Privacidade de dados no Brasil

Visão geral

A Lei Geral de Proteção de Dados do Brasil ("LGPD") é a principal regulamentação do Brasil voltada para a proteção de dados pessoais. A LGPD se aplica ao tratamento de dados pessoais (definidos como informações referentes a uma pessoa física identificada ou identificável) realizado por pessoas físicas ou jurídicas do setor público ou privado, independentemente dos meios utilizados para o tratamento ou do país em que o controlador ou os dados estejam localizados, desde que: 1) o tratamento seja realizado no Brasil, 2) o tratamento seja destinado à oferta ou fornecimento de bens ou serviços, ou ao tratamento de dados de pessoas localizadas no Brasil, ou 3) os dados pessoais tenham sido coletados no Brasil.

A LGPD estabelece princípios e regras para o processamento de dados pessoais. As organizações devem demonstrar a adoção de medidas capazes de comprovar a conformidade com as regras de proteção de dados pessoais, incluindo a eficácia dessas medidas, exigindo a criação e a aplicação de políticas compatíveis aplicáveis ao processamento de dados pessoais.

Sob a LGPD, os controladores e operadores (conforme definido na LGPD) são obrigados a adotar medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilegais de destruição, perda, alteração, comunicação ou qualquer tipo de atividade de tratamento imprópria ou ilegal. Além disso, a LGPD concede à Autoridade Nacional de Proteção de Dados ("ANPD") autoridade para estabelecer padrões técnicos mínimos a serem implementados por controladores e operadores.

A AWS está atenta à privacidade e à segurança dos seus dados. Na AWS, a segurança começa na infraestrutura central. Criada especificamente para a nuvem e projetada para cumprir os requisitos mais rigorosos de segurança do mundo, nossa infraestrutura é monitorada 24 horas por dia, 7 dias por semana para garantir a confidencialidade, a integridade e a disponibilidade dos dados dos clientes. Os mesmos especialistas de segurança de dados que monitoram essa infraestrutura também criam e mantêm nossa ampla seleção de serviços de segurança inovadores, os quais podem ajudar a simplificar o cumprimento de seus próprios requisitos regulatórios e de segurança. Como cliente da AWS, independentemente do seu porte ou da sua localização, você recebe todos os benefícios da nossa experiência, testados de acordo com as mais rigorosas estruturas de garantia de terceiros.

A AWS implementa e mantém medidas de segurança técnica e organizacional aplicáveis a serviços de infraestrutura da Nuvem AWS em estruturas e certificações de garantia de segurança reconhecidas mundialmente, incluindo ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, PCI DSS Level 1 e SOC 1, 2 e 3. Essas medidas de segurança técnica e organizacional são validadas por auditores externos independentes e são projetadas para impedir o acesso não autorizado ao conteúdo de clientes ou a divulgação não autorizada desse conteúdo.

Por exemplo, a certificação ISO 27018 é o primeiro código de práticas internacional que enfatiza a proteção de dados pessoais na nuvem. Ela é baseada no padrão de segurança de informações 27002 e oferece orientações para a implementação dos controles da ISO 27002 aplicáveis a informações de identificação pessoal (PII) processadas por provedores de serviços de nuvem pública. Isso demonstra aos clientes que a AWS implementou um sistema de controles para abordar especificamente a proteção da privacidade do conteúdo desses clientes.

Essas medidas técnicas e organizacionais abrangentes da AWS são consistentes com as metas da LGPD para proteger dados pessoais. Os clientes que usam os serviços da AWS mantêm controle sobre o próprio conteúdo e são responsáveis por implementar medidas de segurança adicionais com base em suas necessidades específicas, incluindo classificação, criptografia, gerenciamento de acesso e credenciais de segurança para o seu conteúdo.

Como a AWS não tem visibilidade ou conhecimento sobre o que os clientes estão carregando em sua rede, incluindo se esses dados estão ou não sujeitos à LGPD, os clientes são essencialmente responsáveis por sua própria conformidade com a LGPD e com os regulamentos relacionados. O conteúdo desta página complementa os recursos de privacidade de dados existentes para ajudar a alinhar seus requisitos com o Modelo de responsabilidade compartilhada da AWS durante o processamento de dados pessoais usando os serviços da AWS.

• O que é a LGPD?

  A Lei Geral de Proteção de Dados do Brasil ("LGPD") é a principal regulamentação do Brasil voltada para a proteção dos dados pessoais e entrou em vigor em 18 de setembro de 2020.

• A quem a LGPD se aplica?

  A LGPD aplica-se a todas as organizações, estabelecidas ou não no Brasil, que processam dados pessoais para oferecer ou prestar bens ou serviços a pessoas no Brasil. A LGPD também se aplica a organizações que coletam ou processam dados pessoais no Brasil. Dados pessoais são quaisquer informações relacionadas a uma pessoa física identificada ou identificável.
  

• Os serviços da AWS estão em conformidade com a LGPD?

  Podemos confirmar que todos os serviços da AWS podem ser usados em conformidade com a LGPD. Isso significa que, além dos benefícios oferecidos por todas as medidas já tomadas pela AWS para manter a segurança dos serviços, os clientes podem implantar serviços da AWS como parte essencial de seus planos de conformidade com a LGPD. Para obter mais detalhes, veja nosso whitepaper, Navegando na conformidade com a LGPD na AWS.
  

• Onde um titular de dados pode encontrar informações sobre o exercício dos direitos da LGPD?

  Em 14 de agosto de 2020, atualizamos nosso aviso de privacidade para explicar nossas políticas como controlador de dados à luz das exigências da LGPD, incluindo como os titulares dos dados podem exercer seus direitos nos termos da lei.
  

• A AWS tem um centro de privacidade com uma descrição abrangente das posições de privacidade da AWS e dos direitos concedidos aos clientes?

  Sim. Nossa página de Privacidade de dados fornece informações sobre nossas políticas e práticas de privacidade. Também atualizamos nosso aviso de privacidade para incluir todas as divulgações exigidas pela LGPD, incluindo como os clientes podem exercer seus direitos nos termos da lei.
  

• A AWS está em conformidade com a proteção de dados em outros países da região LATAM?

  A AWS mantém continuamente um patamar elevado de segurança e conformidade em todas as suas operações globais. As proteções que disponibilizamos para o GDPR e a LGPD estão disponíveis para clientes em todo o mundo, e nossos clientes podem usar essas proteções para garantir a conformidade com suas leis locais de proteção de dados.
  

• Qual é o papel do cliente na proteção do próprio conteúdo?

  De acordo com o modelo de responsabilidade compartilhada da AWS, nossos clientes mantêm o controle do tipo de segurança que desejam implementar para proteger conteúdo, plataforma, aplicativos, sistemas e redes, da mesma maneira como ocorreria em um datacenter local. A LGPD não altera o modelo de responsabilidade compartilhada da AWS, que continua relevante para clientes e parceiros do APN que se dedicam a usar serviços de computação em nuvem. O modelo de responsabilidade compartilhada é uma abordagem útil para ilustrar as diferentes responsabilidades da AWS (como processadora ou subprocessadora de dados) e dos clientes ou parceiros do APN (como controladores ou processadores de dados) nos termos da LGPD. No modelo de responsabilidade compartilhada, a AWS é responsável pela proteção da infraestrutura subjacente que sustenta a nuvem, e os clientes e parceiros do APN, atuando como controladores ou processadores de dados, são responsáveis por todos os dados pessoais que colocam na nuvem. Os clientes podem aproveitar as medidas e controles de segurança técnica e organizacional oferecidos pela AWS para gerenciar seus próprios requisitos de conformidade. Os clientes podem usar medidas conhecidas para proteger seus dados, como criptografia e autenticação multifator, além de recursos de segurança da AWS, como o AWS Identity and Access Management.

  Ao avaliar a segurança de uma solução em nuvem, é importante que os clientes entendam e façam a distinção entre:

  • Medidas de segurança implementadas e operadas pela AWS, a “segurança da nuvem”, e
  • Medidas de segurança implementadas e operadas pelo cliente, relacionadas à segurança do conteúdo e dos aplicativos dos clientes que usam os serviços da AWS - “segurança na nuvem”
    

   

  Para obter mais informações sobre medidas adicionais que os clientes podem tomar e as soluções que a AWS oferece, consulte a página da Web de aprendizagem do AWS Security.

  

• Quem pode acessar o conteúdo do cliente?

  Os clientes mantêm a propriedade e o controle sobre seu conteúdo e escolhem quais os serviços da AWS que processam, armazenam e hospedam esse conteúdo. A AWS não tem visibilidade sobre o conteúdo do cliente e não acessa ou usa o conteúdo do cliente, exceto para fornecer os serviços da AWS selecionados por um cliente ou quando necessário para cumprir a lei ou uma ordem judicial obrigatória.

  Os clientes que usam os serviços da AWS mantêm o controle sobre seu conteúdo no ambiente da AWS. Eles podem:

  • Determinar onde o conteúdo ficará localizado. Por exemplo, o tipo de ambiente de armazenamento e a região geográfica desse armazenamento.
  • Controlar o formato do conteúdo. Por exemplo: texto simples, mascarado, anonimizado ou criptografado, usando a criptografia disponibilizada pela AWS ou um mecanismo de criptografia de terceiros escolhido pelos clientes.
  • Gerenciar outros controles de acesso, como gerenciamento de identidade e acesso, e credenciais de segurança.
  • Controlar se serão usadas SSL, nuvem privada virtual e outras medidas de segurança de rede para evitar acesso não autorizado.

  Isso permite que os nossos clientes controlem todo o ciclo de vida do seu conteúdo na AWS e o gerenciam de acordo com as próprias necessidades específicas, incluindo classificação, controle de acesso, retenção e exclusão de conteúdo.
  

• Onde o conteúdo do cliente será armazenado?

  Os datacenters da AWS são criados em clusters em vários locais em todo o mundo. Chamamos esses clusters de datacenter em um determinado local de “região”.

  Os clientes da AWS escolhem uma ou mais regiões da AWS nas quais seu conteúdo será armazenado. Isso permite que clientes com requisitos geográficos específicos estabeleçam ambientes em locais de sua escolha.

  Os clientes podem replicar e fazer backup do conteúdo em mais de uma região, mas a AWS não move o conteúdo do cliente para uma região fora daquela escolhida por ele, exceto para fornecer serviços conforme solicitado pelos clientes ou para cumprir a legislação aplicável.
  
  

• Como a AWS protege seus datacenters?

  A estratégia de segurança de datacenters da AWS é montada com controles de segurança e várias camadas de defesa escaláveis que ajudam a proteger as informações. Por exemplo, a AWS gerencia cuidadosamente possíveis riscos de inundação e atividades sísmicas. Usamos barreiras físicas, guardas de segurança, tecnologia de detecção de ameaças e um processo de triagem detalhada para limitar o acesso aos datacenters. Fazemos backup dos nossos sistemas, testamos regularmente equipamentos e processos e treinamos continuamente os funcionários da AWS para que estejam preparados para o inesperado.

  Para validar a segurança dos nossos datacenters, auditores externos executam testes em mais de 2.600 padrões e requisitos durante todo o ano. Esse exame independente ajuda a garantir que os padrões de segurança sejam consistentemente cumpridos ou excedidos. Como resultado, as organizações mais altamente regulamentadas do mundo confiam na AWS para a proteção de seus dados.

  Saiba mais sobre como protegemos os datacenters da AWS por projeto fazendo um tour virtual.

• Quais regiões da AWS posso usar?

  Os clientes podem escolher usar uma região, todas as regiões ou qualquer combinação de regiões. Acesse a página de infraestrutura global da AWS para obter uma lista completa das regiões da AWS.
  

• Quais medidas de segurança a AWS implementou para proteger os sistemas?

  A infraestrutura da Nuvem AWS foi projetada para ser um dos ambientes de computação em nuvem mais flexíveis e seguros atualmente disponíveis. A escala da Amazon permite um volume de investimentos em vigilância e contramedidas de segurança consideravelmente maior que praticamente qualquer outra grande empresa pode se permitir. Essa infraestrutura consiste em hardware, software, redes e instalações que executam os serviços da AWS e oferecem controles avançados aos clientes e parceiros do APN, incluindo controles de configuração de segurança, para processar dados pessoais. Encontre mais detalhes sobre as medidas implementadas pela AWS para manter níveis consistentemente altos de segurança no whitepaper de visão geral dos processos de segurança da AWS.

  Além disso, a AWS oferece vários relatórios de conformidade de auditores externos, que testaram e verificaram nossa conformidade com diversas normas e regulamentos de segurança, incluindo a ISO/IEC 27001, ISO/IEC 27017 e ISO/IEC 27018. Para fornecer transparência sobre a eficácia dessas medidas, fornecemos acesso aos relatórios de auditoria de terceiros no AWS Artifact. Esses relatórios mostram aos nossos clientes e parceiros do APN, que podem atuar como controladores ou processadores de dados, que protegemos a infraestrutura subjacente que usam para armazenar e processar dados pessoais. Para obter mais informações, acesse os recursos de conformidade.
  

• O que a AWS fez para se preparar para a LGPD?

  Os departamentos de conformidade e proteção de dados, bem como os especialistas em segurança da AWS têm trabalhado com os clientes para responder suas perguntas e ajudá-los a se preparar para a execução de cargas de trabalho na Nuvem AWS. Essas equipes também analisaram a prontidão dos serviços da AWS para atender às exigências da LGPD. Além disso, oferecemos aos clientes um Contrato de processamento de dados que atenderá aos requisitos da LGPD.

  A AWS mantém continuamente um patamar elevado de segurança e conformidade em todas as suas operações globais. A segurança sempre foi nossa maior e mais importante prioridade. Nossa segurança líder no setor disponibiliza a base para uma longa lista de certificações e credenciamentos reconhecidos internacionalmente, o que demonstra conformidade com padrões internacionais rigorosos, como ISO 27017 para segurança de nuvem, ISO 27018 para privacidade de nuvem, SOC 1, SOC 2 e SOC 3, PCI DSS nível 1, NIST FIPS 140-2, C5 e muitos outros. Para oferecer transparência sobre a eficácia dessas medidas, oferecemos aos clientes e parceiros do APN acesso a relatórios de auditorias externas no Console de Gerenciamento da AWS. Esses relatórios mostram aos nossos clientes e parceiros do APN, que podem atuar como controladores ou processadores de dados, que protegemos a infraestrutura subjacente que usam para armazenar e processar dados pessoais. Para obter mais informações, acesse a nossa Página de conformidade.
  
  

• Quais serviços a AWS oferece aos clientes para ajudá-los a cumprir os requisitos da LGPD?

  A AWS já está disponibilizando recursos e serviços específicos que ajudam os clientes a atender aos requisitos da LGPD:

  Controle de acesso a dados: permite que somente administradores, usuários e aplicativos autorizados acessem os recursos da AWS

  • Multi-Factor Authentication (MFA)
  • Acesso granular refinado a objetos nos buckets do Amazon S3/no Amazon SQS/no Amazon SNS e mais
  • Autenticação de solicitação de APIs
  • Restrições geográficas
  • Acesso temporário a tokens por meio do AWS Security Token Service

  Monitoramento e registro em log: obtenha uma visão geral sobre as atividades nos seus recursos da AWS.

  • Gerenciamento e configuração de ativos com o AWS Config
  • Auditoria de conformidade e análise de segurança com o AWS CloudTrail
  • Identificação de desafios de configuração por meio do AWS Trusted Advisor
  • Registro em log de acesso granular refinado a objetos do Amazon S3
  • Informações detalhadas sobre fluxos na rede por meio do Amazon VPC Flow Logs
  • Verificações e ações de configuração baseada em regras com o AWS Config Rules
  • Filtragem e monitoramento do acesso HTTP a aplicativos com funções do WAF no AWS CloudFront

  Criptografia: criptografe dados na AWS.

  • Criptografia dos seus dados em repouso com o AES256 (EBS/S3/Glacier/RDS)
  • Gerenciamento centralizado de chaves (por região da AWS)
  • Túneis IPsec na AWS com gateways de VPN
  • Módulos HSM dedicados na nuvem com o AWS CloudHSM
    

• Como a AWS pode ajudar os controladores de dados a cumprir suas obrigações de notificação sobre violações de dados nos termos da LGPD?

  A AWS oferece aos clientes e parceiros do APN diversas ferramentas para compreender quem tem acesso a seus recursos, bem como o momento e o local do acesso. Uma dessas ferramentas é o AWS CloudTrail, que oferece governança, conformidade, auditorias operacionais e auditorias de risco para contas da AWS. Com o AWS CloudTrail, os clientes podem registrar, monitorar continuamente e reter informações sobre a atividade da conta relacionada às ações executadas na infraestrutura da AWS. Dessa forma, as organizações compreendem o que ocorre em sua infraestrutura na AWS e podem tomar medidas imediatas em caso de atividades incomuns. Para obter mais informações sobre o AWS CloudTrail e sobre as outras ferramentas de segurança disponibilizadas aos clientes pela AWS para auxiliar no cumprimento de suas obrigações como controladores de dados nos termos da LGPD, acesse nossa página da Web de segurança.
  

• Como a AWS me ajuda a proteger meus dados contra ataques cibernéticos?

  A AWS oferece aos clientes e parceiros do APN várias ferramentas para proteger dados e ajudar a proteger contra ataques cibernéticos. Uma dessas ferramentas é o AWS Shield. O AWS Shield é um serviço gerenciado de proteção contra ataques distribuídos de negação de serviço (DDoS) que mantém a segurança de sites e aplicativos executados na AWS. O AWS Shield Standard é disponibilizado gratuitamente e oferece detecção sempre ativa e mitigações em linha automáticas que podem minimizar o tempo de inatividade e a latência dos aplicativos. Para obter níveis mais altos de proteção contra ataques direcionados a aplicativos web executados na AWS que usam recursos dos serviços ELB, Amazon CloudFront e Amazon Route 53, os clientes e os parceiros do APN podem assinar o AWS Shield Advanced.
  

• Como a AWS processa as instruções de exclusão dos clientes?

  Os serviços da AWS permitem excluir o conteúdo de clientes sob demanda por meio do Console de Gerenciamento da AWS, das APIs ou de outros métodos de entrada. Para obter mais informações sobre funcionalidades de serviços específicos, consulte a nossa Documentação.
  

• Com quem devo entrar em contato se tiver dúvidas a respeito da LGPD e da AWS?

  Além da nossa página de Privacidade de dados e do nosso aviso de privacidade, recomendamos que os clientes e os parceiros da APN com perguntas sobre proteção de dados ou a AWS e a LGPD entrem em contato primeiro com seu gerente de contas da AWS. Se os clientes assinaram o Enterprise Support, também podem entrar em contato com seu gerente de contas técnicas (TAM). Os TAMs trabalham com os arquitetos de soluções para ajudar os clientes a identificar possíveis riscos e mitigações. Os TAMs e as equipes de contas também podem indicar recursos específicos aos clientes e parceiros do APN, de acordo com seu ambiente e suas necessidades.

  Além disso, a AWS tem equipes de representantes do Enterprise Support, consultores de serviços profissionais e outras equipes que podem ajudar a resolver dúvidas sobre a LGPD. Para oferecer orientação adicional aos clientes e parceiros do APN, a AWS também promove várias palestras, webinars e workshops nas Conferências da AWS para ajudá-los a compreender a LGPD e a implementar soluções usando as ferramentas da AWS.