dhenr54m

O novo Regulamento Geral Europeu para a Proteção de Dados estabelece novas regras para a proteção de dados pessoais.

O RGPD não deve ser visto apenas como uma série de imposições legais e consequentes coimas por incumprimento (Art. 5 & Art. 7). Deverá antes ser encarado como uma valorização dos direitos de todos nós e da nossa individualidade, bem como uma forma das organizações tomarem consciência do valor real da sua informação. Só assim poder-se-á dedicar a devida atenção à segurança desse bem que cada vez mais é ameaçado, quer deliberadamente por maldade, quer apenas por nunca ter sido considerado uma prioridade na saúde empresarial e organizacional.

Olhar o RGPD como um imperativo de gestão moderna das organizações, implica acompanhar a evolução dos tempos e dessa forma, lidar com a tecnologia de modo a garantir a segurança dos dados, implementando políticas e práticas de segurança, controlo e prevenção contra o roubo e violação de informação.

A facilidade com que se acede às novas tecnologias traz também o risco aumentado na dispersão e descontrolo de utilização de ferramentas de IT.
O consumo de soluções em cloud nas organizações nunca foi tão grande, muitas empresas vão ser forçadas a fazer grandes alterações para garantirem que os dados pessoais não estão espalhados, sem controlo por várias clouds públicas.

COMO É QUE O RGPD VAI AFETAR AS EMPRESAS

Seria grande a lista se quiséssemos enumerar todos os pontos, mas existem 5 principais que vão ter um grande impacto nas empresas e que os responsáveis pelas tecnologias de informação têm que ter em conta:

1. O direito ao apagamento dos dados (direito a ser esquecido) (Art. 17): significando isto que o titular dos dados tem o direito de obter do responsável pelo tratamento, o apagamento dos seus dados pessoais, sem demora injustificada. Ou seja, encontrar facilmente os dados específicos, segmentá-los e automatizar o seu apagamento.

2. Implementar a proteção dos dados desde a conceção e por defeito (by design and by default) (Art. 25): a regra da privacidade desde a conceção (by design) implica minimizar os dados recolhidos, apagar a informação que não é necessária para o objetivo a que se propõe, e garantir a sua segurança durante todo o seu ciclo de vida.

3. Registos das atividades de tratamento (Art. 30): as empresas/organizações devem implementar medidas técnicas e organizacionais para que possam processar devidamente todos os dados pessoais.

4. Notificação de uma violação de dados pessoais à autoridade de controlo (Art. 33): Obriga à existência de um plano de resposta rápida

5. Avaliação de impacto sobre a proteção de dados (Art. 35): As empresas devem criar processos de avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais, particularizando os dados sensíveis. O DPO (Data protection officer) (Art. 37-39) será o responsável por assessorar e monitorizar a conformidade com o RGPD.

REGRA Nº 1: DEFINIR UMA POLÍTICA DE DADOS

Podemos simplesmente argumentar que o RGPD legisla ideias de senso comum de que os departamentos IT já têm conhecimento. A grande mudança é que a partir de agora têm de passar à ação, através de um planeamento e regras rigorosas.

Por onde começamos?

- Primeiro vamos verificar a infraestrutura de armazenamento de dados: identificar onde os dados pessoais se encontram e, a partir daqui construir uma arquitetura consistente por forma a rastrear e monitorizar o que acontece com esses dados.
A partir do momento em que trata dados pessoais torna-se responsável pelo uso que lhes der, quer seja diretamente, quer seja através de um subcontratado.

- Segundo, é necessário definir uma política de segurança e partilhá-la com a organização:

  • encriptação de dados (em transito e guardados);
  • métodos de acesso seguros ( dois fatores de autenticação ...);
  • partilha de documentos com passwords;
  • ligações com data de expiração, etc... Cada caso é um caso, com critérios distintos, dependendo das especificidades da atividade profissional e da respetiva utilização. É também importante ser muito restritivo quanto ao uso de dispositivos pessoais dentro da empresa (BYOD).

- Terceiro, monitorizar, informar e formar todos os utilizadores.

REGRA Nº 2: RASTREIE QUEM ACEDE AOS SEUS DADOS

A partir do momento em que manipula dados pessoais, torna-se responsável pelo que lhes possa acontecer. Muitas vezes as violações de dados são causadas por erros causados pelos utilizadores e não pela infraestrutura ou políticas de IT. A partilha de dados com o exterior não é 100% segura, por essa razão temos que garantir que todas as opções de proteção foram ativadas.

É necessário saber quem está autorizado a aceder a dados pessoais dentro do sistema de ficheiros da empresa, como acedem, definir permissões baseadas no seu uso real, independentemente do cargo no grupo a que pertencem e dos títulos que possuem. Por outras palavras, implementar regras baseadas no controlo de acessos.

REGRA Nº 3: MONITORIZAR O FLUXO DE DADOS

Os requisitos para estar em conformidade com o regulamento, de modo a poder notificar as Entidades competentes sobre uma perda de dados ou uma violação, obriga a uma nova abordagem na gestão de dados e nos departamentos de IT. A nova regra de ouro é "monitorização constante".
É extremamente importante estar alerta sobre atividades suspeitas e potenciais vulnerabilidades na segurança. Tenha atenção a acessos pouco comuns a dados sensíveis.

Tudo isto requer a necessidade de implementar medidas adequadas, especialmente no que diz respeito à partilha de ficheiros e às ferramentas de colaboração. As soluções de partilha de ficheiros devem incluir um painel de controlo de administração dando aos gestores de IT a possibilidade de terem uma visão abrangente do que se está a passar na plataforma, análise ao comportamento dos utilizadores, monitorização do processo de partilha, dispositivos envolvidos e relatórios resumidos sobre toda a atividade de acesso aos dados.

O RGPD impõe claramente novos constrangimentos às empresas, obrigando os departamentos de IT a definirem, evidenciarem e adaptarem a infraestrutura IT, a novos processos de implementação de regras de segurança.


É imprescindível definir uma estratégia de compliance como forma de prevenir violações de tratamento de dados pessoais.

Encarregado de proteção de dados (Privacy Officer)

Quais as funções?

  • Informar e prestar consultoria em matéria de proteção de dados
  • Supervisionar o cumprimento das regras de proteção de dados
  • Cooperar e ser o ponto de contato com as Autoridades de Proteção de Dados e com os Titulares dos dados

Quem pode ser Privacy Officer?

  • Pode ser interno ou externo
  • Pode nomear-se apenas um para um mesmo grupo de empresas ou de autoridades públicas
  • Qualidades profissionais e conhecimentos de direito e da sua experiência em proteção de dados

Segurança da Informação

Aplicar medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco

  • Pseudonimização, encriptação e ferramentas de DLP (Data Loss Prevention)
  • Assegurar confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento
  • Assegurar a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de incidente físico ou técnico
  • Processos para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garante da segurança do tratamento

Notificações de violação de dados (Data Breaches)

Violação de dados: violação de segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados a dados pessoais transmitidos, conservados, ou sujeitos a qualquer outro tipo de tratamento.

Quaisquer violações de dados pessoais devem ser documentadas, compreendendo os factos relacionados com as mesmas, os respetivos efeitos e a medida de reparação adotada.

O responsável pelo tratamento notifica a autoridade de controlo competente da violação de dados pessoais até 72 horas após ter tido conhecimento da mesma. Caso este prazo não seja cumprido, a notificação deve ser acompanhada dos motivos do atraso.

O subcontratante deve notificar o responsável pelo tratamento sem demora injustificada, após ter conhecimento de uma violação de dados pessoais.

As avaliações de impacto sobre a proteção de dados

Quando se utilize no tratamento novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, e o mesmo for suscetível de implicar um elevado risco para os titulares dos dados.

  • Avaliações sistemáticas e completas dos aspetos pessoais, baseada no tratamento automatizado (ex. definição de perfis) que produzam efeitos jurídicos no indivíduo
  • Operações de tratamento em grande escala de categorias especiais de dados (dados sensíveis)
  • Controlos sistemáticos de zonas acessíveis ao público em grande escala (ex. CCTV)

O que traz de novo

A adoção de medidas técnicas e organizativas adequadas, a fim de assegurar o cumprimento dos requisitos do presente regulamento, introduzindo novos princípios e conceitos que devem nortear os tratamento dos dados como a Privacy by design and by default ou a pseudonimização dos dados;

  • Obrigação de designar um Data Protection Officer (encarregado para a proteção de dados);
  • Alteração das regras sobre obtenção de consentimento;
  • Novas regras sobre consentimento de menores;
  • Eliminação do sistema de notificações e autorizações;
  • Implementação do direito ao esquecimento;
  • Criação de obrigações acrescidas para os subcontratados;
  • Obrigações de informação relativas a quebras de segurança;
  • Coimas de valor muito elevado - incumprimento é punido por coimas que podem ascender a 4% da facturação anual global ou a €20.000.000,00

 O Novo Regulamento de Proteção de Dados, publicado em 4 de Maio de 2016 com aplicabilidade em 25 de Maio de 2018, vem trazer uma nova visão sobre o Mercado Único Digital e implicará uma alteração ao actual paradigma das entidades que lidam e tratam com dados pessoais.

O Novo Regulamento aplica-se diretamente a todas as entidades públicas e privadas que tratem dados pessoais, alterando as obrigações descritas na atual LNPD, motivando as entidades a alterarem profundamente o seu modo de actuar em matérias de proteção de dados e privacidade.


Scroll Down