Conformidade com a PDPL

 

O que é a PDPL?

A nova Lei de Proteção de Dados Pessoais (PDPL) da Arábia Saudita concentra-se em melhorar a privacidade e proteção de dados no reino. A PDPL visa proteger a privacidade dos dados pessoais dos indivíduos e regular as práticas das organizações envolvidas na sua coleta, processamento, divulgação e retenção. Inicialmente gerenciada pela Autoridade Saudita de Dados e Inteligência Artificial (SDAIA), a supervisão da lei poderá ser transferida para o Gabinete Nacional de Gerenciamento de Dados.

A PDPL está alinhada com a Visão Saudita de 2030, que se concentra no avanço da infraestrutura digital e inovação para uma economia digital próspera. A PDPL aborda os aspectos fundamentais da proteção de dados, incluindo princípios de processamento de informações, direitos dos titulares dos dados, obrigações organizacionais e penalidades por descumprimento.

Quem deve cumprir a PDPL?

A aplicabilidade da PDPL baseia-se na jurisdição e tipo de dados:

  • Âmbito material: O processamento de dados pessoais e sensíveis de indivíduos na Arábia Saudita, excluindo dados pessoais processados para fins não comerciais
  • Âmbito territorial: Entidades públicas e privadas que processam dados pessoais na Arábia Saudita, bem como organizações estrangeiras que processam dados relacionados com residentes sauditas

Consequências do descumprimento da PDPL

O descumprimento da PDPL gera penalidades graves:

  • Os indivíduos envolvidos em transferências não autorizadas de dados para fora do Reino podem enfrentar prisão por no máximo um ano e/ou multa no valor de SAR 1 milhão (US$ 267.000).
  • A divulgação de dados sensíveis gera sanções ainda mais graves, levando à prisão por até dois anos e/ou multa de SAR 3 milhões.
  • A SDAIA tem o poder de cobrar multas de até SAR 5 milhões.

Requisitos da PDPL para cumprimento

Com base na PDPL, as autoridades controladoras ou controladores de dados têm a obrigação de garantir a precisão, integridade e relevância dos dados pessoais antes do processamento.

1. Requisitos de consentimento

As organizações devem obter o consentimento explícito dos titulares dos dados antes do processamento de dados pessoais, excluindo os casos detalhados nos Regulamentos de Implementação da SDAIA. Os indivíduos devem fornecer consentimento voluntariamente para cada finalidade distinta do processamento de dados. A capacidade de retirar este consentimento a qualquer momento é um direito fundamental, e o acesso aos serviços não deve exigir o fornecimento de consentimento, a menos que estejam diretamente ligados ao processamento envolvido.

As exceções aos requisitos de consentimento incluem cenários em que o processamento gera benefícios claros e o contato com o titular dos dados é inviável; requisitos legais ou acordos prévios; segurança de entidades públicas ou para fins judiciais; coleta de dados científicos, de pesquisa ou estatísticos nos termos da lei; e processamento necessário para interesses legítimos. Estas exceções não se aplicam a dados pessoais sensíveis.

2. Criação da política de privacidade

As organizações devem cumprir a PDPL adotando uma política de privacidade concisa que seja acessível aos titulares dos dados antes que suas informações sejam coletadas. A política deve detalhar a finalidade, tipo de conteúdo, coleta, armazenamento, processamento e destruição de dados, juntamente com os direitos do titular dos dados e como exercê-los.

Ao coletar dados diretamente, as organizações devem informar os titulares sobre a justificativa legal, finalidade da coleta (obrigatória ou opcional), identidade do coletor (a menos que para fins de segurança), entidades às quais os dados serão divulgados, possíveis consequências da coleta incompleta de dados, direitos dos titulares dos dados e outros elementos relevantes de acordo com a regulamentação baseada na atividade da organização.

3. Padrões de segurança essenciais

A PDPL enfatiza a importância da segurança ao obrigar as organizações a implementar medidas organizacionais, administrativas e técnicas essenciais para preservar a integridade dos dados pessoais, especialmente durante sua transferência. O cumprimento das disposições e controles descritos nos Regulamentos de Implementação e Regulamentos de Transferência de Dados Pessoais da SDAIA é essencial neste sentido.

4. Diretrizes de divulgação de violação de dados

No caso de uma violação de dados, a PDPL exige que as organizações notifiquem a autoridade supervisora no prazo de 72 horas após a detecção. Nos casos em que a violação represente um risco significativo para os dados pessoais dos titulares dos dados, a notificação imediata é obrigatória. Além disso, o controlador de dados é responsável por fornecer as informações de contato do responsável pela proteção de dados relevante para consultas relacionadas aos dados comprometidos.

5. Obrigação de nomear um diretor de proteção de dados

A nomeação de indivíduos para supervisionar a implementação de medidas de proteção de dados é um requisito obrigatório para as organizações. Os Regulamentos de Implementação fornecem orientações sobre os critérios para estas nomeações e descrevem as responsabilidades específicas atribuídas ao diretor de proteção de dados.

6. Avaliações de impacto para proteção de dados

É fundamental que as organizações avaliem os riscos potenciais associados ao processamento de dados pessoais, especialmente para produtos ou serviços disponíveis ao público. Os Regulamentos de Implementação detalham esta obrigação, especificando os pré-requisitos mínimos de informação para a execução de avaliações de impacto na proteção de dados.

7. Processamento de registros de atividades

As entidades devem documentar suas atividades de processamento de dados e manter esses registos durante cinco anos após o período de processamento. Esses registros devem incluir:

  • Detalhes de contato da organização.
  • Objetivos do processamento de dados pessoais.
  • Tipos de titulares de dados.
  • Destinatários de divulgações de dados pessoais.
  • Transferências ou divulgações internacionais de dados.
  • Prazo esperado de retenção de dados pessoais.

8. Avaliação de fornecedores terceirizados

As organizações devem selecionar os processadores de dados cuidadosamente que possam fornecer garantias adequadas para o cumprimento dos regulamentos da PDPL. As organizações devem também verificar consistentemente se as entidades selecionadas cumprem suas instruções relativas à proteção de dados pessoais.

9. Condições de transferência de dados transfronteiriças

Com base na PDPL, os dados pessoais podem ser transferidos para fora da Arábia Saudita, desde que os países de destino mantenham medidas de proteção de dados suficientes. A SDAIA avalia países, organizações e setores de acordo com os Regulamentos de Transferência de Dados Pessoais, enfatizando critérios como leis de proteção, presença da autoridade de supervisão e canais acessíveis para reclamações dos titulares de dados.

10. Inscrição no registro nacional de controladores

A SDAIA prepara-se para emitir diretivas para o processo de registro no registro nacional de controladores, estabelecendo os controladores que devem cumprir este requisito conforme estipulado nos Regulamentos de Implementação. Anteriormente, as transferências de dados transfronteiriças eram restritas a casos especiais, como a proteção urgente dos interesses vitais de um titular de dados, e cada transferência exigia a aprovação individual da SDAIA após uma análise caso a caso.

Direitos dos titulares dos dados com base na PDPL

A PDPL concede direitos fundamentais aos titulares dos dados, conforme indicado abaixo. O controlador deve informar os usuários sobre esses direitos, estabelecer canais para que os usuários exerçam seus direitos e responder às solicitações no prazo de 30 dias, inferior ao exigido pelo GDPR.

  • O direito de saber: Isso abrange fornecer um entendimento da base legal ou funcional para o processamento de dados.
  • O direito de acesso aos dados pessoais: Isso envolve permitir que os titulares dos dados acessem dados pessoais e recebam uma cópia gratuita dos mesmos.
  • O direito de solicitar a correção dos dados pessoais: Os indivíduos têm o direito de solicitar mudanças nos seus dados pessoais se eles forem considerados imprecisos ou incompletos.
  • O direito de solicitar a destruição dos dados pessoais: Os indivíduos podem solicitar a exclusão dos seus dados pessoais.

O roteiro da PDPL

As organizações devem seguir estas diretrizes diligentemente para garantir o cumprimento da PDPL da Arábia Saudita:

  • Entender os requisitos da PDPL: Familiarize-se com o escopo e obrigações da PDPL, que se aplica a todas as entidades que processam dados pessoais de residentes sauditas.
  • Obter consentimento e fornecer políticas de privacidade: Garanta o consentimento explícito para o processamento de dados e informe os indivíduos sobre como seus dados são utilizados.
  • Reportar violações de dados: Notifique as autoridades e indivíduos afetados em caso de violação de dados ou acesso não autorizado.
  • Seguir os princípios de processamento de dados: Siga os princípios de precisão de dados, segurança e consentimento individual, especialmente para dados confidenciais.
  • Respeitar os direitos dos titulares dos dados: Garanta os direitos dos indivíduos de acessar, corrigir, excluir e transferir seus dados.
  • Manter registros de processamento: Mantenha registros detalhados das atividades de processamento de dados, incluindo finalidades e períodos de retenção.
  • Realizar avaliações de risco de privacidade: Avalie os riscos associados ao processamento de dados pessoais para todos os seus serviços e produtos.
  • Implementar proteções de dados: Proteja os dados pessoais contra acesso não autorizado e cumpra os requisitos de notificação de violação de dados.
  • Regular as transferências de dados: Garanta que as transferências de dados cumpram os padrões da PDPL, incluindo a obtenção de consentimento e minimização da quantidade de dados transferidos.
  • Manter-se informado e usar recursos tecnológicos: Mantenha-se atualizado sobre as mudanças da PDPL e aproveite a tecnologia para proteger os dados e garantir o cumprimento contínuo.

Melhores práticas para o cumprimento da PDPL: Uma lista de verificação

  • Responsabilidade: Certifique-se de que o chefe da entidade ou seu representante seja responsável por defender as políticas e procedimentos de privacidade como controlador de dados.
  • Transparência: Crie um aviso de privacidade claro e completo , pois ele é fundamental para fornecer informações sobre as finalidades da coleta de dados pessoais.
  • Escolha e consentimento: Obtenha consentimento prévio e explícito como pré-requisito antes de coletar, usar ou divulgar dados pessoais.
  • Minimização de dados: Esforce-se para limitar a coleta de dados ao mínimo necessário para cumprir os propósitos pretendidos.
  • Uso intencional, retenção e destruição: Utilize, retenha e destrua dados pessoais estritamente para os fins pretendidos e sempre cumprindo as leis e regulamentos relevantes.
  • Acesso aos dados: Capacite os titulares dos dados a revisar, atualizar e corrigir suas informações pessoais.
  • Limitações de divulgação de dados: Limite a divulgação estritamente às finalidades descritas no aviso de privacidade e autorizadas pelo titular dos dados.
  • Segurança de dados: Implemente medidas de segurança robustas de acordo com as diretivas das autoridades nacionais de segurança cibernética para defender os dados pessoais contra vulnerabilidades potenciais, abrangendo riscos como fugas, danos, perdas, roubo, uso indevido ou acesso não autorizado.
  • Qualidade dos dados: Verifique os dados regularmente para manter a precisão e pontualidade.
  • Monitoramento e conformidade: Supervisione e cumpra as políticas de privacidade continuamente e resolva as questões e disputas relacionadas.

Thank you for reaching out to us.

We will get back to you shortly.

Olá,

Eu sei a importância dos relatórios de conformidade pré-construídos. Você pode me ajudar a entender como automatizar o processo com uma ferramenta de gerenciamento da conformidade?
Eu sou do    e você pode entrar em contato comigo pelo e-mail
 .

Ao clicar em “Agende uma demonstração”, você concorda com o processamento de dados pessoais de acordo com a Política de Privacidade.

A PDPL: Principais regras a serem consideradas

Requisito da PDPL Descrição do requisito
Artigo 19 - Segurança da informação O controlador aplicará meios e medidas organizacionais, administrativas e tecnológicas para garantir a privacidade dos titulares dos dados pessoais em todas as fases em que seus dados pessoais são tratados, utilizados e transferidos.
Artigo 23 - Controles e procedimentos para lidar com dados de saúde O controlador é responsável por implementar diversas estratégias e proteções organizacionais, tecnológicas e administrativas para garantir a proteção dos dados de saúde. Estas medidas foram projetadas para impedir a utilização não autorizada, uso indevido ou além dos fins originais de coleta, bem como para proteger contra violações ou destruição de dados — tudo isso mantendo a confidencialidade dos dados de saúde.
Artigo 24 - Controles e procedimentos para lidar com dados de crédito O controlador deve adotar estratégias organizacionais, tecnológicas e administrativas adequadas para proteger os dados de crédito contra qualquer uso não autorizado, indevido, acesso não autorizado, uso para fins não intencionais, violações e destruição.

Cumpra a PDPL com o EventLog Analyzer

O EventLog Analyzer é uma solução de conformidade de TI e gerenciamento de logs que ajuda as empresas a cumprir os requisitos da PDPL utilizando seus recursos de monitoramento em tempo real e relatórios de incidentes. A solução detecta atividades suspeitas e fornece insights detalhados sobre incidentes de segurança. Isto capacita as organizações a adotar uma abordagem proativa às ameaças à segurança relacionadas à PDPL.

O sistema de alerta automatizado garante uma resposta rápida a possíveis problemas de conformidade, fornecendo alertas em tempo real por SMS e e-mail após a detecção de violações da PDPL. Este mecanismo de alerta proativo não somente ajuda no cumprimento, mas também fortalece a postura geral de segurança da organização. Você pode agendar uma demonstração para ver como o EventLog Analyzer simplifica o cumprimento.

Fonte: https://sdaia.gov.sa/en/Research/Pages/DataProtection.aspx

Previous LGPD
Simplifique os relatórios de conformidade de TI com o EventLog Analyzer
  •  
     
  • -Selecione-
Ao clicar em 'Solicitar Demo', você concorda com o processamento de dados pessoais de acordo com o Privacidade Política.
Obrigado por entrar em contato conosco.

Entraremos em contato com você em breve.

Siga-nos:
       

ManageEngine is a division of Zoho corp.

Recursos
Relacionado

Zoho Corporation Pvt. Ltd. All rights reserved.

×

Baixe o guia de conformidade

Obrigado!

Obrigado por baixar o guia de conformidade. Se você tiver alguma dúvida, envie-nos um email para support@eventloganalyzer.com