A proteção de dados pessoais (DP) em nuvens públicas

Entenda quais são os objetivos de controle, controles e diretrizes comumente aceitos para implementação de medidas para proteção de dados pessoais (DP), de acordo com os princípios de privacidade descritos na NBR ISO/IEC 29100, para o ambiente de computação em nuvem pública.

A NBR ISO/IEC 27018 de 03/2021 – Tecnologia da informação – Técnicas de segurança – Código de prática para proteção de dados pessoais (DP) em nuvens públicas que atuam como operadores de DP estabelece objetivos de controle, controles e diretrizes comumente aceitos para implementação de medidas para proteção de dados pessoais (DP), de acordo com os princípios de privacidade descritos na NBR ISO/IEC 29100, para o ambiente de computação em nuvem pública. Em particular, este documento especifica diretrizes com base na NBR ISO/IEC 27002, levando em consideração os requisitos regulatórios para a proteção de DP que podem ser aplicáveis dentro do contexto do (s) ambiente (s) de risco de segurança da informação de um provedor de serviços em nuvem pública.

Este documento é aplicável a todos os tipos e tamanhos de organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que fornecem serviços de tratamento de informações, como operadores de DP, por meio da computação em nuvem sob contrato para outras organizações. As diretrizes deste documento também podem ser pertinentes para organizações que atuam como controladores de DP. Os controladores de DP, entretanto, podem estar sujeitos à legislação, regulamentos e obrigações adicionais de proteção de DP, não aplicáveis aos operadores de DP. Este documento não se destina a abranger estas obrigações adicionais.

Acesse algumas indagações relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como deve ser feita a separação dos ambientes de desenvolvimento, teste e operação?

Quais as diretrizes para os registros de eventos na implementação da proteção de DP em nuvem pública?

Quais são as políticas e procedimentos para transferência de informações?

O que deve ser feito para a gestão de incidentes de segurança da informação?

Os provedores de serviços em nuvem que tratam dados pessoais (DP) sob contrato com seus clientes têm que operar seus serviços de forma a permitir que ambas as partes atendam aos requisitos da legislação e aos regulamentos aplicáveis que abrangem a proteção de DP. Os requisitos e a forma como os requisitos são divididos entre o provedor de serviços em nuvem e seus clientes variam de acordo com a jurisdição legal e de acordo com os termos do contrato entre o provedor de serviços em nuvem e o cliente.

A legislação que regula como os DP podem ser tratados (ou seja, coletados, utilizados, transferidos e descartados) é algumas vezes referida como legislação de proteção de dados. Os DP são algumas vezes referidos como dados pessoais ou informações pessoais. As obrigações que incidem sobre um operador de DP variam de jurisdição para jurisdição, sendo um desafio para as empresas que fornecem serviços de computação em nuvem os operarem multinacionalmente.

Um provedor de serviços em nuvem pública é um operador de DP quando ele trata DP de acordo com as instruções de um cliente que utiliza serviços em nuvem. O cliente que utiliza serviços em nuvem, que tem o relacionamento contratual com o operador de DP em nuvem pública, pode variar de uma pessoa física, um titular de DP, tratando sua própria DP na nuvem, até uma organização, um controlador de DP, que trata o DP relativo a muitos titulares de DP.

O cliente que utiliza serviços em nuvem pode autorizar um ou mais usuários para serviço em nuvem associados a ele a utilizar os serviços disponibilizados sob seu contrato com o operador de DP em nuvem pública. Observar que o cliente que utiliza serviços em nuvem tem autoridade sobre o tratamento e uso dos dados.

Um cliente que utiliza serviços em nuvem, que também é um controlador de DP, pode estar sujeito a um conjunto mais amplo de obrigações que regulam a proteção de DP do que o operador de DP em nuvem pública. A manutenção da distinção entre o controlador de DP e o operador de DP depende de o operador de DP em nuvem pública não ter objetivos de tratamento de dados diferentes dos estabelecidos pelo cliente que utiliza serviços em nuvem em relação ao DP que ele trata e às operações necessárias para atingir os objetivos do cliente que utiliza serviços em nuvem.

Quando o operador de DP em nuvem pública estiver tratando de dados da conta do cliente que utiliza serviços em nuvem, ele pode estar atuando como um controlador de DP para esta finalidade. Este documento não abrange esta atividade. A intenção deste documento, quando utilizado em conjunto com os objetivos e controles de segurança da informação descritos na NBR ISO/IEC 27002, é criar um conjunto comum de categorias e controles de segurança que possam ser implementados por um provedor de serviços de computação em nuvem pública que atua como um operador de DP.

Este documento tem os seguintes objetivos: auxiliar o provedor de serviços em nuvem pública a atender às obrigações aplicáveis ao atuar como um operador de DP, se estas obrigações incidirem sobre o operador de DP diretamente ou por contrato; permitir que o operador de DP em nuvem pública seja transparente em assuntos relevantes, de modo que os clientes possam selecionar serviços de tratamento de DP baseados em nuvem bem controlados; auxiliar o cliente que utiliza serviços em nuvem e o operador de DP em nuvem pública a realizarem um acordo contratual; prover aos clientes que utilizam serviços em nuvem um mecanismo para o exercício de direitos e responsabilidades de auditoria e conformidade, nos casos em que auditorias individuais do cliente que utiliza serviços em nuvem de dados hospedados em um ambiente de servidor virtualizado (nuvem) com várias partes possam ser impraticáveis tecnicamente e possam aumentar os riscos a estes controles de segurança de rede física e lógica no local.

Este documento pode auxiliar ao prover uma estrutura de conformidade comum para os provedores de serviços em nuvem pública, especialmente aqueles que operam em um mercado multinacional. Ele é projetado para que as organizações o utilizem como uma referência para selecionar controles de proteção de DP dentro do processo de implementação de um sistema de gestão de segurança da informação de computação em nuvem, com base na NBR ISO/IEC 27001, ou como documento de orientação para implementação de controles de proteção de DP comumente aceitos por organizações que atuam como operadores de DP em nuvem pública.

Em particular, este documento foi baseado na NBR ISO/IEC 27002, levando em consideração o (s) ambiente (s) de risco específico (s) decorrente (s) dos requisitos de proteção de DP que podem ser aplicados aos provedores de serviços de computação em nuvem pública que atuam como operadores de DP. Normalmente, uma organização que implementa a NBR ISO/IEC 27001 está protegendo seus próprios ativos de informação.

Entretanto, no contexto dos requisitos de proteção de DP para um provedor de serviços em nuvem pública que atua como um operador de DP, a organização está protegendo os ativos de informação que são confiados a ela pelos seus clientes. A implementação dos controles da NBR ISO/IEC 27002 pelo operador de DP em nuvem pública é adequada para esta finalidade e necessária.

Este documento incrementa os controles da NBR ISO/IEC 27002 para acomodar a natureza distribuída do risco e a existência de uma relação contratual entre o cliente que utiliza serviços em nuvem e o operador de DP em nuvem pública. Este documento incrementa os controles da NBR ISO/IEC 27002 de duas maneiras: as diretrizes para implementação aplicáveis à proteção de DP em nuvem pública são providas para determinados controles existentes na NBR ISO/IEC 27002; e o Anexo A que fornece um conjunto de controles adicionais e diretrizes associadas, destinados a tratar dos requisitos de proteção de DP em nuvem pública não abordados pelo conjunto de controle existente na NBR ISO/IEC 27002.

A maioria dos controles e diretrizes deste documento também se aplicará a um controlador de DP. Entretanto, o controlador de DP, na maioria dos casos, estará sujeito às obrigações adicionais não especificadas neste documento. É essencial que uma organização identifique seus requisitos para a proteção de DP.

Existem três fontes principais de requisitos, conforme descrito a seguir. Os requisitos legais, estatutários, regulatórios e contratuais, em que uma fonte é representada pelos requisitos e obrigações legais, estatutários, regulatórios e contratuais que uma organização, seus parceiros comerciais, contratados e provedores de serviços têm que atender, e suas responsabilidades socioculturais e seu ambiente operacional.

Convém observar se a legislação, regulamentos e cláusulas contratuais realizados pelo operador de DP podem requerer a seleção de controles específicos e também podem necessitar de critérios específicos para a implementação destes controles. Estes requisitos podem variar de uma jurisdição para outra.

Os riscos que são outras fontes derivadas da avaliação de riscos à organização associados aos DP, levando em consideração a estratégia e os objetivos globais de negócio da organização. Por meio de uma avaliação de riscos, as ameaças são identificadas, a vulnerabilidade e a probabilidade de ocorrência são avaliadas e o impacto potencial é estimado.

A NBR ISO/IEC 27005 fornece as diretrizes sobre a gestão de riscos na segurança da informação, incluindo recomendações sobre a avaliação do risco, aceitação do risco, comunicação do risco, monitoramento do risco e análise crítica do risco. A NBR ISO/IEC 29134 fornece diretrizes sobre a avaliação do impacto de privacidade.

Quanto às políticas corporativas, enquanto muitos aspectos abrangidos por uma política corporativa são derivados de obrigações legais e socioculturais, uma organização também pode escolher, voluntariamente, ir além dos critérios que são derivados dos requisitos legais. Os controles podem ser selecionados deste documento (que inclui, por referência, os controles da NBR ISO/IEC 27002, criando um conjunto combinado de controle de referência para o setor ou aplicação especificado pelo escopo).

Se requerido, os controles também podem ser selecionados de outros conjuntos de controle, ou novos controles podem ser projetados para atender a necessidades específicas, conforme apropriado. Um serviço de tratamento de DP fornecido por um operador de DP em nuvem pública pode ser considerado uma aplicação de computação em nuvem em vez de um setor por si só. Entretanto, o termo específicos do setor é utilizado neste documento, uma vez que este é o termo convencional utilizado em outras normas da série ISO/IEC 27000.

A seleção de controles depende de decisões organizacionais com base nos critérios para aceitação do risco, nas opções para tratamento do risco e na abordagem geral da gestão de riscos aplicada à organização, e de acordos contratuais, de seus clientes e de seus fornecedores. A seleção de controles também está sujeita aos regulamentos e legislações nacionais e internacionais pertinentes.

Quando os controles neste documento não forem selecionados, é necessário que esta informação seja documentada, com justificativa pela omissão. Além disso, a seleção e a implementação de controles dependem da função real do provedor de nuvem pública no contexto de toda a arquitetura de referência de computação em nuvem (ver ISO/IEC 17789). Muitas organizações diferentes podem ser envolvidas no fornecimento de serviços de infraestrutura e de aplicação em um ambiente de computação em nuvem.

Em algumas circunstâncias, os controles selecionados podem ser exclusivos para uma categoria de serviço específica da arquitetura de referência de computação em nuvem. Em outros casos, pode haver funções compartilhadas na implementação de controles de segurança. Os acordos contratuais precisam especificar claramente as responsabilidades de proteção de DP de todas as organizações envolvidas em prover ou utilizar os serviços em nuvem, incluindo o operador de DP em nuvem pública, seus subcontratados e o cliente que utiliza serviços em nuvem.

Os controles neste documento podem ser considerados princípios de diretrizes e aplicáveis à maioria das organizações. Eles são explicados com mais detalhes a seguir, juntamente com as diretrizes para implementação. A implementação pode ser simplificada se os requisitos para a proteção de DP tiverem sido considerados no projeto do sistema de informações, serviços e operações do operador de DP em nuvem pública. Esta consideração é um elemento do conceito que é muitas vezes denominado Privacidade por Projeto.

Este documento pode ser considerado um ponto de partida para o desenvolvimento de diretrizes de proteção de DP. É possível que nem todos os controles e diretrizes contidos neste código de prática sejam aplicáveis. Além disso, controles e diretrizes adicionais não incluídos neste documento podem ser requeridos.

Quando documentos forem desenvolvidos contendo diretrizes ou controles adicionais, pode ser útil incluir referências cruzadas às Seções deste documento, quando aplicável, para facilitar a verificação da conformidade por auditores e parceiros de negócio. Os DP têm um ciclo de vida natural, desde a sua criação e origem, armazenamento, tratamento, uso e transmissão, até a sua eventual destruição ou obsolescência.

Os riscos aos DP podem variar durante o seu tempo de vida, porém a proteção de DP permanece importante em algumas etapas de todos os estágios. Os requisitos de proteção de DP precisam ser levados em consideração quando os sistemas de informações existentes e novos forem gerenciados por meio do seu ciclo de vida. Este documento possui uma estrutura similar à da NBR ISO/IEC 27002.

Nos casos em que os objetivos e controles especificados na NBR ISO/IEC 27002 são aplicáveis sem a necessidade de quaisquer informações adicionais, somente uma referência à NBR ISO/IEC 27002 é fornecida. Controles adicionais e diretrizes para implementação associadas, aplicáveis à proteção de DP para provedores de serviços de computação em nuvem, são descritos no Anexo A.

Nos casos em que os controles necessitam de orientações adicionais aplicáveis à proteção de DP para provedores de serviços de computação em nuvem, isto é provido sob o título Orientações para implementação da proteção de DP em nuvem pública. Em alguns casos, outras informações relevantes que incrementem as orientações adicionais são fornecidas, sob o título outras informações para proteção de DP em nuvem pública.

Conforme mostrado na tabela abaixo, estas orientações e informações específicas do setor estão incluídas nas categorias especificadas na NBR ISO/IEC 27002. Os números das Seções, que foram alinhados com os números das Seções correspondentes na NBR ISO/IEC 27002, estão indicados na tabela abaixo. Este documento deve ser utilizado em conjunto com a NBR ISO/IEC 27001, e os controles adicionais especificados no Anexo A devem ser considerados para adoção como parte do processo de implementação de um sistema de gestão de segurança da informação baseado na NBR ISO/IEC 27001.

De acordo com a NBR ISO/IEC 27002, cada categoria de controle principal contém: um objetivo do controle, declarando o que é para ser alcançado; e um ou mais controles que podem ser aplicados para alcançar o objetivo do controle. As descrições do controle estão estruturadas conforme o descrito a seguir.

O controle estabelece a declaração de controle específica para atender ao objetivo do controle. As diretrizes para implementação da proteção de DP em nuvem pública proveem informações mais detalhadas para apoiar a implementação do controle e atender aos objetivos do controle. As diretrizes podem não ser totalmente adequadas ou suficientes em todas as situações e podem não atender aos requisitos específicos de controle da organização. Os controles alternativos ou adicionais, ou outras formas de tratamento de risco (evitando, transferindo ou aceitando riscos) podem, portanto, ser apropriados.

Outras informações para proteção de DP em nuvem pública proveem informações adicionais que podem ser consideradas, como considerações legais e referências a outras normas. O controle e as diretrizes para implementação associadas e outras informações especificadas na NBR ISO/IEC 27002 são aplicáveis. As seguintes diretrizes específicas do setor também são aplicáveis.

Para as diretrizes para implementação da proteção de DP em nuvem pública, convém que as políticas de segurança da informação sejam incrementadas por uma declaração referente ao suporte e comprometimento em atingir o compliance com a legislação e os termos contratuais de proteção de DP aplicáveis acordados entre o operador de DP em nuvem pública e seus clientes (clientes que utilizam serviços em nuvem).

Convém que os acordos contratuais atribuam claramente as responsabilidades entre o operador de DP em nuvem pública, seus subcontratados e o cliente que utiliza serviços em nuvem, levando em consideração o tipo de serviço em nuvem em questão (por exemplo, um serviço de uma categoria IaaS, PaaS ou SaaS da arquitetura de referência de computação em nuvem).

Por exemplo, a atribuição de responsabilidade pelos controles da camada de aplicação pode diferir, dependendo se o operador de DP em nuvem pública está fornecendo um serviço de SaaS ou, em vez disso, está fornecendo um serviço de PaaS ou IaaS sobre o qual o cliente que utiliza serviços em nuvem pode construir ou estender em camadas suas próprias aplicações. Em algumas jurisdições, o operador de DP em nuvem pública está diretamente sujeito à legislação de proteção de DP.

Em outros locais, a legislação de proteção de DP é aplicável somente ao controlador de DP. Um mecanismo para assegurar que o operador de DP em nuvem pública está obrigado a apoiar e gerenciar o compliance é provido pelo contrato entre o cliente que utiliza serviços em nuvem e o operador de DP em nuvem pública.

O contrato pode requerer conformidade com auditoria independente, aceitável ao cliente que utiliza serviços em nuvem, por exemplo, por meio da implementação dos controles pertinentes neste documento e na NBR ISO/IEC 27002. Para as diretrizes para implementação da proteção de DP em nuvem pública, convém que medidas sejam implementadas para conscientizar os funcionários da organização, quando pertinente, sobre as possíveis consequências ao operador de DP em nuvem pública (por exemplo, consequências legais, perda de negócio e danos à marca ou de reputação), ao membro da equipe (por exemplo, consequências disciplinares) e ao titular de DP (por exemplo, consequências físicas, materiais e emocionais) na violação das regras e procedimentos de privacidade ou de segurança, especialmente aqueles que tratam da manipulação de DP.

Para as outras informações para proteção de DP em nuvem pública, em algumas jurisdições, o operador de DP em nuvem pública pode estar sujeito a sanções legais, incluindo multas substanciais diretamente da autoridade local de proteção de DP. Em outras jurisdições, convém que o uso de normas como este documento, na preparação do contrato entre o operador de DP em nuvem pública e o cliente que utiliza serviços em nuvem, auxilie a estabelecer uma base para sanções contratuais por violação de regras e procedimentos de segurança.

No contexto das categorias de serviço da arquitetura de referência de computação em nuvem, o cliente que utiliza serviços em nuvem pode ser responsável por alguns ou todos os aspectos do gerenciamento de acesso para usuários que utilizam serviços em nuvem sob seu controle. Quando apropriado, convém que o operador de DP em nuvem pública permita que o cliente que utiliza serviços em nuvem gerencie o acesso dos usuários sob seu controle, por exemplo, fornecendo direitos administrativos para gerenciar ou encerrar o acesso.

Convém que os procedimentos para registro e cancelamento do usuário tratem a situação quando o controle de acesso do usuário estiver comprometido, como a corrupção ou o comprometimento de senhas ou outros dados de registro do usuário (por exemplo, como resultado de uma divulgação involuntária). As jurisdições individuais podem impor requisitos específicos relativos à frequência de verificações para credenciais de autenticação não utilizadas.

Convém que as organizações que operam nessas jurisdições assegurem que elas atendam a estes requisitos. Convém que o operador de DP em nuvem pública forneça informações ao cliente que utiliza serviços em nuvem referentes às circunstâncias em que ele utiliza a criptografia para proteger os DP que ele trata.

Convém que o operador de DP em nuvem pública também forneça informações ao cliente que utiliza serviços em nuvem sobre quaisquer capacidades que ele fornece que possam auxiliar o cliente que utiliza serviços em nuvem a aplicar sua própria proteção criptográfica. Em algumas jurisdições, pode ser requerido aplicar a criptografia para proteger tipos específicos de DP, como dados de saúde relativos a um titular de DP, números de registro de residentes, números de passaporte e números de licença de motorista.

A operação com qualidade dos biobancos

Entenda os requisitos gerais para a competência, imparcialidade e operação consistente de biobancos, incluindo os requisitos de controle da qualidade, para assegurar a qualidade apropriada do material biológico e coleções de dados. 

A NBR ISO 20387 de 06/2020 – Biotecnologia — Atividades de biobancos — Requisitos gerais para atividades de biobancos especifica os requisitos gerais para a competência, imparcialidade e operação consistente de biobancos, incluindo os requisitos de controle da qualidade, para assegurar a qualidade apropriada do material biológico e coleções de dados. Este documento é aplicável a todas as organizações que realizam atividades de biobancos, incluindo as atividades de biobanco com material biológico de organismos multicelulares (por exemplo, humano, animal, fungo e planta) e micro-organismos, para pesquisa e desenvolvimento. Usuários de biobancos, autoridades regulamentadoras, organizações e esquemas que utilizam avaliação por pares, organismos de acreditação e outros, também podem usar este documento na confirmação ou reconhecimento da competência de biobancos.

Este documento não se aplica aos materiais biológicos destinados à produção de alimentos, aos laboratórios que realizam análises para produção de alimentos e/ou ao uso terapêutico. Regulamentos ou requisitos internacionais, nacionais ou regionais também podem ser aplicados a tópicos específicos contemplados neste documento. Para entidades que manipulam materiais humanos adquiridos e utilizados exclusivamente para fins de diagnóstico e de tratamento, a NBR ISO 15189 e outras normas clínicas se aplicam em primeiro lugar. Este documento foi desenvolvido com o objetivo de promover a confiança nas atividades de biobancos. Contém requisitos para permitir que biobancos demonstrem sua operação consistente e a habilidade em fornecer material biológico e dados associados de qualidade apropriada para pesquisa e desenvolvimento. Este documento destina-se a ser alcançado com o planejamento e a implementação de políticas, processos e procedimentos, abrangendo o ciclo de vida dos materiais biológicos e os seus dados associados. O uso deste documento facilita a cooperação, promove intercâmbio e auxilia na harmonização de práticas entre biobancos, pesquisadores e outras partes.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais os requisitos para as instalações/áreas dedicadas e condições ambientais?

Quais os equipamentos que devem possuir o biobanco?

Quais os requisitos de informação documentada?

Como deve ocorrer a distribuição e qualquer troca de material biológico?

Um biobanco é uma entidade legal, ou parte de uma entidade legal, que realiza atividades de biobanco. Suas atividades incluem o processo de aquisição e de armazenamento, junto com algumas ou todas as atividades relacionadas à coleta, preparação, preservação, ensaio, análise e distribuição de materiais biológicos definidos, assim como informações e dados relacionados. O biobanco deve ter procedimentos que abordem as suas atividades de cada tipo de material biológico e dados associados mantidos. Isso inclui processos como coleta/obtenção e/ou aquisição e recebimento, marcação, depósito/registro, catalogação/classificação, exame, preparação, preservação, armazenamento, gerenciamento de dados, destruição, embalagem, bem como salvaguarda, distribuição e transporte.

O biobanco deve ter procedimentos para assegurar conformidade com requisitos pertinentes de bioproteção e biossegurança. Os procedimentos também devem abordar os riscos e as oportunidades utilizando uma avaliação de risco. Quando possível, convém que o biobanco esteja ciente dos requisitos mínimos para o material biológico e/ou os dados associados destinados à (s) aplicação (ões) subsequentes, para assegurar que o material biológico e dados associados sejam manuseados de forma a permitir pesquisas reprodutíveis.

Convém que a missão do biobanco seja definida e disponível. As informações pertinentes para as atividades, processos e procedimentos do biobanco devem ser documentadas em um formato compreensível. A documentação deve incluir informações pertinentes geradas a partir de procedimentos pertencentes ao sistema de gestão da qualidade (ver Seção 8), bem como a gestão de infraestrutura/áreas dedicadas. O biobanco deve cumprir com princípios éticos regionais, nacionais e internacionais pertinentes para material biológico e dados associados. Para mais informações e para orientação sobre responsabilidade social, ver NBR ISO 26000.

Convém que o biobanco documente a identidade do pessoal que realiza atividades abrangendo procedimentos como referido nessa norma. Convém que o biobanco defina o período de tempo para a retenção de informações documentadas e dados associados relacionados a cada material biológico, após a completa distribuição, descarte ou destruição daquele material biológico. As atividades do biobanco devem ser estruturadas e gerenciadas de modo a salvaguardar a imparcialidade. A gerência do biobanco deve estar comprometida com a imparcialidade. Para mais informações e para orientação sobre responsabilidade social, ver NBR ISO 26000.

O biobanco deve ser responsável pela imparcialidade de suas atividades de biobanco e não pode permitir que pressão (ões) interna (s) e/ou externa (s) comprometa (m) a imparcialidade. O biobanco deve identificar os riscos à sua imparcialidade de forma contínua. Um relacionamento que ameaça a imparcialidade do biobanco pode ser baseado na propriedade, governança, gestão, pessoal, materiais e dados associados compartilhados, finanças, contratos, propaganda (incluindo gestão de marcas), pagamento de uma comissão de vendas ou outro incentivo para persuasão de novos usuários, etc.

Caso u risco à imparcialidade seja identificado, o biobanco deve demonstrar como ele elimina ou minimiza tal risco. O biobanco deve proteger informações confidenciais e direitos de propriedade de provedores/doadores, destinatários e usuários, particularmente durante o armazenamento e transmissão de dados. O biobanco deve ser responsável, por meio de compromissos legalmente exigíveis, pela gestão de informações confidenciais obtidas ou geradas durante a realização das atividades de biobanco. Quando compartilha dados ou material biológico e dados associados, o biobanco deve informar o provedor/doador, quando possível, de como sua privacidade e confidencialidade são protegidas.

O biobanco só deve divulgar informação sobre material biológico e dados associados segundo acordos e aprovações pertinentes (por exemplo, acordos contratuais, documentos legalmente vinculantes, aprovações éticas). Quando o biobanco for obrigado por lei a liberar informações confidenciais, o provedor/doador deve ser notificado sobre as informações fornecidas, exceto se proibido por lei. Todo o pessoal que tenha acesso a dados confidenciais do biobanco deve estar comprometido com a confidencialidade.

O biobanco deve ser uma entidade legal, ou uma parte definida de uma entidade legal, que seja legalmente responsável por todas as suas atividades. Para os fins deste documento, um biobanco governamental é considerado ou tem equivalência de uma entidade legal com base em sua condição governamental. O biobanco deve identificar a gerência que tem responsabilidade geral pelo biobanco. Deve ter um órgão de governança/conselho consultivo, orientando e aconselhando a gerência em assuntos científicos, técnicos e/ou administrativos, entre outros.

O biobanco deve ser responsável pelas atividades conduzidas em suas instalações e áreas dedicadas. O biobanco deve ter um curso de ação para definir e tratar as obrigações decorrentes de suas atividades. O biobanco deve realizar suas atividades de forma a atender aos requisitos deste documento, seus acordos documentados e/ou documentos legalmente vinculantes, autoridades pertinentes e organizações que forneçam reconhecimento.

O biobanco deve definir e documentar o conjunto de atividades para as quais está em conformidade com este documento. O biobanco deve requerer somente a conformidade com este documento para o conjunto de atividades definida, excluindo atividades de biobanco providas externamente. Deve definir estrutura de governança do biobanco, incluindo as estruturas organizacional e gerencial, seu lugar na organização principal e as relações entre a gerência, operações técnicas e serviços de apoio; especificar a responsabilidade, autoridade e inter-relacionamento do pessoal que gerencia, realiza, valida ou verifica trabalhos que afetem as saídas das atividades de biobanco.

O biobanco deve ter pessoal que, independentemente de outras responsabilidades, tenha autoridade e recursos necessários para desempenhar suas funções, incluindo a implementação, a manutenção, o monitoramento e a melhoria do sistema de gestão da qualidade; a identificação de desvios do sistema de gestão da qualidade ou de procedimentos para realização das atividades do biobanco; a avaliação do impacto de desvios, e desenvolvimento e implementação de ações apropriadas (ver 7.11 sobre saídas não conformes e 8.7 sobre ação corretiva); o relato à gerência do biobanco sobre o desempenho do sistema de gestão da qualidade e qualquer necessidade de melhoria.

A gerência do biobanco deve assegurar que as mudanças no sistema de gestão da qualidade sejam monitoradas e controladas; haja comunicação com as partes interessadas, incluindo seu pessoal, em relação aos indicadores de desempenho do sistema de gestão da qualidade e qualquer necessidade de melhoria; a importância de atender aos requisitos de destinatário (s)/usuário (s) e outros requisitos aplicáveis (incluindo aqueles descritos neste documento) seja comunicada e entendida pelo pessoal pertinente do biobanco.

O biobanco deve dispor de pessoal, instalações/áreas dedicadas, equipamentos, sistema (s) de informação e serviços de suporte necessários para realizar suas atividades de biobanco. Sistemas de informação podem ser eletrônicos ou em papel. O biobanco deve ter uma estratégia documentada para permitir sua contínua viabilidade financeira para as suas atividades. Periodicamente, esta estratégia deve ser analisada criticamente.

Todo o pessoal do biobanco, interno ou externo, que possa impactar nas atividades do biobanco, deve agir imparcialmente. Todo o pessoal que tenha acesso a dados confidenciais do biobanco deve estar comprometido com a confidencialidade. O biobanco deve ter procedimentos documentados para a gestão de seu pessoal e manter a informação documentada para indicar conformidade com requisitos pertinentes. O biobanco deve comunicar a todo o seu pessoal os seus deveres, responsabilidades e autoridades, como detalhado nas descrições dos cargos.

Gestão da Propriedade Intelectual como vantagem competitiva


Reformada Ponte Pênsil de São Vicente (SP) sofreu testes de carga de segurança conforme a norma técnica

Depois de reformada, a Ponte Pênsil de São Vicente (SP) foi reaberta ao tráfego. Essa foi é…

Leia mais…

Diogo Dias Teixeira

Além do controle de qualidade ao qual produtos e serviços são submetidos, atualmente as empresas buscam um diferencial competitivo também na proteção da tecnologia e do conhecimento agregado às suas atividades. A gestão desorganizada ou deficiente de ativos intangíveis – os chamados bens da Propriedade Intelectual – pode ocasionar a perda do dinheiro investido em pesquisa e desenvolvimento ou mesmo fazer com que a empresa deixe de ocupar fatia considerável do mercado com exclusividade.

Essa nova postura corporativa decorre do desenvolvimento tecnológico, que permite sejam reproduzidos, quase que perfeitamente, quaisquer produtos ou tecnologias encontradas no planeta. Assim, uma empresa que gere inadequadamente seus ativos intangíveis, pode ver um vultoso investimento feito em pesquisa ir por água abaixo, quando o concorrente, sem o ônus da inovação, passa a se aproveitar gratuitamente das criações por ela desenvolvidas, conseguindo oferecer um preço melhor no mercado.

Embora certos casos de usurpação possam ser combatidos na esfera judicial, a falta de cautela prévia muitas vezes impossibilita qualquer ação por parte da empresa que foi vítima desse tipo de prática. Na realidade, mesmo em situações em que a tomada de medidas judiciais é possível, a falta de cuidado anterior dificulta ? ou difere – a obtenção de uma decisão favorável.

Consequentemente, para garantir que a pesquisa e o know-how sejam transformados em vantagem competitiva, as empresas, além de protegerem seus negócios através das já consagradas marcas e patentes, começam a tomar medidas que facilitam a proteção dos demais ativos intelectuais envolvidos em suas atividades, tais quais os métodos de fazer negócio, bancos de dados, estudos de mercado, embalagens, campanhas publicitárias, slogans, etc. É a partir dessa recente demanda empresarial que surgem as primeiras dúvidas. Por exemplo, certamente alguns advogados já se perguntaram: como é possível proteger um novo método de fazer negócio, eis que referido método não pode ser registrado como marca, patente, desenho industrial ou, nos termos da Lei 9.610/98, receber a proteção do Direito Autoral?

Ainda que possa ser fácil achar uma solução para a indagação apresentada no parágrafo anterior, nem todas as respostas serão simples, o que tem aumentado bastante a demanda por profissionais da área. O profissional responsável por desenhar a estratégia de gestão deve conhecer, além do emaranhado de leis e tratados internacionais, as alternativas de exploração comercial dos ativos intelectuais da empresa. Ressalte-se, não fosse pela escolha adequada da estratégia de gestão de conhecimento, todos nós conheceríamos a fórmula da Coca-Cola, que inadequadamente estaria estampada numa carta patente ou num contrato qualquer.

Outro ponto de suma importância é identificar corretamente (através de uma due diligence especializada), todos os ativos intelectuais da empresa, pois muitas vezes as empresas registram patentes e marcas dos seus produtos, mas deixam de proteger os processos de fabricação por elas desenvolvidos, que, da mesma forma, poderiam gerar royalties ou outras espécies de remuneração. Em outras palavras, não só produtos e serviços levados ao mercado de consumo devem compor a lista de ativos intelectuais da empresa, é importante considerar os ativos embutidos nas atividades intermediárias ou internas.

Para ficar mais claro, seria como uma empresa buscar proteção não só para os produtos que comercializa ou para a marca que os distingue no mercado, mas também para o software que gerencia a entrega dos produtos aos clientes, desenvolvido internamente. Deve-se considerar tudo que garante alguma vantagem à empresa, ainda que indiretamente. E nunca é demais ressaltar que gerir adequadamente a Propriedade Intelectual de uma empresa significa cuidar das criações desde o berço, pois muitas vezes não se trata de proteger o quê já está criado, mas sim de garantir que o quê está por vir poderá ser protegido e explorado da melhor forma possível.

Enfim, são evidentes as vantagens de uma gestão adequada da Propriedade Intelectual, eis que afasta concorrentes da exploração da tecnologia, conhecimento ou método desenvolvido, reservando, consequentemente, uma fatia de mercado ao criador. Essa reserva de mercado é a única forma de recuperar o investimento empreendido em pesquisa e desenvolvimento. Portanto, atenção à gestão de PI, pois não adianta chorar o conhecimento divulgado!

Diogo Dias Teixeira é sócio da Dias Teixeira Sociedade de Advogados e pós-graduado em Direito da Propriedade Intelectual pela Escola de Direito de São Paulo da Fundação Getúlio Vargas.

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a

Facebook: http://www.facebook.com/#!/hayrton.prado

Skype: hayrton.prado1

Os requisitos para a comercialização dos direitos de propriedade intelectual

(Clique no link para mais informações e fazer a inscrição)

Curtos-Circuitos e Seletividade em Instalações Elétricas Industriais – Conheça as Técnicas e Corretas Especificações – Presencial ou Ao Vivo pela Internet – A partir de 3 x R$ 257,81 (56% de desconto)

Instalações Elétricas de Média Tensão – Principais soluções para evitar riscos, prejuízos e atender a legislação em vigor – Presencial ou Ao Vivo pela Internet – A partir de 3 x R$ 257,81 (56% de desconto)

Inspetor de Conformidade das Instalações Elétricas de Baixa Tensão de acordo com a NBR 5410 – Presencial ou Ao Vivo pela Internet – A partir de 3 x R$ 320,57 (56% de desconto)

Instalações Elétricas em Atmosferas Explosivas – Presencial ou Ao Vivo pela Internet – A partir de 3 x R$ 257,81 (56% de desconto)

Editada em 2011 pelo BSI, a BS 8538 (clique no link para mais informações) é uma norma inglesa que traz as especificações para a prestação de serviços relacionados com a comercialização de direitos de propriedade intelectual. Ela estabelece pela primeira vez os princípios de comportamento ético para as organizações que prestam serviços aos inventores. Nos últimos anos tem havido um aumento substancial no número de organizações que oferecem serviços para os inventores e criadores e desenvolvedores de ideias e produtos. Estas organizações incluem o UK Intellectual Property Office, Business Link, provedores comerciais, universidades e clubes especializados. Incluem também o Escritório de Propriedade Intelectual (IPO-UK), Business Link, os prestadores de serviços comerciais, universidades especializadas em invenção e design de produtos e os clubes de inventores. O Reino Unido há muito vem promovendo a necessidade de fazer um balanço de suas novas criações e de garantir os direitos comerciais para eles, por meio de patentes , desenhos registradas e marcas comerciais.

Assim, a norma também ajudaria inventores compreender o que esperar de um provedor quando se pretende comercializar uma ideia. O sucesso para garantir os direitos legais pode influenciar positivamente no sucesso dos negócios para a ideia. No entanto, a lei sobre propriedade intelectual pode ser complexa e no Reino Unido recomenda-se que o criador de uma nova ideia deve sempre considerar procurar o conselho de uma empresa de advogados de patentes ou de marca (que são legalmente qualificados e regulamentados de forma independente), ou outros assessores com as habilidades necessárias para avaliar se a ideia é apropriada para proteção de patente, marca de registro ou registro de desenho, e que pode preparar uma aplicação para o criador buscando potenciais direitos legais. Como estes profissionais existem outros assessores, consultores, corretores de invenção e inventor de apoio à organizações que oferecem ajuda e conselhos que abrangem a comercialização destas novas criações.

Dessa forma, a organização do Reino Unido assegurou a propriedade intelectual a que tem direito e, em seguida, usou-o para vantagem comercial. A BS 8538 especifica os requisitos para a prestação de serviços para os criadores de propriedade intelectual com vista à sua comercialização. Especifica os princípios para o comportamento ético do fornecedor de serviços relativos à integridade e competência, transparência em relação a taxas, custos e finanças, confidencialidade e à divulgação de informações, declaração de interesses e conflitos e tratamento de reclamações. Também especifica um processo para a prestação de serviços, abrangendo envolvimento inicial com o autor, acordos de não divulgação (NDAs), avaliação da ideia do inventor, acordos comerciais para a prestação de consultoria e /ou serviços.

O conteúdo da BS 8538 inclui:

• Introdução

• Escopo

• Termos e definições

• Princípios para o comportamento ético

• Integridade e competência

• Transparência dos serviços oferecidos, taxas e outros pagamentos ou recebimentos

• Sigilo e divulgação de informações

• Declaração de interesses e conflitos

• Tratamento de reclamações

• Processo de prestação de serviços

• Termos de compromisso

• Acordo de Não Divulgação (NDA) ou regras de confidencialidade

• Divulgação de eventos

• Prestação dos serviços

• Decisão

• Aceitação ou rejeição do acordo comercial

• Acordo de Não Divulgação típico (NDA)

• Exemplo adicional de um Acordo de Não Divulgação

• Bibliografia e Lista de figuras

• Acordo de Não Divulgação típico

• Exemplo alternativo de um Acordo de Não Divulgação

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a

Facebook: http://www.facebook.com/#!/hayrton.prado

Os requisitos para a comercialização dos direitos de propriedade intelectual

Coletâneas de Normas em formato digital facilitam a consulta e o controle de importantes séries de Normas Técnicas, largamente utilizadas pelas organizações. São válidas para auditorias de Sistemas da Qualidade e incorporam todas as vantagens do formato digital, tais como: acesso simultâneo para todos os usuários conectados à rede interna da empresa, ferramentas de busca e impressão e facilidade na atualização do documento, entre outros.

Coletânea Série Transformadores de Potência

Coletânea Digital Target com as Normas Técnicas, Regulamentos, etc, relacionadas à Transformadores de Potência
Saiba Mais…

Coletânea Série Transportes

Coletânea Digital Target com as Normas Técnicas, Regulamentos, etc, relacionadas à Transportes!
Saiba Mais…

Qualidade

Acesse já as normas da Qualidade
Saiba Mais…

Editada em 2011 pelo BSI, a BS 8538 é uma norma inglesa que traz as especificações para a prestação de serviços relacionados com a comercialização de direitos de propriedade intelectual. Ela estabelece pela primeira vez os princípios de comportamento ético para as organizações que prestam serviços aos inventores. Nos últimos anos tem havido um aumento substancial no número de organizações que oferecem serviços para os inventores e criadores e desenvolvedores de ideias e produtos. Estas organizações incluem o UK Intellectual Property Office, Business Link, provedores comerciais, universidades e clubes especializados. Incluem também o Escritório de Propriedade Intelectual (IPO-UK), Business Link, os prestadores de serviços comerciais, universidades especializadas em invenção e design de produtos e os clubes de inventores. O Reino Unido há muito vem promovendo a necessidade de fazer um balanço de suas novas criações e de garantir os direitos comerciais para eles, por meio de patentes , desenhos registradas e marcas comerciais.

Assim, a norma também ajudaria inventores compreender o que esperar de um provedor quando se pretende comercializar uma ideia. O sucesso para garantir os direitos legais pode influenciar positivamente no sucesso dos negócios para a ideia. No entanto, a lei sobre propriedade intelectual pode ser complexa e no Reino Unido recomenda-se que o criador de uma nova ideia deve sempre considerar procurar o conselho de uma empresa de advogados de patentes ou de marca (que são legalmente qualificados e regulamentados de forma independente), ou outros assessores com as habilidades necessárias para avaliar se a ideia é apropriada para proteção de patente, marca de registro ou registro de desenho, e que pode preparar uma aplicação para o criador buscando potenciais direitos legais. Como estes profissionais existem outros assessores, consultores, corretores de invenção e inventor de apoio à organizações que oferecem ajuda e conselhos que abrangem a comercialização destas novas criações.

Dessa forma, a organização do Reino Unido assegurou a propriedade intelectual a que tem direito e, em seguida, usou-o para vantagem comercial. A BS 8538 especifica os requisitos para a prestação de serviços para os criadores de propriedade intelectual com vista à sua comercialização. Especifica os princípios para o comportamento ético do fornecedor de serviços relativos à integridade e competência, transparência em relação a taxas, custos e finanças, confidencialidade e à divulgação de informações, declaração de interesses e conflitos e tratamento de reclamações. Também especifica um processo para a prestação de serviços, abrangendo envolvimento inicial com o autor, acordos de não divulgação (NDAs), avaliação da ideia do inventor, acordos comerciais para a prestação de consultoria e /ou serviços.

O conteúdo da BS 8538 inclui:

• Introdução

• Escopo

• Termos e definições

• Princípios para o comportamento ético

• Integridade e competência

• Transparência dos serviços oferecidos, taxas e outros pagamentos ou recebimentos

• Sigilo e divulgação de informações

• Declaração de interesses e conflitos

• Tratamento de reclamações

• Processo de prestação de serviços

• Termos de compromisso

• Acordo de Não Divulgação (NDA) ou regras de confidencialidade

• Divulgação de eventos

• Prestação dos serviços

• Decisão

• Aceitação ou rejeição do acordo comercial

• Acordo de Não Divulgação típico (NDA)

• Exemplo adicional de um Acordo de Não Divulgação

• Bibliografia e Lista de figuras

• Acordo de Não Divulgação típico

• Exemplo alternativo de um Acordo de Não Divulgação

Para mais informações clique no link: BS 8538

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a

Facebook: http://www.facebook.com/#!/hayrton.prado