Privacidade de dados na Argentina
Visão geral
A Lei de Proteção de Dados Pessoais N.º 25.326, incluindo o Decreto Regulamentar N.º 1558/2001 e regulamentos suplementares (“PDPA”) da Argentina, é uma lei federal argentina que se aplica à proteção de dados pessoais na Argentina e à transferência internacional de dados pessoais para processamento. Em julho de 2018, a autoridade em proteção de dados da Argentina (Agencia de Acceso a la Información Pública, “ADPA”) emitiu a Disposição 47/2018 (“Disposição 47”) sob os termos da PDPA, que revogou a Disposição N.º 11/2006 relacionada a medidas de segurança que os controladores de dados (ou seja, clientes da AWS) precisariam considerar ao processar dados pessoais. A Disposição 47 descreve novas medidas de segurança recomendadas que estão alinhadas com as melhores práticas e padrões internacionais, além de visarem proteger a confidencialidade e integridade dos dados pessoais durante seu processamento, da coleta de dados à exclusão. Em especial, essa nova resolução atualizou a lista de medidas e controles recomendados para a gestão, planejamento, controle e melhoria da segurança ao processar dados pessoais. Tais medidas de segurança recomendadas estão dividas em atividades relacionadas por categorias de processamento, incluindo coleta de dados, controles de acesso, controles de alteração, backup e recuperação, gestão de vulnerabilidade, remoção e exclusão de dados, incidentes de segurança e ambientes de desenvolvimento. Além disso, a Resolução 47 inclui uma lista de medidas de segurança aplicáveis a “dados confidenciais” (conforme definição contida no PDPL).
A AWS está atenta à privacidade e à segurança dos seus dados. Na AWS, a segurança começa na infraestrutura central. Criada especificamente para a nuvem e projetada para cumprir os requisitos mais rigorosos de segurança do mundo, nossa infraestrutura é monitorada 24 horas por dia, 7 dias por semana, para garantir a confidencialidade, integridade e disponibilidade dos dados dos nossos clientes. Os mesmos especialistas de segurança de dados mais bem preparados que monitoram essa infraestrutura também criam e mantêm nossa ampla seleção de serviços de segurança inovadores, os quais podem ajudar a simplificar o cumprimento de seus próprios requisitos regulatórios e de segurança. Como cliente da AWS, independentemente do seu porte ou da sua localização, você recebe todos os benefícios da nossa experiência, testados de acordo com as mais rigorosas estruturas de garantia de terceiros.
A AWS implementa e mantém medidas de segurança técnica e organizacional aplicáveis a serviços de infraestrutura da Nuvem AWS em estruturas e certificações de garantia de segurança reconhecidas mundialmente, incluindo ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1 e SOC 1, 2 e 3. Essas medidas de segurança técnica e organizacional são validadas por auditores externos independentes e são projetadas para impedir o acesso não autorizado ao conteúdo de clientes ou a divulgação não autorizada desse conteúdo.
Por exemplo, a certificação ISO 27018 é o primeiro código de práticas internacional que enfatiza a proteção de dados pessoais na nuvem. Ela é baseada no padrão de segurança de informações 27002 e oferece orientações para a implementação dos controles da ISO 27002 aplicáveis a informações de identificação pessoal (PII) processadas por provedores de serviços de nuvem pública. Isso demonstra aos clientes que a AWS implementou um sistema de controles para abordar especificamente a proteção da privacidade do conteúdo desses clientes.
Essas medidas técnicas e organizacionais abrangentes da AWS são consistentes com as metas da PDPA, e da Disposição 47 nos termos da PDPA, para proteger dados pessoais. Os clientes que usam os serviços da AWS mantêm controle sobre o próprio conteúdo e são responsáveis por implantar medidas de segurança adicionais com base em suas necessidades específicas, incluindo classificação, criptografia, gerenciamento de acesso e credenciais de segurança para o seu conteúdo.
Como a AWS não tem visibilidade ou conhecimento sobre o que os clientes estão carregando em sua rede, incluindo se esses dados estão ou não sujeitos à PDPA, os clientes são essencialmente responsáveis por sua própria conformidade com a PDPA e com os regulamentos relacionados. O conteúdo desta página complementa os recursos existentes de privacidade de dados para ajudar a alinhar seus requisitos com o modelo de responsabilidade compartilhada da AWS quando você processa dados pessoais em datacenters internacionais.
-
Qual é o papel do cliente na proteção do próprio conteúdo?
De acordo com o modelo de responsabilidade compartilhada da AWS, nossos clientes mantêm o controle do tipo de segurança que desejam implantar para proteger conteúdo, plataforma, aplicativos, sistemas e redes da mesma maneira como ocorreria em um datacenter on-premises. Os clientes podem aproveitar as medidas e controles de segurança técnica e organizacional oferecidos pela AWS para gerenciar seus próprios requisitos de conformidade. Os clientes podem usar medidas conhecidas para proteger seus dados, como criptografia e autenticação multifator, além de recursos de segurança da AWS, como o AWS Identity and Access Management.
Ao avaliar a segurança de uma solução em nuvem, é importante que os clientes entendam e façam a distinção entre:
- Medidas de segurança implementadas e operadas pela AWS, a “segurança da nuvem”, e
- Medidas de segurança implementadas e operadas pelo cliente, relacionadas à segurança do conteúdo e dos aplicativos dos clientes que usam os serviços da AWS - “segurança na nuvem”
-
Quem pode acessar o conteúdo do cliente?
Os clientes mantêm a propriedade e o controle sobre seu conteúdo e escolhem quais os serviços da AWS que processam, armazenam e hospedam esse conteúdo. A AWS não tem visibilidade sobre o conteúdo do cliente e não acessa ou usa o conteúdo do cliente, exceto para fornecer os serviços da AWS selecionados por um cliente ou quando necessário para cumprir a lei ou uma ordem judicial obrigatória.
Os clientes que usam os serviços da AWS mantêm o controle sobre seu conteúdo no ambiente da AWS. Eles podem:
- Determinar onde o conteúdo ficará localizado. Por exemplo, o tipo de ambiente de armazenamento e a região geográfica desse armazenamento.
- Controlar o formato do conteúdo. Por exemplo: texto simples, mascarado, anonimizado ou criptografado, usando a criptografia disponibilizada pela AWS ou um mecanismo de criptografia de terceiros escolhido pelos clientes.
- Gerenciar outros controles de acesso, como gerenciamento de identidade e acesso, e credenciais de segurança.
- Controlar se serão usadas SSL, nuvem privada virtual e outras medidas de segurança de rede para evitar acesso não autorizado.
Isso permite que os nossos clientes controlem todo o ciclo de vida do seu conteúdo na AWS e o gerenciam de acordo com as próprias necessidades específicas, incluindo classificação, controle de acesso, retenção e exclusão de conteúdo.
-
Onde o conteúdo do cliente é armazenado?
A infraestrutura global da AWS oferece a flexibilidade de escolher como e onde você deseja executar suas workloads e, quando o fizer, usará a mesma rede, plano de controle, API e produtos da AWS. Caso deseje executar suas aplicações globalmente, pode escolher entre qualquer uma das regiões e zonas de disponibilidade da AWS. Como cliente, você escolhe as regiões da AWS em que o seu conteúdo do cliente é armazenado, o que permite implantar produtos da AWS nos locais escolhidos e de acordo com seus requisitos geográficos específicos. Por exemplo, se um cliente da AWS na Austrália quiser armazenar seus dados apenas na Austrália, ele pode optar por implantar seus produtos da AWS exclusivamente na região da AWS Ásia-Pacífico (Sydney). Caso deseje saber outras opções de armazenamento flexível, consulte a página da Web Regiões da AWS.
Você pode replicar e fazer backup do conteúdo do cliente em mais de uma região da AWS. Nós não vamos mover ou replicar o seu conteúdo em outro local além das regiões da AWS escolhidas sem o seu consentimento, exceto em cada caso, conforme necessário para cumprir a lei ou uma ordem vinculativa de um órgão governamental. No entanto, vale lembrar que nem todos os produtos da AWS estão disponíveis em todas as regiões da AWS. Para obter mais informações sobre quais produtos estão disponíveis em quais regiões da AWS, consulte a página da Web Serviços regionais da AWS.
-
Como a AWS protege seus datacenters?
A estratégia de segurança de datacenters da AWS é montada com controles de segurança e várias camadas de defesa escaláveis que ajudam a proteger as informações. Por exemplo, a AWS gerencia cuidadosamente possíveis riscos de inundação e atividades sísmicas. Usamos barreiras físicas, guardas de segurança, tecnologia de detecção de ameaças e um processo de triagem detalhada para limitar o acesso aos datacenters. Fazemos backup dos nossos sistemas, testamos regularmente equipamentos e processos e treinamos continuamente os funcionários da AWS para que estejam preparados para o inesperado.
Para validar a segurança dos nossos datacenters, auditores externos executam testes em mais de 2.600 padrões e requisitos durante todo o ano. Esse exame independente ajuda a garantir que os padrões de segurança sejam consistentemente cumpridos ou excedidos. Como resultado, as organizações mais altamente regulamentadas do mundo confiam na AWS para a proteção de seus dados.
Saiba mais sobre como protegemos os datacenters da AWS por projeto fazendo um tour virtual »
-
Quais regiões da AWS posso usar?
Os clientes podem optar por usar qualquer região, todas as regiões ou uma combinação de regiões, incluindo regiões no Brasil e nos Estados Unidos. Acesse a página de infraestrutura global da AWS para obter uma lista completa das regiões da AWS.
-
A Autoridade Argentina de Proteção de Dados determinou que alguns países oferecem um “nível adequado de proteção” para dados pessoais. A AWS tem regiões em qualquer um desses países?
Nos termos da PDPL, os controladores de dados (ou seja, os clientes da AWS) estão autorizados a transferir dados pessoais para jurisdições que ofereçam um “nível adequado de proteção” dos dados pessoais, conforme determinado pela ADPA. De acordo com a Disposição 60-E/2016, publicada pela ADPA, considera-se que os estados-membro da União Europeia (UE) ou da Comunidade Econômica Europeia (EEC) oferecem níveis adequados de proteção para dados pessoais.
A AWS tem regiões em diversos países que a ADPA considera que oferecem um “nível de proteção adequado” nos termos da PDPL, como Alemanha, França, Reino Unido e Irlanda, na UE. Acesse a página de infraestrutura global da AWS para obter uma lista completa das regiões da AWS.
Independentemente da região escolhida, a AWS aplica os mesmos padrões de segurança a seus datacenters.
-
Quais acordos internacionais de transferência de dados são oferecidos pela AWS para abordar a proteção de dados pessoais transferidos para qualquer país, incluindo o Brasil e os Estados Unidos?
Em seus acordos com os clientes, a AWS assume compromissos específicos de segurança e privacidade que se aplicam de forma geral ao conteúdo do cliente em cada região escolhida pelo cliente para armazenar seus dados. Os compromissos assumidos pela AWS são consistentes com as metas da PDPA, da Disposição 60-E/2016 e da Disposição 47/2018 sob os termos da PDPA para a proteção de dados pessoais.
A AWS também oferece um Adendo de Processamento de ddados (DPA) internacional, também chamado de acordo de transferência de dados, que se aplica globalmente e inclui compromissos contratuais específicos para abordar adequadamente a privacidade e a segurança de dados pessoais.
Os clientes também têm a opção de se inscrever em um acordo corporativo com a AWS, que pode ser personalizado em mais detalhes para melhor adequação às necessidades específicas dos clientes. Para obter informações adicionais sobre os acordos corporativos ou o DPA, entre em contato com o seu representante de vendas da AWS.