Sorte dos irlandeses? Comissão de Proteção de Dados da Irlanda publica Relatório Anual

As shared by the Commissioner for Data Protection, Helen Dixon, “The progress the DPC has made in 2020 provides a solid platform on which to build across our enforcement and complaint-handling functions in particular. The GDPR must be understood as a project for the now, but equally for the longer-term. The DPC intends to continue as a leader in its full implementation.”

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Nota do Editor: A Comissão de Proteção de Dados (DPC) é a autoridade de supervisão irlandesa para o Regulamento Geral de Proteção de Dados (RGPD). Ele também tem funções e poderes relacionados com outros quadros regulamentares críticos, incluindo os regulamentos irlandeses de privacidade em ePrivacy (2011) e a diretiva da UE conhecida como Diretiva de Execução da Lei. Recentemente, a Comissária responsável pela Proteção de Dados, Helen Dixon, lançou o Relatório Anual da Comissão Irlandesa de Proteção de Dados para 2020. Neste relatório recentemente publicado (25 de fevereiro de 2021), a DPC Irlanda detalha a extensa extensão do trabalho regulamentar concluído durante o seu cumprimento de funções no papel de supervisionar e regulamentar a aplicação das leis da UE sobre proteção de dados e privacidade eletrônica. Como parte desse detalhamento do trabalho, o DPC compartilha detalhes sobre notificações de violação ao DPC durante 2020. Como os profissionais de dados e jurídicos que operam no ecossistema eDiscovery procuram entender o impacto do mercado e as oportunidades impulsionadas por violações de dados, eles podem se beneficiar dos detalhes e pontos de dados compartilhados neste importante relatório anual.

Relatório Anual da DPC Irlanda 2020*

Um Extrato sobre Violações (Capítulo 3)

O número de notificações de violação ao DPC permaneceu alto em 2020, mas o DPC está mais convencido do que nunca do valor do requisito obrigatório de notificação sob o RGPD. Permite ao DPC obter informações sobre os riscos em torno da segurança e processamento de dados pessoais que surgem nas organizações numa base casuística e intervir e orientar sobre medidas de mitigação em torno desses riscos, se for caso disso. Em geral, as respostas que recebemos das organizações incentivam o DPC na opinião de que a maioria das organizações deseja cumprir e valorizar a contribuição do DPC.

Violações sob o RGPD

Em 2020, o DPC recebeu 6.783 notificações de violação de dados nos termos do artigo 33.o do RGPD, dos quais 110 casos (2%) foram classificados como não violações, uma vez que não atendiam à definição de violação de dados pessoais, conforme estabelecido no artigo 4.o, n.o 12, do RGPD. Um total de 6.673 violações de proteção de dados válidas foram registradas pelo DPC em 2020, representando um aumento de 10% (604) nos números relatados em 2019.

Como em outros anos, a categoria mais alta de violações de dados notificadas ao abrigo do RGPD foi classificada como Divulgações Não Autorizadas e representou 86% do total de notificações de violação de dados recebidas em 2020. A maioria das violações ocorreu no:

Setor Privado: 4.097

Setor Público: 2.559

Voluntário: 16

Caridade: 1

Total: 6,673

O DPC também viu um aumento no uso de ataques de engenharia social e phishing para obter acesso aos sistemas TIC de controladores e processadores. Embora muitas organizações tenham inicialmente implementado medidas eficazes de segurança das TIC, é evidente que as organizações não estão a tomar medidas proativas para monitorar e rever essas medidas, ou para treinar o pessoal para garantir que eles estão cientes das ameaças em evolução. Nestes casos, continuamos a recomendar que as organizações realizem revisões periódicas das suas medidas de segurança das TIC e implementem um plano de formação abrangente para os funcionários, apoiado por programas de formação e sensibilização para mitigar os riscos colocados por um cenário de ameaças em evolução.

Notificações de violação de dados por categoria

Divulgação (não autorizada): 5.837

Hacking: 146

Malware: 19

Phishing - Incluindo Engenharia Social: 74

Ransomware/Negação de Serviço: 32

Vulnerabilidade de desenvolvimento de software: 5

Dispositivo perdido ou roubado (criptografado): 19

Dispositivo perdido ou roubado (não criptografado) 29

Papel perdido ou roubado: 275

E-Waste (Dados Pessoais Presentes ou Dispositivo Obsoleta: 1

Eliminação inadequada do papel: 21

Configuração incorreta do sistema: 40

Acesso não autorizado: 146

Publicação on-line não intencional: 61

Outros: 78

Total: 6,783

Violações de privacidade eletrônica

O DPC recebeu um total de 70 notificações válidas de violação de dados nos termos do Regulamento de Privacidade Eletrônico (SI nº 336 de 2011), que representaram pouco mais de 1% do total de casos válidos notificados para o ano.

Violações de LED

O DPC também recebeu 25 notificações de violação em relação ao LED (Diretiva (UE) 2016/680), que foi transposta para o direito irlandês por certas partes da Lei de Proteção de Dados de 2018.

Avaliação de DPC de uma Violação

Uma vez que uma notificação de violação é apresentada ao DPC, o DPC avalia-a tendo em conta vários aspectos da violação e os riscos que ela coloca. A primeira delas é a natureza da violação, incluindo se foi intencional ou acidentalmente causada, se os dados foram exfiltrados ou tornados inacessíveis, e os modos de tecnologia e organização envolvidos. Um histórico de violações de um determinado tipo pode indicar um problema sistêmico que afeta um controlador de dados individual, um local específico ou um setor econômico inteiro. As características dos dados pessoais envolvidos são fundamentais para a avaliação do DPC. Estes incluem os tipos, formato e sensibilidade dos dados pessoais, o número de pessoas e registros afetados e o potencial para que os dados sejam lidos ou divulgados. O DPC analisará se aspectos como criação de perfis, tomada de decisões automatizadas, monitoramento ou rastreamento estão ocorrendo.

Da mesma forma, a categorização dos titulares dos dados — como se são crianças ou pessoas vulneráveis — e as características do controlador e/ou do processador de dados, como responsabilidades legais ou tratamento de outros tipos de dados pessoais, podem ser altamente significativas. O volume de titulares dos dados e a localização destes titulares são levados em consideração.

Outros fatores a serem considerados são os danos potenciais para os titulares dos dados resultantes da divulgação, uso indevido ou perda de dados pessoais afetados pela violação. Este aspecto da avaliação de risco é muitas vezes negligenciado pelos controladores de dados. Os danos podem variar de inconvenientes temporários a riscos muito sérios, como roubo de identidade, perda financeira e diagnóstico incorreto de condições médicas ou danos à reputação. O DPC considerará qual é o impacto para os indivíduos afetados, incluindo a gravidade, o escopo e o contexto das pessoas.

Finalmente, o DPC avalia fatores atenuantes, como se os backups estão disponíveis, as vulnerabilidades são abordadas e se os dados são recuperados ou se a divulgação adicional é impedida. Muitas vezes, os controladores de dados não implementam medidas simples, como criptografia de informações compartilhadas via e-mail, garantindo que todas as medidas de segurança de TI estejam implementadas, mas também mantidas atualizadas regularmente. Estes factores são levados em consideração na avaliação.

Se os fatos não forem totalmente conhecidos ou permanecerem pouco claros após a avaliação inicial do DPC de uma violação, eles continuarão a se envolver com o controlador até que todos os assuntos tenham sido respondidos, a satisfação do DPC. Em alguns casos, o responsável pelo tratamento ou o subcontratante pode ser solicitado a reavaliar as causas e consequências da violação e relatar as suas conclusões. Violações envolvendo problemas complexos de TI podem exigir avaliação e análise por especialistas técnicos do DPC. Nos casos em que o responsável pelo tratamento tenha elaborado ou encomendado um relatório técnico ou relatório de investigação sobre a violação, será solicitada uma cópia desse relatório.

Enquanto se aguarda a conclusão do seu inquérito, o DPC pode dirigir e acompanhar o progresso — numa base contínua — das medidas aplicadas para sanar ou mitigar os efeitos da violação. Estes podem incluir informar os titulares dos dados sobre a violação nos termos do Artigo 34 do RGPD, ou a implementação de medidas técnicas ou organizacionais para lidar com vulnerabilidades.

Com base na sua avaliação e nas ações do responsável pelo tratamento para prevenir ou atenuar outros incidentes semelhantes, o DPC pode concluir a sua investigação neste momento. Se o DPC não estiver satisfeito com as atenuações ou respostas do controlador, ele pode escalar o assunto para mais ações de investigação/execução.

Revise o Relatório Completo (PDF)

Relatório Anual DPC 2020 (Inglês)

Leia o post original através do site da Comissão de Proteção de Dados (DPC Brasil).

* Nota de informação protegida por direitos autorais compartilhada por permissão de acordo com a Reutilização de Informações da Seção Pública

Leitura Adicional

A Comissão de Proteção de Dados (DPC) Irlanda

Uma atualização irlandesa: DPC Ireland publica Relatório de Atividades Regulamentares do GDPR (2018-2020)

Fonte: ComplexDiscovery

Consultoria conjunta de segurança cibernética da CISA, FBI e NSA sobre BlackMatter Ransomware

This Joint Cybersecurity Advisory from the CISA, FBI, and NSA provides...

Mantendo segredos? Tendências de ransomware nos dados da Lei de Sigilo Bancário Entre janeiro de 2021 e junho de 2021

According to a recently published report, the U.S. Treasury's Financial Crimes...

Uma representação geográfica: ataques de ransomware nos Estados Unidos entre 2018 e hoje

Published by Comparitech, a pro-consumer website providing information, tools, reviews, and...

Recomendações para mitigar o risco de vulnerabilidades de software: NIST Secure Software Development Framework

This draft document from NIST on a proposed secure software development...

Consilio conclui aquisição de unidades de negócios de consultoria jurídica e eDiscovery da Adecco

According to Andy Macdonald, CEO of Consilio, “Consilio’s acquisition of D4...

Cellebrite adquire pistas digitais

According to Cellebrite CEO Yossi Carmil, “We are pleased to announce...

Iconect adquire base de código de inteligência artificial do Ayfie Inspector

According to Ian Campbell, CEO of iCONECT, “Direct access to the...

Fusões, aquisições e investimentos do eDiscovery no terceiro trimestre de 2021

From Ipro and Disco to Nuix and Lighthouse, the following findings,...

A New Era in eDiscovery? Framing Market Growth Through the Lens of Six Eras

There are many excellent resources for considering chronological and historiographical approaches...

Um Mashup de tamanho do mercado de eDiscovery: 2020-2025 Visão geral mundial de software e serviços

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

Redefinindo a linha de base? Ajustes de tamanho do mercado de eDiscovery

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Para casa ou para fora? Considerações de preço e dimensionamento do mercado de coleta de eDiscovery

One of the key home (onsite) or away (remote) decisions that...

Cinco ótimas leituras sobre descoberta cibernética, de dados e legal para setembro de 2021

From countering ransomware to predictive coding and packaged services, the September...

Cinco ótimas leituras sobre descoberta cibernética, de dados e legal para agosto de 2021

From the interplay of digital forensics in eDiscovery to collecting online...

Cinco ótimas leituras sobre descoberta cibernética, de dados e legal para julho de 2021

From considerations for cyber insurance and malware to eDiscovery business confidence...

Cinco ótimas leituras sobre eDiscovery para junho de 2021

From remediating cyberattacks to eDiscovery pricing, the June 2021 edition of...

Tempo de colheita? Métricas operacionais de eDiscovery no outono de 2021

In the fall of 2021, 67 eDiscovery Business Confidence Survey participants...

Quente fora de época? Resultados da pesquisa de confiança empresarial eDiscovery no outono de 2021

Since January 2016, 2,595 individual responses to twenty-four quarterly eDiscovery Business...

Mais guardiões? Pesquisa de tecnologias e protocolos de codificação preditiva — Resultados do outono de 2021

From the most prevalent predictive coding platforms to the least commonly...

Expectativas brilhantes? Dezoito observações sobre a confiança dos negócios de eDiscovery no verão de 2021

In the summer of 2021, 63.3% of survey respondents felt that...