Lei de Proteção das Informações Pessoais da África do Sul (POPIA)
Conformidade com as principais disposições da Lei de Proteção de Informações Pessoais da África do Sul
Em novembro de 2013, o Parlamento da República da África do Sul promulgou a South Africa Protection of Personal Information Act (POPIA) 2013:
Para promover a proteção de informações pessoais tratadas por órgãos públicos e privados; introduzir certas condições para estabelecer requisitos mínimos para o tratamento de informações pessoais; possibilitar a criação de um Regulador de Informações para exercer certos poderes e desempenhar certas funções e deveres nos termos desta Lei e da Lei de Promoção do Acesso à Informação de 2000; possibilitar a emissão de códigos de conduta; assegurar os direitos das pessoas com relação às comunicações eletrônicas não solicitadas e à tomada de decisões automatizadas; regular o fluxo de informações pessoais dentro das fronteiras da República; e tratar dos assuntos relacionados a elas.
Possíveis consequências da não conformidade
As seções 100 - 106 da Lei POPI tratam de casos em que as partes seriam consideradas “culpadas de um delito”. Especificamente, a Seção 105 (Atos ilegais da parte responsável em relação ao número da conta) afirma que “a parte responsável deve (…) saber ou deveria saber que (…) [uma violação da privacidade de dados pessoais] provavelmente causaria danos substanciais ou dificuldades ao titular dos dados.”
Além disso, a Seção 106 (Atos ilegais de terceiros em relação ao número de conta) afirma que “uma pessoa que, consciente ou deliberadamente, sem o consentimento da parte responsável (…) obtém ou divulga um número de conta de um titular dos dados (…) ou busca divulgar um número de conta de um titular dos dados a outra pessoa é (…) culpada de um delito.”
A seção 107 detalha quais são as penalidades aplicáveis aos respectivos delitos. Especificamente, “Qualquer pessoa condenada por um delito (…) está sujeita (…) a multa ou prisão por um período não superior a 10 anos, ou multa e prisão; ou (…) a multa ou prisão por um período não superior a 12 meses, ou a multa e tal prisão.”
Como detalhado na Seção 109 da lei, a multa máxima “não pode exceder R10 milhões.”
Regulação
O material a seguir é extraído diretamente da Lei POPI da República da África do Sul
Medidas de segurança sobre integridade e confidencialidade das informações pessoais
19. (1) A parte responsável deve assegurar a integridade e a confidencialidade das informações pessoais que possui ou controla, tomando medidas técnicas e organizacionais adequadas e razoáveis para prevenir:
- perda, dano ou destruição não autorizada de informações pessoais;
- acesso ilegal ou tratamento de informações pessoais.
Para tornar efetiva a subseção (1), a parte responsável deve tomar medidas razoáveis sobre:
- identificar riscos internos e externos razoavelmente previsíveis para as informações pessoais que possui ou controla;
- estabelecer e manter proteções apropriadas contra os riscos identificados;
- garantir que as proteções sejam efetivamente implementadas;
- assegurar que as proteções sejam continuamente atualizadas quando surgem novos riscos ou são identificadas deficiências nas proteções implementadas anteriormente.
Medidas de segurança relativas às informações tratadas pelo operador
21. (1) Uma parte responsável deve, nos termos do contrato escrito entre a parte responsável e o operador, assegurar que o operador que processa informações pessoais para a parte responsável estabeleça e mantenha as medidas de segurança indicadas na seção 19.
(2) O operador deve notificar imediatamente a parte responsável quando houver motivos razoáveis para acreditar que as informações pessoais de um titular dos dados foram acessadas ou adquiridas por pessoas não autorizadas.
Notificação de comprometimento de segurança
22. (1) Quando houver motivos razoáveis para acreditar que as informações pessoais de um titular dos dados tenham sido acessadas ou adquiridas por pessoas não autorizadas, a parte responsável deve notificar;
- o Regulador;
- conforme à subseção (3), o titular dos dados, a menos que a identidade de tal titular não possa ser estabelecida.
(4) A notificação ao titular dos dados (…) deve ser feita por escrito e comunicada ao titular dos dados de uma das seguintes maneiras:
- Enviado por correio para o último endereço físico ou postal conhecido do titular dos dados;
- enviado por e‑mail para o último endereço de e‑mail conhecido do titular dos dados;
- colocado em destaque no site da parte responsável;
- publicado no jornal; ou
- conforme determinado pelo Regulador.
Recursos da lei
99. (1) Um titular dos dados ou, a pedido do titular dos dados, o Regulador, pode mover uma ação civil por danos em um tribunal com jurisdição contra uma parte responsável por violação de qualquer disposição desta lei, conforme indicado na seção 73, tenha havido ou não intenção ou negligência da parte responsável.
(3) Uma ação judicial nos termos da subseção (1) pode adjudicar uma quantia justa e equitativa, incluindo:
- pagamento de indenização por danos como compensação por perdas patrimoniais e não patrimoniais sofridas pelo titular dos dados resultantes de violação das disposições desta lei;
- danos agravados, em uma quantia determinada a critério do Tribunal;
- juros; e
- custos do processo conforme determinado pelo Tribunal.
Conformidade
Os HSMs nShield® da Entrust podem ajudar no conformidade com a lei POPIA e evitar os requisitos de notificação de violação de dados
Embora a POPIA não seja clara sobre o que é considerado acesso e aquisição de dados pessoais, as normas que tratam da proteção de informações pessoais em todo o mundo afirmam que a violação de dados não precisa ser relatada se os dados foram pseudonimizados ou tornados ilegíveis para o infrator, já que nesse caso os dados confidenciais roubados se tornaram inúteis para os ladrões e inofensivos para o titular dos dados.
As duas melhores práticas amplamente aceitas para pseudonimização são a criptografia e a tokenização. Ambas usam chaves criptográficas para converter texto simples em texto criptográfico ilegível e vice-versa. Se os “cibercriminosos” roubarem as chaves junto com os dados criptografados ou tokenizados, eles podem converter os dados em texto simples. Portanto, é essencial separar as chaves dos dados que elas protegem e aumentar a segurança das próprias chaves.
Soluções da Entrust para segurança de chaves criptográficas
A melhor prática para segurança de chaves criptográficas é armazenar essas chaves em um módulo de segurança de hardware (HSM). Os HSMs nShield da Entrust são dispositivos de hardware reforçados e com proteção inviolável que protegem processos criptográficos através da geração, proteção e gerenciamento de chaves usadas para criptografar e decodificar dados e criar assinaturas e certificados digitais. Estes HSMs são testados, validados e certificados conforme os mais altos padrões de segurança, incluindo FIPS 140-2 e Common Criteria. Os HSMs nShield da Entrust permitem que as organizações:
- Atender e superar as normas regulatórias estabelecidas e novas de privacidade de dados
- Obter níveis mais altos de segurança de dados e confiança
- Manter serviços de alto nível e agilidade de negócios
O nShield as a Service é uma solução baseada em assinatura para gerar, acessar e proteger material de chaves criptográficas, separadamente dos dados confidenciais, usando HSMs nShield Connect com certificação FIPS 140-2 Nível 3. A solução oferece as mesmas características e funcionalidades dos HSMs locais combinadas com os benefícios de uma implantação de serviços na nuvem. Isto permite que os clientes atinjam seus objetivos básicos na nuvem e deixem a manutenção dos aparelhos para os especialistas da Entrust.
Recursos
Resumo de conformidade: POPIA da África do Sul
A lei POPIA da África do Sul aborda a proteção das informações pessoais juntamente com as multas e ações civis que podem resultar de violações.
Resumos de conformidade da POPIA da África do Sul
Brochuras: Brochura da família HSM nShield da Entrust
Os HSMs nShield da Entrust fornecem um ambiente resistente e inviolável para processamento criptográfico seguro, geração e proteção de chaves, criptografia e muito mais. Disponível em três fatores de forma com certificação FIPS 140‑2, os HSMs nShield da Entrust podem ser usados em vários cenários de implantação.
Brochura da família de HSM nShield da Entrust
Ficha técnica: nShield as a Service
O nShield as a Service é uma solução baseada em assinatura para gerar, acessar e proteger material de chaves criptográficas usando HSMs nShield Connect com certificação FIPS 140-2 Nível 3.