Avaliação de violação de privacidade

Versão de lançamento: Washingtondc

Atualizado 1 de fev. de 2024

2 min. de leitura

As avaliações de violação de privacidade desempenham um papel importante sempre que há um incidente que ameaça a privacidade dos indivíduos. Essas avaliações ajudam a determinar se há uma violação e servem como uma medida para medir a extensão e o impacto de uma violação.

Existem dois caminhos para acionar uma avaliação de violação: ela pode ser iniciada diretamente de um caso de privacidade ou você pode iniciar a avaliação de violação como uma avaliação autônoma. Quando uma avaliação é iniciada como uma avaliação autônoma, os resultados são analisados e um caso de privacidade pode ser criado, se necessário. Essa flexibilidade garante que as organizações possam responder imediatamente a possíveis violações. Você pode executar apenas uma avaliação de violação para cada caso de privacidade.

Em caso de violação, qualquer critério específico, por exemplo, um servidor comprometido com dados pessoais, pode solicitar o início de uma avaliação de violação antes de criar um caso de privacidade. O objetivo primário desta avaliação é determinar rapidamente a natureza dos dados comprometidos. Por exemplo, se o incidente estiver relacionado a um incidente de segurança, os analistas de segurança terão a tarefa de preencher a avaliação de violação, fornecendo detalhes sobre o tipo de incidente, locais afetados e quaisquer medidas de mitigação existentes, como criptografia. Posteriormente, os analistas de privacidade revisam a avaliação, analisando as especificações do incidente. Com base nessa análise, um caso de privacidade pode ser criado para evitar ocorrências futuras e gerenciar obrigações jurídicas vinculadas à violação.

Elementos de uma avaliação de violação de privacidade

Uma avaliação de violação de privacidade deve indicar claramente a jurisdição em que a violação ocorreu. Isso é crucial porque cada jurisdição opera de acordo com leis e regulamentações distintas relativas à privacidade e à proteção de dados. Ele também deve especificar os artefatos de informações de identificação pessoal (PI). Os termos artefatos de PI e jurisdições são explicados nas seções a seguir.

Artefato de PI: Os artefatos de PI normalmente se referem às formas físicas ou digitais de informações de identificação pessoal que podem ser perdidas ou roubadas. Esses artefatos podem incluir formulários de dados verbais (falados ou gravados), visuais (impressos ou exibidos), eletrônicos (armazenados em dispositivos ou sistemas) ou em papel (documentos ou registros) que contêm informações pessoais. Um artefato de PI contém detalhes como a natureza do incidente, a descrição do comprometimento, os detalhes do destinatário, o plano de redução de risco e assim por diante.
Jurisdição: Cada país ou região é regido por leis e regulamentos diferentes. Essa diferença requer que cada jurisdição afetada seja identificada durante a avaliação de violação. A jurisdição contém detalhes como o número de indivíduos afetados.

Fluxo de trabalho de uma avaliação de violação de privacidade

Embora uma avaliação de violação possa ser iniciada na Central do funcionário, ela também pode ser iniciada em um aplicativo. A imagem a seguir ilustra o fluxo de trabalho de avaliação de violação usando o exemplo de um incidente de segurança.

Nota:

Esta imagem usa o incidente de segurança apenas como exemplo para uma melhor compreensão do fluxo de trabalho.

Figura 1. Fluxo de trabalho de avaliação de violação de privacidade

Etapas para a criação de caso de privacidade usando a avaliação de violação.