, la transmission, la distribution, le traitement, l’archivage, le stockage, l’élimination, l’évaluation ou le contrôle des informations, la modification, la communication, le transfert, diffusion ou extraction.
Utilisation partagée des données : communication, diffusion, transfert international, interconnexion de données personnelles ou traitement partagé de bases de données personnelles par des organismes et entités publics dans le respect de leurs compétences légales, ou entre ceux-ci et des entités privées, réciproquement, avec une autorisation spécifique, à un ou plus de modalités de traitement autorisées par ces entités publiques, ou des entités privées.
Base de données : ensemble structuré de données personnelles, établi en un ou plusieurs endroits, sur support électronique ou physique.
Titulaire : personne physique à laquelle se réfèrent les données personnelles faisant l’objet du traitement.
Utilisateurs (ou utilisateur, pris individuellement) : toutes les personnes physiques qui utilisent les services, qu’elles soient ou non concernées.
Troisièmement : personne ou entité qui ne participe pas directement à un contrat, à un acte juridique ou à une entreprise, ou qui, outre les parties concernées, peut avoir un intérêt dans une procédure judiciaire.
Responsable du traitement : personne physique ou morale, publique ou privée, qui est responsable des décisions concernant le traitement des données personnelles.
Opérateur : personne physique ou morale, publique ou privée, qui traite des données personnelles pour le compte du responsable du traitement.
Responsable : personne désignée par le responsable du traitement et l’opérateur pour servir de canal de communication entre le responsable du traitement, les personnes concernées et l’Autorité nationale de protection des données (ANPD).
Agents de traitement : le contrôleur et l’opérateur.
Autorité nationale de protection des données (ANPD) : organisme de l’administration publique chargé d’assurer, de mettre en œuvre et de contrôler le respect de la présente loi sur l’ensemble du territoire national.
Traitement : toute opération effectuée avec des données personnelles, telle que la collecte, la production, la réception, le classement, l’utilisation, l’accès, la reproduction, la transmission, la distribution, le traitement, l’archivage, le stockage, l’élimination, l’évaluation ou le contrôle des informations, la modification, la communication, le transfert, diffusion ou extraction.
Utilisation partagée des données : communication, diffusion, transfert international, interconnexion de données personnelles ou traitement partagé de bases de données personnelles par des organismes et entités publics dans le respect de leurs compétences légales, ou entre ceux-ci et des entités privées, réciproquement, avec une autorisation spécifique, à un ou plus de modalités de traitement autorisées par ces entités publiques, ou des entités privées.
Base de données : ensemble structuré de données personnelles, établi en un ou plusieurs endroits, sur support électronique ou physique.
Codes malveillants : tout programme informatique, ou partie de programme, construit dans l’intention de causer des dommages, d’obtenir des informations non autorisées ou d’interrompre le fonctionnement des systèmes et/ou des réseaux informatiques.
Cookies : sont des fichiers stockés sur les ordinateurs ou les appareils mobiles des utilisateurs lors de l’accès à une page Web qui stocke et récupère des informations relatives à leur navigation.
Confidentialité : garantie que les informations ne sont accessibles qu’aux personnes autorisées. Intégrité : garantie de l’exactitude et de l’exhaustivité des informations et des modalités de leur traitement.
Sécurité de l’information : ensemble de pratiques et de méthodes visant à préserver la confidentialité, l’intégrité et la disponibilité des informations.
Anonymisation : utilisation de moyens techniques raisonnables disponibles au moment du traitement, par lesquels les données perdent la possibilité d’association directe ou indirecte avec une personne.
Données anonymisées : données relatives à un titulaire qui ne peut être identifié, compte tenu de l’utilisation de moyens techniques raisonnables disponibles au moment du traitement.
Violation des données personnelles : violation de la sécurité qui entraîne, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé aux données personnelles transmises, stockées ou soumises à tout autre type de traitement.
Législation:
Loi n° 13 709 du 14 août 2018 : Loi générale sur la protection des données personnelles (Lei Geral de Proteção de Dados Pessoais – LGPD) ;
Loi n° 12 965 du 23 avril 2014 (Marco Civil da Internet) : établit les principes, garanties, droits et devoirs pour l’utilisation d’Internet au Brésil.
La Health Insurance Portability and Accountability Act de 1996 (HIPAA) et les réglementations émises en vertu de la HIPAA sont un ensemble de lois américaines sur la santé qui établissent des exigences pour l’utilisation, la divulgation et la protection des informations de santé identifiables individuellement. La portée de la HIPAA a été étendue avec la promulgation de la loi sur les technologies de l’information sur la santé pour la santé économique et clinique (HITECH) en 2009.
HIPAA s’applique aux entités couvertes (en particulier, les prestataires de soins de santé, les plans de santé et les compensations de santé) qui créent, reçoivent, maintiennent, transmettent ou accèdent aux informations de santé protégées (PHI) des patients. HIPAA s’applique en outre aux associés commerciaux des entités couvertes qui exercent certaines fonctions ou activités impliquant des RPS dans le cadre de la fourniture de services à l’entité couverte ou au nom de l’entité couverte.
Lorsqu’une entité couverte engage les services d’un fournisseur de services cloud, le fournisseur de services cloud serait un associé commercial en vertu de la loi HIPAA. De plus, lorsqu’une entreprise associée sous-traite avec un fournisseur de services cloud pour créer, recevoir, maintenir ou transmettre des PHI, le fournisseur de services cloud devient également un associé commercial.
Les réglementations HIPAA exigent que les entités couvertes (définies par les Règles) concluent des accords avec des associés commerciaux pour s’assurer que les PHI sont correctement protégés. Cet accord s’appelle l’accord d’association commerciale. Entre autres choses, un accord d’associé commercial énonce les utilisations et les divulgations autorisées et requises par l’associé commercial des RPS en fonction de la relation entre les parties et des activités ou services exécutés par l’associé commercial. Pour soutenir la conformité HIPAA de nos clients lors de l’utilisation de produits et services commerciaux de fournisseurs de cloud, qui concluront des accords d’association commerciale avec leur entité couverte et leurs clients commerciaux associés.
Qu’est-ce que Hitrust ?
Le cadre de sécurité commun (CSF) de la Health Information Trust Alliance (HITRUST), selon ses propres termes, « est un cadre certifiable qui fournit aux organisations une approche complète, flexible et efficace de la conformité réglementaire et de la gestion des risques. Développé en collaboration avec des professionnels de la santé et de la sécurité de l’information, le HITRUST CSF rationalise les réglementations et les normes de santé dans un cadre de sécurité complet.
Le HITRUST CSF unifie les contrôles de sécurité des lois fédérales (telles que HIPAA et HITECH), des lois d’État (telles que les normes du Massachusetts pour la protection des informations personnelles des résidents du Commonwealth) et des cadres non gouvernementaux (tels que le Conseil des normes de sécurité PCI ) en une structure unique, personnalisée en fonction des besoins du domaine de la santé.
Voir : https://www.hhs.gov/hipaa/index.html
BRÉSIL
Que traite la Loi Générale sur la Protection des Données Personnelles – LGPD ?
La loi générale sur la protection des données – LGPD (loi n. 13.709, de 2018), prévoit le traitement des données personnelles des personnes physiques, définissant les hypothèses dans lesquelles ces données peuvent légitimement être utilisées par des tiers et établissant des mécanismes pour protéger les données des personnes concernées contre les utilisations inappropriées.
La LGPD est applicable aux données des personnes physiques et doit être respectée par les personnes physiques et les entités publiques ou privées, quel que soit le pays de leur siège social ou le lieu où se trouvent les données, qui effectuent toute opération de traitement de données personnelles, telles que la collecte, le stockage et le partage de données avec des tiers, à condition que ce traitement (i) soit effectué sur le territoire national, (ii) ait pour objet l’offre ou la fourniture de biens ou de services ou le traitement de données de personnes situées sur le territoire national, ou, encore, (iii) lorsque les données personnelles ont été collectées sur le territoire national.
Comment la législation sur la protection des données personnelles peut-elle aider le Brésil ?
La LGPD vise à protéger les droits fondamentaux liés à la sphère informationnelle du citoyen. Ainsi, la loi introduit une série de nouveaux droits qui garantissent une plus grande transparence concernant le traitement des données et donnent au titulaire un rôle principal quant à son utilisation.
L’approbation de la LGPD et la création de l’Autorité nationale de protection des données – ANPD représentent également des étapes importantes pour placer le Brésil au même niveau que de nombreux autres pays qui ont déjà approuvé des lois et des structures institutionnelles de cette nature.
La constitution d’un environnement juridique axé sur la protection des données personnelles correspond également à l’alignement sur les lignes directrices de l’Organisation de coopération et de développement économiques – OCDE, qui depuis des décennies joue un rôle important dans la promotion du respect de la vie privée en tant que valeur fondamentale et comme hypothèse pour la libre circulation des données.
Enfin, du point de vue des agents de traitement des données, qu’il s’agisse des entreprises ou de l’administration elle-même, la LGPD offre l’opportunité d’améliorer les politiques de gouvernance des données, avec l’adoption de règles de bonnes pratiques et l’incorporation de mesures techniques et administratives. qui atténuent les risques et renforcent la confiance des personnes concernées dans l’organisation.
Quand la LGPD est-elle entrée en vigueur ?
La loi est entrée en vigueur de manière échelonnée :
· Le 28 décembre 2018, au regard des art. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58- A et 58-B, qui portent sur la constitution de l’Autorité Nationale de Protection des Données – ANPD et du Conseil National de la Protection des Données Personnelles et de la Vie Privée – CNPDPP.
· Le 18 septembre 2020, concernant les autres articles de la loi, à l’exception des dispositions relatives à l’application des sanctions administratives ;
· Le 1er août 2021, concernant les art. 52. 53 et 54, qui traitent des sanctions administratives.
Avec la LGPD, comment se porte le Registre Positif ?
Comme il s’agit d’une loi générale, les règles du Code de protection des consommateurs (loi n° 8078/90) pour le traitement des données négatives et la loi sur l’enregistrement positif (loi n° 12414/2011) pour le traitement des données positives.
À l’article 7, point X, de la LGPD, le législateur mentionne expressément que le traitement des données à caractère personnel peut être effectué à des fins de « protection du crédit ». Dans le même poste, il reconnaît les dispositions existantes dans la législation pertinente, incluant ainsi les lois qui traitent spécifiquement du crédit.
Qu’est-ce que le traitement des données personnelles, selon la LGPD ?
Selon la LGPD, le traitement des données personnelles est toute opération effectuée avec des données personnelles, telles que celles se référant à la collecte, la production, la réception, la classification, l’utilisation, l’accès, la reproduction, la transmission, la distribution, le traitement, l’archivage, le stockage, l’élimination, évaluation ou contrôle, modification, communication, transfert, diffusion ou extraction de l’information.
Que sont les données personnelles ?
La LGPD adopte une conception ouverte des données personnelles, définies comme des informations relatives à une personne physique identifiée ou identifiable.
Ainsi, en plus des informations de base liées au nom, au numéro d’inscription au Registre Général (RG) ou au Fichier National des Impôts (CPF) et à l’adresse de résidence, d’autres données permettant l’identification d’un individu sont également considérées comme des données personnelles, tels que l’orientation sexuelle, l’affiliation à un parti politique, les antécédents médicaux et aussi ceux se référant aux aspects biométriques de l’individu.
Selon la LGPD, celles utilisées pour former le profil comportemental d’une certaine personne physique, si elle est identifiée, peuvent également être considérées comme des données personnelles.
La LGPD adopte une conception ouverte des données personnelles, définies comme des informations relatives à une personne physique identifiée ou identifiable.
Ainsi, en plus des informations de base liées au nom, au numéro d’inscription au Registre Général (RG) ou au Fichier National des Contribuables (CPF) et à l’adresse de résidence, d’autres
Avec la LGPD, comment se porte le Registre Positif ?
Comme il s’agit d’une loi générale, les règles du Code de protection des consommateurs (loi n° 8078/90) pour le traitement des données négatives et la loi sur l’enregistrement positif (loi n° 12414/2011) pour le traitement des données positives.
À l’article 7, point X, de la LGPD, le législateur mentionne expressément que le traitement des données à caractère personnel peut être effectué à des fins de « protection du crédit ». Dans le même poste, il reconnaît les dispositions existantes dans la législation pertinente, incluant ainsi les lois qui traitent spécifiquement du crédit.
Qu’est-ce que le traitement des données personnelles, selon la LGPD ?
Selon la LGPD, le traitement des données personnelles est toute opération effectuée avec des données personnelles, telles que celles se référant à la collecte, la production, la réception, la classification, l’utilisation, l’accès, la reproduction, la transmission, la distribution, le traitement, l’archivage, le stockage, l’élimination, évaluation ou contrôle, modification, communication, transfert, diffusion ou extraction de l’information.
Que sont les données personnelles ?
La LGPD adopte une conception ouverte des données personnelles, définies comme des informations relatives à une personne physique identifiée ou identifiable.
Ainsi, en plus des informations de base liées au nom, au numéro d’inscription au Registre Général (RG) ou au Fichier National des Impôts (CPF) et à l’adresse de résidence, d’autres données permettant l’identification d’un individu sont également considérées comme des données personnelles, tels que l’orientation sexuelle, l’affiliation à un parti politique, les antécédents médicaux et aussi ceux se référant aux aspects biométriques de l’individu.
Selon la LGPD, celles utilisées pour former le profil comportemental d’une certaine personne physique, si elle est identifiée, peuvent également être considérées comme des données personnelles.
La LGPD adopte une conception ouverte des données personnelles, définies comme des informations relatives à une personne physique identifiée ou identifiable.
Ainsi, en plus des informations de base liées au nom, au numéro d’inscription au Registre Général (RG) ou au Fichier National des Impôts (CPF) et à l’adresse de résidence, d’autres données permettant l’identification d’un individu sont également considérées comme des données personnelles, tels que l’orientation sexuelle, l’affiliation à un parti politique, les antécédents médicaux et aussi ceux se référant aux aspects biométriques de l’individu.
Selon la LGPD, celles utilisées pour former le profil comportemental d’une certaine personne physique, si elle est identifiée, peuvent également être considérées comme des données personnelles.
Qu’est-ce qu’une donnée personnelle sensible ?
Les données personnelles sensibles sont celles auxquelles la LGPD a accordé une protection encore plus grande, car elles sont directement liées aux aspects les plus intimes de la personnalité d’un individu.
Ainsi, les données personnelles sensibles sont celles liées à l’origine raciale ou ethnique, à la conviction religieuse, à l’opinion politique, à l’appartenance syndicale ou à une organisation à caractère religieux, philosophique ou politique, les données relatives à la santé ou à la vie sexuelle, les données génétiques ou biométriques, lorsqu’elles sont liées à un individuel.
A propos des données considérées comme sensibles, qu’en est-il de la question des données biométriques ?
La LGPD classe les données biométriques parmi les données personnelles sensibles, apportant encore plus de rigueur dans les critères applicables à leur traitement. Dans ces cas, le traitement peut être effectué sans le consentement du titulaire lorsqu’il s’agit d’hypothèses qui incluent le respect d’une obligation légale ou réglementaire et la prévention de la fraude et la sécurité du titulaire, entre autres.
Quelles données sont protégées par la LGPD ?
La LGPD garantit la protection de toutes les données dont les titulaires sont des personnes physiques, que ce soit au format physique ou numérique. Ainsi, la LGPD n’atteint pas les données détenues par des personnes morales – qui ne sont pas considérées comme des données personnelles aux fins de la loi.
Dans quels cas les données personnelles peuvent-elles être traitées ?
Avec l’entrée en vigueur de la LGPD, le traitement des données personnelles peut être effectué lorsque l’une des hypothèses prévues à son article 7 est vérifiée ou, dans le cas de données personnelles sensibles, l’une des hypothèses prévues à l’article 11 dix bases juridiques distinctes pour le traitement des données personnelles et huit bases juridiques qui légitiment le traitement des données personnelles sensibles.
Il convient de noter que la LGPD s’applique également aux données dont l’accès est public et à celles rendues manifestement publiques par les titulaires, garantissant le respect des principes généraux et des droits des titulaires prévus par la loi.
Quelles sont les bases légales du traitement des données personnelles ?
Le traitement des données personnelles (non sensibles) peut être effectué dans l’un des cas suivants, prévus à l’art. 7 de la LGPD :
· Dès l’obtention du consentement du titulaire ;
· Pour le respect d’une obligation légale ou réglementaire par le responsable du traitement ;
· Pour l’exécution des politiques publiques, par l’administration publique ;
· Réaliser des études par organisme de recherche ;
· Pour l’exécution d’un contrat ou de procédures préliminaires liées à un contrat auquel la personne concernée est partie, à la demande de la personne concernée ;
· Pour l’exercice régulier des droits dans les procédures judiciaires, administratives ou arbitrales ;
· Pour la protection de la vie ou de la sécurité physique du titulaire ou d’un tiers ;
· Pour la protection de la santé, exclusivement, dans une procédure effectuée par des professionnels de la santé, des services de santé ou des autorités sanitaires ;
· Pour répondre aux intérêts légitimes du responsable du traitement ou d’un tiers, sauf dans le cas où prévalent les libertés et droits fondamentaux du titulaire qui nécessitent la protection des données personnelles ;
· Pour la protection du crédit.
Quels sont les droits des citoyens avec l’entrée en vigueur de la LGPD ?
La LGPD prévoit un large éventail de droits pour les personnes concernées, parmi lesquels on peut citer les suivants :
· un accès facilité aux informations sur le traitement de vos données, qui doivent être mises à disposition de manière claire, adéquate et visible ;
· confirmation de l’existence du traitement ;
· accès aux données ;
· correction de données incomplètes, inexactes ou périmées ;
· anonymisation, blocage ou suppression de données inutiles, excessives ou traitées en violation des dispositions de la présente loi ;
· portabilité des données à un autre fournisseur de services ou de produits, sur demande expresse, conformément aux réglementations de l’autorité nationale, dans le respect des secrets commerciaux et industriels ;
· suppression des données personnelles traitées avec le consentement du titulaire, sauf dans les cas prévus à l’art. 16 de la LGPD ;
· des informations sur les entités publiques et privées avec lesquelles le responsable du traitement a partagé des données ;
· des informations sur la possibilité de ne pas donner son consentement et sur les conséquences du refus ;
· révocation du consentement, sur manifestation expresse du titulaire, par une procédure libre et facilitée ;
· pétition concernant vos données contre le responsable du traitement, devant l’autorité nationale et devant les organismes de protection des consommateurs ;
· opposition à un traitement effectué sur la base d’une des hypothèses de renonciation au consentement, en cas de non-respect des dispositions de la LGPD ;
· demander une révision des décisions prises uniquement sur la base d’un traitement automatisé de données à caractère personnel qui affectent vos intérêts, y compris les décisions visant à définir votre profil personnel, professionnel, de consommation et de crédit ou des aspects de votre personnalité ; C’est
· fourniture, sur demande, d’informations claires et appropriées concernant les critères et procédures utilisés pour la prise de décision automatisée, le respect des secrets commerciaux et industriels.
Quels sont les droits des citoyens avec l’entrée en vigueur de la LGPD ?
La LGPD prévoit un large éventail de droits pour les personnes concernées, parmi lesquels on peut citer les suivants :
· un accès facilité aux informations sur le traitement de vos données, qui doivent être mises à disposition de manière claire, adéquate et visible ;
· confirmation de l’existence du traitement ;
· accès aux données ;
· correction de données incomplètes, inexactes ou périmées ;
· anonymisation, blocage ou suppression de données inutiles, excessives ou traitées en violation des dispositions de la présente loi ;
· portabilité des données à un autre fournisseur de services ou de produits, sur demande expresse, conformément aux réglementations de l’autorité nationale, dans le respect des secrets commerciaux et industriels ;
· suppression des données personnelles traitées avec le consentement du titulaire, sauf dans les cas prévus à l’art. 16 de la LGPD ;
· des informations sur les entités publiques et privées avec lesquelles le responsable du traitement a partagé des données ;
· des informations sur la possibilité de ne pas donner son consentement et sur les conséquences du refus ;
· révocation du consentement, sur manifestation expresse du titulaire, par une procédure libre et facilitée ;
· pétition concernant vos données contre le responsable du traitement, devant l’autorité nationale et devant les organismes de protection des consommateurs ;
· opposition à un traitement effectué sur la base d’une des hypothèses de renonciation au consentement, en cas de non-respect des dispositions de la LGPD ;
· demander une révision des décisions prises uniquement sur la base d’un traitement automatisé de données à caractère personnel qui affectent vos intérêts, y compris les décisions visant à définir votre profil personnel, professionnel, de consommation et de crédit ou des aspects de votre personnalité ; C’est
· fourniture, sur demande, d’informations claires et appropriées concernant les critères et procédures utilisés pour la prise de décision automatisée, le respect des secrets commerciaux et industriels.
Que doivent faire les entreprises et le gouvernement pour se conformer?
La LGPD établit une série de mesures qui doivent être adoptées par les agents de traitement, parmi lesquelles l’identification des bases juridiques qui justifient les activités de traitement de données ; l’adoption de processus et de politiques internes garantissant le respect des règles de protection des données personnelles ; et la mise en place d’un canal de contact avec les détenteurs de données personnelles.
La loi stipule que les responsables du traitement des données doivent nommer une personne responsable pour servir de canal de communication entre le responsable du traitement, les personnes concernées et l’ANPD. Dans certaines circonstances, en fonction de la nature et de la taille de l’entité ou du volume des opérations de traitement de données, l’ANPD peut établir des hypothèses de dispense de la nécessité de son indication.
Nous n’avons toujours rien selon ce que demande le LGPD. Ce qu’il faut faire?
Il est important de se rappeler que les données personnelles imprègnent toute l’organisation, de sorte que le succès de ce travail dépendra de l’effort et de l’implication de chacun. Les premières étapes doivent impliquer la direction de l’entreprise et être consciente de la nécessité de se conformer, afin d’avoir un sponsor fort, afin de former une équipe multidisciplinaire qui implique plusieurs domaines, tels que la conformité, la technologie, la sécurité et la gouvernance, le juridique et les ressources humains.
Quel est le profil souhaité pour le Superviseur (DPO) ?
La désignation du titulaire doit être basée sur les qualités professionnelles du candidat, notamment dans ses connaissances juridiques et réglementaires, en technologie et sécurité de l’information, en leadership organisationnel, en sensibilisation/éducateur, et aussi, avec des connaissances en gouvernance. Plus les activités de traitement de données réalisées par l’organisation sont complexes, plus le niveau de connaissances techniques du Responsable du Traitement des Données Personnelles (DPO) est élevé.
Quelle est l’implication du domaine informatique dans le projet d’adéquation ?
La participation du secteur informatique est très importante dans le processus de mise en conformité, car elle est impliquée depuis la prise en charge de la disponibilité des systèmes qui prennent en charge les exigences de confidentialité jusqu’à la garantie que les outils, processus et bonnes pratiques de sécurité de l’information sont en place et conformes.
Ce domaine bénéficie d’une participation large et complète puisque la loi précise que les entreprises doivent adopter des mesures techniques et administratives pour assurer la protection de leurs données personnelles. Cependant, l’implication de tous les domaines est essentielle, en particulier les domaines juridique, de la conformité et des affaires.
En quoi consiste concrètement le métier de chef de chantier (DPO) ?
Le responsable jouera un rôle fondamental dans les décisions stratégiques des organisations et devra avoir une autonomie sur les activités impliquant tout type de traitement de données, en plus d’avoir un contact direct avec la direction de l’entreprise, prenant des décisions conformes à la loi.
Comme le LGPD le traite à l’article 41, le DPO/Responsable doit avoir les attributions suivantes :
· recevoir les réclamations et communications des titulaires, fournir des éclaircissements et adopter des mesures ;
· recevoir les communications de l’autorité nationale et agir ;
· guider les employés et sous-traitants de l’entité sur les pratiques à adopter en matière de protection des données personnelles ;
· effectuer d’autres attributions déterminées par le responsable du traitement ou établies dans des règles complémentaires.
En plus de ces attributions, l’ANPD, Autorité Nationale de Protection des Données, peut établir des règles complémentaires sur la définition et les attributions du responsable.
Quelle est l’implication du domaine informatique dans le projet d’adéquation ?
La participation du secteur informatique est très importante dans le processus de mise en conformité, car elle est impliquée depuis la prise en charge de la disponibilité des systèmes qui prennent en charge les exigences de confidentialité jusqu’à la garantie que les outils, processus et bonnes pratiques de sécurité de l’information sont en place et conformes.
Ce domaine bénéficie d’une participation large et complète puisque la loi précise que les entreprises doivent adopter des mesures techniques et administratives pour assurer la protection de leurs données personnelles. Cependant, l’implication de tous les domaines est essentielle, en particulier les domaines juridique, de la conformité et des affaires.
Quelle est l’importance de la technologie pour la mise en œuvre de la LGPD ?
Le processus de mise en conformité avec la LGPD doit passer par des personnes, des domaines, des processus, des systèmes, des partenaires juridiques et technologiques. En raison de toutes ces variables impliquées, nous comprenons que la technologie fait une différence et qu’elle est importante, car, selon la taille et le niveau de complexité d’une organisation, gérer toutes ces entités conformément aux exigences de la loi sans outil de gestion qui peut agréger, enregistrer et contrôler toutes ces demandes peut devenir un projet extrêmement difficile.
Selon l’art. 49 de la loi, les systèmes utilisés pour le traitement des données personnelles doivent être structurés de manière à répondre aux exigences de sécurité, aux normes de bonnes pratiques et de gouvernance et aux principes généraux prévus par la présente loi et d’autres normes réglementaires.
Qu’est-ce que le Data Mapping et comment le faire ?
Le Data Mapping consiste à relever, par l’intermédiaire de la structure de l’organisation, de ressources propres ou auprès d’une société spécialisée, tous les éléments associés aux données personnelles. Avec ces informations, un inventaire est créé, qui peut être essentiellement de quatre types :
· Tables actives ou bases de données entières, applications qui conservent des données non électroniques ou des fichiers physiques ;
· Fournisseurs de systèmes avec lesquels les données personnelles sont partagées, comme un CRM dans le cloud ;
· Processus ou activités qui manipulent d’une manière ou d’une autre des informations personnelles ;
· Des sociétés partenaires traitent également des données personnelles sous notre responsabilité.
Après avoir défini ce qui sera inventorié, l’étape suivante consiste à le cartographier à travers un processus itératif et incrémental. C’est-à-dire qu’il est intéressant de commencer à cartographier ce qui est connu, car, dès le départ, il est déjà possible de prendre conscience des lacunes et des risques éventuels encourus.
Le formulaire de consentement peut-il être écrit ou numérique ? Dans le cas du numérique, y a-t-il une règle à suivre ?
Le délai de consentement peut être acquis à la fois physique et numérique, mais il doit l’être, comme indiqué à l’art. 8, “par écrit ou par tout autre moyen qui démontre l’expression de la volonté du titulaire”. A l’instar du RGPD, la loi générale sur la protection des données apporte le souci de limiter la conservation des données au seul strict nécessaire à leur traitement.
Dans la loi, il n’y a pas de période fixe pour la conservation des données traitées, mais elle établit, dans son art. 16, que « les données personnelles seront éliminées après la fin de leur traitement, dans le cadre et les limites techniques des activités ». Il est observé, par conséquent, que la durée de conservation des données dans la LGPD est conditionnée à la finalité déclarée par le responsable du traitement, et qu’une fois utilisées, elles doivent être supprimées de leurs serveurs.
Qu’est-ce que l’Autorité Nationale de Protection des Données Personnelles – ANPD ?
L’ANPD est l’organisme de l’administration publique fédérale chargé d’assurer la protection des données personnelles et de mettre en œuvre et de superviser le respect de la LGPD au Brésil.
Voir : https://www.gov.br/anpd/pt-br
Quel est le rôle de l’Autorité Nationale de Protection des Données – ANPD ?
La mission institutionnelle de l’ANPD est d’assurer le respect le plus large et le plus correct de la LGPD au Brésil et, dans cette mesure, de garantir la protection des droits fondamentaux à la liberté, à la vie privée et au libre développement de la personnalité des individus.
L’article 55-J de la LGPD établit les principaux pouvoirs de l’ANPD, parmi lesquels se distinguent les suivants :
· élaborer des lignes directrices pour la Politique Nationale de Protection des Données Personnelles et de la Vie Privée ;
· surveiller et appliquer des sanctions en cas de traitement de données effectué en violation de la législation, à travers un processus administratif qui assure la défense contradictoire et ample et le droit d’appel ;
· sensibiliser la population aux normes et politiques publiques en matière de protection des données personnelles et aux mesures de sécurité ;
· encourager l’adoption de normes de services et de produits qui facilitent l’exercice du contrôle des titulaires sur leurs données personnelles, qui devraient tenir compte des spécificités des activités et de la taille des responsables ;
· promouvoir des actions de coopération avec les autorités de protection des données personnelles d’autres pays, qu’elles soient de nature internationale ou transnationale ;
· éditer les règlements et procédures sur la protection des données personnelles et la vie privée, ainsi que sur les rapports sur l’impact de la protection des données personnelles pour les cas dans lesquels le traitement présente un risque élevé pour la garantie des principes généraux de protection des données personnelles prévus dans le présent Loi;
· écouter les agents de traitement et la société sur les questions d’intérêt pertinent et rendre compte de leurs activités et de leur planification ;
· modifier des règles, des lignes directrices et des procédures simplifiées et différenciées, y compris des délais, afin que les micro et petites entreprises, ainsi que les initiatives commerciales de nature incrémentale ou perturbatrice qui se déclarent startups ou entreprises innovantes, puissent s’adapter à la loi ;
· délibérer, dans le domaine administratif, à titre définitif, sur l’interprétation de la LGPD, ses compétences et omissions ;
· s’articuler avec les autorités publiques de régulation pour exercer leurs pouvoirs dans des secteurs spécifiques d’activités économiques et gouvernementales soumis à régulation ; C’est
· Mettre en place des mécanismes simplifiés, y compris des moyens électroniques, pour enregistrer les plaintes concernant le traitement des données personnelles en violation de la présente loi.
Quand l’ANPD a-t-elle été créée ?
L’ANPD a été créée par la mesure provisoire n. 869, du 27 décembre 2018, ultérieurement convertie en loi n. 13 853, du 14 août 2019.
À son tour, le décret 10.474 du 26 août 2020 a approuvé la structure réglementaire et le tableau démonstratif des postes dans les commissions et les fonctions de confiance de l’ANPD, avec entrée en vigueur à la date de publication de la nomination du directeur-président de l’ANPD. ANPD au Journal officiel fédéral.
Quelle est la structure de l’ANPD ?
Conformément à l’art. 55-C de la LGPD et art. 3 du décret 10.474/20, l’ANPD a la composition suivante :
· Conseil d’administration, organe suprême de direction, composé de cinq administrateurs, dont le directeur général ;
· Conseil national pour la protection des données personnelles et de la vie privée, organe consultatif composé de 23 représentants des organismes publics, de la société civile, de la communauté scientifique, du secteur productif et commercial et du secteur du travail.
· Organes d’assistance directe et immédiate au Conseil d’Administration :
a) Secrétariat général ;
b) Coordination Générale de l’Administration ; C’est
c) Coordination Générale des Relations Institutionnelles et Internationales ;
· Organes de section :
a) Affaires intérieures ;
b) Médiateur ; C’est
c) Conseils juridiques ; C’est
· Organismes spécifiques singuliers :
a) Coordination générale de la normalisation ;
b) Coordination de l’Inspection Générale ; C’est
c) Coordination générale de la technologie et de la recherche.
Voir : https://www.gov.br/anpd/pt-br/acesso-a-informacao/institucional/estrutura-organizacional-1
L’ANPD est-elle une autorité indépendante ?
Bien qu’étant un organe de l’administration publique fédérale directe, l’ANPD présente certaines caractéristiques institutionnelles qui lui confèrent une plus grande indépendance, telles que l’autonomie technique et décisionnelle et le mandat fixe des directeurs.
La LGPD prévoit également que la nature juridique de l’ANPD est transitoire et peut être transformée par le pouvoir exécutif en une entité indirecte de l’administration publique fédérale, soumise à un régime spécial d’autarcie et liée à la Présidence de la République. Cette évaluation doit avoir lieu dans un délai de 2 (deux) ans à compter de la date d’entrée en vigueur de la structure réglementaire de l’ANPD.
L’ANPD peut-elle appliquer des sanctions en cas de non-respect de la loi ?
Il convient de rappeler, en premier lieu, que les dispositions de la LGPD relatives aux sanctions administratives n’entreront en vigueur que le 1er août 2021. Après cette date, l’ANPD pourra appliquer, après une procédure administrative permettant une pleine défense, les sanctions administratives suivantes :
· avertissement indiquant le délai d’adoption des mesures correctives ;
· amende simple pouvant aller jusqu’à 2% (deux pour cent) de la facturation de la personne morale privée, du groupe ou du conglomérat au Brésil au cours de son dernier exercice financier, hors taxes, limitée au total à 50 000 000,00 R$ (cinquante millions de reais) par infraction ;
· amende journalière, dans la limite du montant total visé au point II ;
· la publication de l’infraction après que sa survenance a été dûment recherchée et confirmée ;
· blocage des données personnelles visées par l’infraction jusqu’à sa régularisation ;
· suppression des données personnelles auxquelles se rapporte l’infraction ;
· suspension partielle du fonctionnement de la base de données à laquelle se réfère l’infraction pour une durée maximale de 6 (six) mois, prorogeable pour une durée égale, jusqu’à ce que l’activité de traitement soit régularisée par le responsable du traitement ;
· Suspension de l’activité de traitement de données à caractère personnel visée par l’infraction pour une durée maximale de 6 (six) mois, prorogeable pour une durée égale ; C’est
· interdiction partielle ou totale d’exercer des activités liées au traitement des données.
L’ANPD travaille-t-elle avec d’autres entités et organismes publics dans l’exercice de ses compétences ?
Oui. L’ANPD doit se coordonner avec d’autres entités et organismes publics afin d’assurer l’accomplissement de sa mission institutionnelle, agissant comme un organe central pour interpréter la LGPD et établir des normes et des lignes directrices pour sa mise en œuvre.
La LGPD détermine, par exemple, que l’ANPD et les organismes et entités publics chargés de réglementer des secteurs spécifiques de l’activité économique et gouvernementale doivent coordonner leurs activités, dans les domaines d’action correspondants, en vue d’assurer l’accomplissement de leurs attributions avec le le plus grand soin possible. l’efficacité et favoriser le bon fonctionnement des secteurs réglementés. De même, la LGPD détermine que l’ANPD doit communiquer aux autorités compétentes les infractions pénales dont elle a connaissance.
Il est important de noter que l’application des sanctions prévues par la LGPD relève de la responsabilité exclusive de l’ANPD et que ses pouvoirs prévaudront, en matière de protection des données personnelles, sur les pouvoirs connexes d’autres entités ou organes de l’administration publique. .
Quel est le profil des directeurs de l’ANPD ? Comment sont-ils choisis ?
Le LGPD détermine que le Conseil d’Administration de l’ANPD sera composé de 5 (cinq) administrateurs, dont le Directeur Général. Les membres sont choisis par le Président de la République et nommés par lui, après approbation par le Sénat fédéral, et doivent être choisis parmi les Brésiliens qui ont une réputation sans tache, un niveau d’éducation supérieur et une haute réputation dans le domaine de spécialité de la postes auxquels ils seront nommés.
La durée du mandat des membres du Conseil d’Administration sera de 4 (quatre) ans. Afin de s’assurer que ces mandats ne coïncident pas (c’est-à-dire qu’ils se terminent dans des années différentes), les mandats des premiers membres nommés du Conseil d’administration seront de 2 (deux), 3 (trois), 4 (quatre) , 5 (cinq) et 6 (six) ans, comme établi dans l’acte de nomination.
A quoi sert le Conseil National de la Protection des Données Personnelles et de la Vie Privée – CNPDPP ?
Le Conseil national pour la protection des données personnelles et de la vie privée est une entité consultative qui permet la participation de différents segments sociaux à l’élaboration de l’environnement réglementaire pour la protection des données personnelles. Ses missions principales sont :
· proposer des orientations stratégiques et octroyer des subventions pour l’élaboration de la Politique Nationale de Protection des Données Personnelles et de la Vie Privée et pour l’exécution de l’ANPD ;
· préparer des rapports annuels évaluant la mise en œuvre des actions de la Politique Nationale de Protection des Données Personnelles et de la Vie Privée ;
· proposer des actions à mener par l’ANPD ;
· préparer des études et organiser des débats et auditions publiques sur la protection des données personnelles et de la vie privée ; C’est
· diffuser les connaissances sur la protection des données personnelles et de la vie privée auprès de la population.
La participation au Conseil National de la Protection des Données Personnelles et de la Vie Privée sera considérée comme un service public pertinent et non rémunéré.
Comment seront choisis les membres du CNPDPP ?
Le CNPDPP est composé de vingt-trois représentants, titulaires et suppléants, des organes et entités suivants :
· 5 (cinq) du Pouvoir Exécutif fédéral ;
· 1 (un) du Sénat fédéral ;
· 1 (un) de la Chambre des Députés ;
· 1 (un) du Conseil National de la Justice ;
· 1 (un) du Conseil National du Ministère Public ;
· 1 (un) du Comité directeur brésilien de l’Internet ;
· 3 (trois) d’entités de la société civile ayant des activités liées à la protection des données personnelles ;
· 3 (trois) issus d’institutions scientifiques, technologiques et d’innovation ;
· 3 (trois) confédérations syndicales représentatives des catégories économiques du secteur productif ;
· 2 (deux) entités représentatives du secteur d’activité lié au domaine du traitement des données personnelles ; C’est
· 2 (deux) des entités représentatives du secteur du travail.
Les membres du CNPDPP et leurs suppléants seront nommés par le Président de la République.
Les nominations des membres représentant les organes du pouvoir exécutif, du pouvoir législatif, du Conseil national de la justice, du Conseil national du ministère public et du Comité de gestion d’Internet au Brésil doivent être soumises par les titulaires des organes au ministre d’État. Chef de la Maison Civile de la Présidence de la République.
Les autres candidatures peuvent être librement soumises au conseil d’administration de l’ANPD par les entités représentatives des différentes filières, dans un délai de trente jours à compter de la date de publication de l’avis d’appel au Journal Officiel de l’Union. Dès réception des candidatures, le Conseil d’Administration établira une triple liste de titulaires et de suppléants pour chaque poste à pourvoir, qui sera transmise au Ministre d’Etat, Directeur de Cabinet de la Présidence de la République, pour nomination par le Président du République.
Voir : https://www.gov.br/anpd/pt-br/composicao-1/conselho-nacional-de-protecao-de-dados-pessoais-e-privacidade-cnpd
Comment la société participera-t-elle au travail de l’ANPD ?
Aux termes de la LGPD, il appartient à l’ANPD d’écouter les agents de traitement et la société sur les questions d’intérêt pertinent et de rendre compte de ses activités et de sa planification. Par ailleurs, les réglementations et normes émises par l’ANPD doivent être précédées d’une consultation et d’une audition publiques, ainsi que d’une analyse d’impact réglementaire.
Enfin, il faut rappeler que le CNPDPP est la forme de participation institutionnalisée des différents groupes sociaux à l’ANPD.
Les personnes physiques et morales, publiques ou privées, qui réalisent des activités de traitement de données à caractère personnel devront-elles transférer leurs bases de données à l’ANPD ?
Les personnes physiques ou morales qui réalisent des traitements de données ne seront pas tenues de transférer leurs bases de données à l’ANPD. Il appartient à l’ANPD de surveiller et d’appliquer des sanctions lorsque le traitement des données a lieu en violation de la législation sur la protection des données, par le biais de procédures administratives, avec une défense contradictoire et pleine.
EUROPA
Qu’est-ce que le RGPD ?
Le règlement général sur la protection des données est une loi de l’Union européenne qui a été mise en œuvre le 25 mai 2018 et oblige les organisations à protéger les données personnelles et à respecter les droits à la vie privée de toute personne sur le territoire de l’UE. Le règlement comprend sept principes de protection des données qui doivent être mis en œuvre et huit droits à la vie privée qui doivent être facilités. Il habilite également les autorités de protection des données au niveau des États membres à appliquer le RGPD avec des sanctions et des amendes. Le RGPD a remplacé la directive sur la protection des données de 1995, qui a créé un patchwork pays par pays de lois sur la protection des données. Le RGPD, adopté au Parlement européen à une écrasante majorité, unifie l’UE sous un régime unique de protection des données.
Lisez notre résumé du GDPR pour un aperçu de la loi. ( https://gdpr.eu/what-is-gdpr/ )
Qui doit se conformer au RGPD ?
Toute organisation qui traite les données personnelles de personnes dans l’UE doit se conformer au RGPD. Le « traitement » est un terme large qui couvre à peu près tout ce que vous pouvez faire avec des données : collecte, stockage, transmission, analyse, etc. Les « données personnelles » sont toutes les informations relatives à une personne, telles que les noms, les adresses e-mail, les adresses IP. , couleur des yeux, affiliation politique, etc. Même si une organisation n’est pas connectée à l’UE elle-même, si elle traite les données personnelles de personnes dans l’UE (via le suivi sur son site Web, par exemple), elle doit s’y conformer. Le RGPD ne se limite pas non plus aux entreprises à but lucratif.
Trouvez plus d’informations sur qui doit se conformer au RGPD : https://gdpr.eu/companies-outside-of-europe/
Quelles sont les amendes RGPD ?
Le RGPD permet aux autorités de protection des données de chaque pays d’imposer des sanctions et des amendes aux organisations qu’elles jugent en infraction. La sanction maximale est de 20 millions d’euros ou 4 % du chiffre d’affaires mondial, selon le montant le plus élevé. Les autorités de protection des données peuvent également prononcer des sanctions, telles que des interdictions de traitement de données ou des réprimandes publiques.
En savoir plus sur l’évaluation des amendes RGPD : https://gdpr.eu/fines/
Comment me conformer au RGPD ?
Les organisations peuvent se conformer au RGPD en mettant en place des garanties techniques et opérationnelles pour protéger les données personnelles qu’elles contrôlent. La première étape consiste à effectuer une évaluation GDPR pour déterminer quelles données personnelles ils contrôlent, où elles se trouvent et comment elles sont sécurisées. Ils doivent également respecter les principes de confidentialité énoncés dans le RGPD, tels que l’obtention du consentement et la garantie de la portabilité des données. Vous pouvez également être tenu de nommer un délégué à la protection des données et de mettre à jour votre avis de confidentialité ( https://gdpr.eu/privacy-notice/ ), entre autres mesures organisationnelles.
Consultez notre liste de contrôle RGPD pour en savoir plus sur les étapes de mise en conformité : https://gdpr.eu/checklist/
Qu’est-ce qu’un Délégué à la Protection des Données ?
Un délégué à la protection des données (DPD) est un employé au sein de votre organisation qui est chargé de comprendre le RGPD et d’assurer la conformité de votre organisation. Le DPO est le point de contact principal de l’autorité de protection des données. En règle générale, le DPO connaît à la fois les technologies de l’information et le droit.
En savoir plus sur le rôle de délégué à la protection des données ici : https://gdpr.eu/data-protection-officer/
Le RGPD nécessite-t-il un chiffrement ?
Le RGPD exige des organisations qu’elles mettent en œuvre des « mesures techniques et organisationnelles appropriées » pour sécuriser les données personnelles et fournit une courte liste d’options pour ce faire, y compris le cryptage. Dans de nombreux cas, le cryptage est la méthode la plus pratique pour sécuriser les données personnelles. Par exemple, si vous envoyez régulièrement des e-mails au sein de votre organisation contenant des informations personnelles, il peut être plus efficace d’utiliser un service de messagerie crypté que d’anonymiser les informations à chaque fois.
ISO 27001 x ISO 27701
Il est important de clarifier dans un premier temps la différence entre ISO 27001 et ISO 27701.
La norme ISO 27001 – Information Security Management System – est une norme de mise en place d’un système de management axé sur la sécurité de l’information, tandis que la norme ISO 27701 – Private Security Management System – est une extension de la norme 27001, et vise à ajouter de nouveaux contrôles dans le système de gestion pour assurer une confidentialité totale, en particulier des données personnelles.
Cela dit, il est essentiel de souligner qu’il est nécessaire de mettre en œuvre l’ISO 27001 pour qu’il soit possible d’étendre son champ d’application et de répondre également à l’ISO 27701. Bien sûr, il est possible (et recommandé) de mettre en œuvre les deux en parallèle, mais il n’est pas possible de mettre en œuvre uniquement l’ISO 27701 sans mettre en œuvre l’ISO 27001, car les principaux contrôles liés à la formation d’un système de gestion de la sécurité se trouvent dans l’ISO 27001.
termes importants
Certains termes de la norme ISO 27701 ont une correspondance directe avec les termes LGPD, ce qui montre la relation étroite entre la loi et la règle d’extension. Sont-ils:
PII – Personally Identifiable Information – (LGPD : Données Personnelles) : Données pouvant permettre l’identification de la Personne Concernée.
PII Controller (LGPD : Data Controller) : est la partie intéressée qui détermine les finalités et les moyens par lesquels les données personnelles seront traitées ;
Processeur PII (LGPD : Data Processor) : est la partie intéressée qui traite/traite les données personnelles pour le Responsable du traitement, en suivant ses instructions ;
Principal PII (LGPD : Data Subject) : personne physique à laquelle se réfèrent les données personnelles faisant l’objet du traitement.
Qui doit mettre en œuvre l’ISO 27701 ?
Chaque organisation, quelle que soit sa taille et sa nature (publique ou privée), responsable du traitement des données personnelles (PII Processor) ou du contrôle et de l’utilisation des données personnelles (PII Controller), bénéficiera de l’adoption des meilleures pratiques définies dans la norme ISO 27701 La gestion basée sur les risques de sécurité et de confidentialité vise à aider les organisations à éviter d’éventuelles fuites de données, des accès inappropriés et d’autres incidents qui pourraient entraîner de graves problèmes pour l’entreprise.
Qu’est-ce qu’ISO 27701 ?
La norme ISO 27701 a été publiée le 5 août 2019 dans le but d’être une adaptation logique à la LGPD et au GDPR. Il s’agit d’une norme d’extension de la norme ISO 27001 pour combler cette lacune dans la norme ISO 27001, et peut être acheté à partir du lien ci-dessus pour environ 190,00 $.
Comme mentionné précédemment, la norme ISO 27701 étend la norme ISO 27001 pour inclure également des contrôles liés à la confidentialité des données. Cela signifie qu’en plus des contrôles prévus par le Système de Management de la Sécurité de l’Information (SMSI), tels que la garantie d’intégrité, de confidentialité et de disponibilité des données, afin de se conformer à la norme ISO 27701, ce système de management doit être étendu à un “Privacy Information Management System” (PIMS), qui est un système de gestion également concerné par la gestion de la confidentialité des données personnelles. Ce système de gestion vise à aider les entreprises à gérer les risques de confidentialité liés aux données personnelles, que ce soit en relation avec le responsable du traitement ou le sous-traitant.
Il est important de souligner que lors de la certification ISO 27001 + ISO 27701, l’entreprise NE PEUT PAS dire qu’elle adhère automatiquement à la LGPD. Cependant, cette certification démontre que l’entreprise dispose d’un système de gestion robuste concernant la confidentialité des données personnelles, suivant les meilleures pratiques du marché en matière de gestion de la sécurité de l’information et de la confidentialité des données. La LGPD n’est pas, à ce jour, officiellement certifiable, car elle n’est pas encore en vigueur et les mécanismes de certification sont encore en cours de discussion.
Quels sont les principaux avantages de l’ISO 27701 ?
Les principaux bénéfices tirés de la mise en place d’un PIMS conforme à la norme ISO 27701 sont :
Il montre à ses clients, fournisseurs et employés que l’entreprise se soucie de leurs données et informations, générant une confiance accrue ;
Répond aux principales exigences de la LGPD et du GDPR ;
Il indique clairement à toutes les parties concernées quels sont les rôles et les responsabilités de chacun ;
Augmente la compétence et la sensibilisation des employés concernant la sécurité et la confidentialité des données ;
Améliore les processus internes, réduisant le risque de fuites de données ;
Apporte la transparence dans les contrôles établis pour la gestion de la confidentialité. Tout le monde sait comment les données sont traitées et ce qui en est fait ;
Facilite les accords avec les partenaires commerciaux en augmentant la sécurité et la confiance ;
Il s’intègre facilement au système de gestion de la sécurité de l’information requis par la norme ISO 27001.
Mise en œuvre de la norme
Pour mettre en œuvre l’ISO 27701, il est nécessaire que l’ISO 27001 soit également mise en œuvre. Pour cela, il est acceptable que l’entreprise ait déjà certifié ou soit en cours de certification ISO 27001.
Il est également normal que l’entreprise ne dispose pas d’ISO 27001. Dans ce cas, il est important de préciser qu’elle devra implémenter ISO 27001 et ISO 27701 ensemble. Cette stratégie est recommandée et rend la mise en œuvre plus facile et moins difficile.