17/07/2024 - Equipe Target
NBR ISO/IEC 29134 de 06/2024 - Tecnologia da informação — Técnicas de segurança — Orientações para avaliação de impacto de privacidade
Em sua nova edição, a NBR ISO/IEC 29134 de 06/2024 - Tecnologia da informação — Técnicas de segurança — Orientações para avaliação de impacto de privacidade fornece as orientações para os processos de avaliação de impacto de privacidade, e uma estrutura e conteúdo do relatório de PIA. É aplicável a todos os tipos e tamanhos de organizações, incluindo empresas públicas, empresas privadas, entidades governamentais e organizações sem fins lucrativos. Este documento é relevante para aqueles envolvidos na concepção ou implementação de projetos, incluindo as partes que operam sistemas de tratamento de dados e serviços que tratam dados pessoais (DP).
Target Genius Respostas Diretas:Como realizar a determinação da necessidade de uma PIA (análise de pertinência)?
Quais os passos para a preparação da PIA?
Como preparar um plano de PIA e determinar os recursos necessários para a sua realização?
Por que se deve descrever o que está sendo avaliado?
A avaliação de impacto de privacidade (PIA) é um instrumento para avaliar os potenciais impactos na privacidade de um processo, um sistema de informação, um programa, um módulo de software, um dispositivo ou outra iniciativa que trate dados pessoais (DP); tomar ações necessárias, em consulta às partes interessadas, para tratar riscos de privacidade. Um relatório de PIA pode incluir documentação sobre medidas tomadas para o tratamento de riscos, por exemplo, medidas decorrentes do uso do sistema de gestão da segurança da informação (SGSI) na NBR ISO/IEC 27001.
Uma PIA é mais do que uma ferramenta, é um processo que começa nos estágios mais iniciais de uma iniciativa, quando ainda há oportunidades de influenciar seu resultado e, assim, assegurar privacidade por design. É um processo que continua até, e mesmo após, o projeto ser entregue.Iniciativas variam substancialmente em escala e impacto. Os objetivos abrangidos pelo título de privacidade dependerão da cultura, das expectativas da sociedade e da jurisdição. Este documento destina-se a fornecer orientações escaláveis que podem ser aplicadas a todas as iniciativas.
Uma vez que as orientações específicas para todas as circunstâncias não podem ser prescritivas, convém que as orientações contidas neste documento sejam interpretadas em relação a circunstâncias individuais. Um controlador DP pode ter a responsabilidade de conduzir uma PIA e pode solicitar ajuda de um operador de DP para fazer isso, agindo em nome do controlador de DP.
Um operador de DP ou um fornecedor também pode desejar conduzir sua própria PIA. As informações de PIA de um fornecedor são especialmente pertinentes quando os dispositivos conectados digitalmente fazem parte do sistema de informação, aplicativo ou processo que está sendo avaliado. Pode ser necessário que os fornecedores desses dispositivos forneçam as informações de design relevantes para a privacidade para aqueles que estejam realizando a PIA.
É possível que o provedor de dispositivos ...
