Regulamento Geral de Proteção de Dados (RGPD)

A evolução tecnológica registada nos últimos anos desafiou uma renovada proteção de dados pessoais exigindo assim um quadro de proteção mais sólido e mais coerente na União Europeia.

O RGPD, em inglês: General Data Protection Regulation (GDPR), é um regulamento emitido pela Comissão Europeia que entra em vigor em 25 de maio de 2018, deve ser aplicado diretamente por todos os 28 estados membros e tem o objetivo de harmonizar a legislação relacionada com a proteção de dados pessoais em toda a Europa.

Depois de quatro anos de negociações surge o novo regulamento. É a mudança mais importante na regulação de privacidade dos dados nos últimos 20 anos e introduz alterações muito significativas às regras atuais de proteção de dados impondo às organizações novas obrigações, cujo incumprimento é punido por elevadas coimas que podem ascender a 4% da faturação anual global ou a €20.000.000,00. Estes valores serão propositadamente altos para que o esforço de estar em conformidade seja sempre inferior ao custo de não estar.

Qual o objetivo?

A União Europeia quis criar aquele que será uma das referências futuras na proteção de dados. Este regulamento europeu reforça os direitos de todos os indivíduos e torna as empresas responsáveis pelos dados pessoais que processam.

Quem deve cumprir?

Todas as organizações localizadas na UE e organizações localizadas fora da UE caso ofereçam serviços ou produtos na UE. Ao fim ao cabo, aplica-se a todas as organizações que detenham dados pessoais de cidadãos da UE.

O que é considerado um “dado pessoal”?

Qualquer informação relativa a uma pessoa ou “dados” que possam ser usados direta ou indiretamente para identificar uma pessoa.

O que acontece em caso de incumprimento?

O incumprimento poderá resultar em multas de até €20 milhões ou até 4% do volume de negócios da empresa. Qualquer empresa responsável pelo tratamento de dados responde pelos danos causados por um tratamento que viole o regulamento, sendo obrigado a indemnizar a pessoa que tenha sofrido danos materiais ou imateriais devido a essa violação.

Embora o conceito de data breach possa estar associado a um elevado número de registos, a verdade é que o RGPD não define um número mínimo. Como tal, um registo de um indivíduo é um data breachComo é óbvio, isto traz novos requisitos para as empresas.

Quais os direitos dos indivíduos?

Quem são os indivíduos?

São os consumidores, não só clientes, mas também fornecedores e funcionários.

Os cidadãos têm mais poder para aceder, controlar e mandar apagar os seus dados pessoais, havendo uma responsabilização por parte das empresas detentoras dessa informação.

Portanto, os consumidores devem:

  • Ter Livre acesso aos dados pessoais detidos por uma organização: como, onde e para que propósito são processados;
  • Poder solicitar a eliminação definitiva dos dados – direito de ser esquecido / não contactado;
  • Ter a decisão relativa à transferência de dados para outras entidades; e
  • Ser informados num período de até 72h sobre um data breach relativo às suas informações pessoais.

Quais as responsabilidades das empresas?

  • Obrigação de notificar violações de Dados Pessoais à autoridade de controlo, no caso português a Comissão Nacional de Proteção de Dados, e ao Titular dos Dados.
  • Criação da figura encarregado da proteção de dados (DPO).
  • Introdução de novas premissas no tratamento dos dados como a proteção desde a conceção (privacy by design) e por defeito (privacy by default), a pseudonimização e a minimização dos Dados Pessoais.
  • A proteção das pessoas singulares deverá ser neutra em termos tecnológicos e deverá ser independente das técnicas utilizadas.
  • Garantir a capacidade de uma rede ou de um sistema informático de resistir, com um dado nível de confiança, a eventos acidentais ou a ações maliciosas ou ilícitas que comprometam a disponibilidade, a autenticidade, a integridade e a confidencialidade dos dados pessoais. Elaboração de códigos de conduta.
  • Direito de apresentar reclamação a uma autoridade de controlo.
  • Supressão do mecanismo de autorização prévia (artigo 28º Lei n.º 67/98 de 26 de outubro) pela Comissão Nacional de Proteção de Dados (CNPD) passando esta entidade a ter um papel fiscalizador.
  • Registar detalhadamente todas as atividades de tratamento dos Dados Pessoais.

Como pode garantir que a sua empresa está em conformidade?

A resposta não é linear, mas podem ser aplicadas algumas regras aqui descritas.

    1. Avaliar os dados atuais:
      -O local onde estão armazenados (fonte externa ou interna);
      -Os processos de transferência dos dados (seguro ou inseguro);
      -Avaliar as políticas de segurança e validar também todos os mecanismos de segurança e reporting; Em grosso modo, fazer um levantamento geral.
    1.  O que se deve fazer quando dados pessoais são recolhidos:
      -Informar o utilizador do propósito da recolha e ser claro e direto na mensagem transmitida;
      -Não usar checkbox nem opt-in para fazer chegar essa mensagem ao utilizador;
      -Identificar a priori qual o proposito da recolha dos dados (por exemplo, um formulário quando é pedido o anexo de um CV), e apenas manter estes dados durante um prazo devidamente estipulado.

    2. Quando os dados devem ser eliminados:
      -Sempre que o cidadão solicitar e sempre que o prazo inicialmente definido terminar (ou quando não necessários).
    1. O que fazer para prevenir a violação dos dados:
      -Implementar políticas para a proteção dos dados e comunicá-las devidamente;
      -Também é necessário implementar tecnologias e software que visa gerar reports de falhas e do comportamento dos sistemas (IDSs, firewalls, monitorização, error reporting, etc.).
    1. Qual o procedimento em caso de violação dos dados:
      -Comunicar à comissão nacional de proteção dos dados em no máximo 72h depois da ocorrência;
      -O consumidor também deve ser prontamente notificado.
    1. Que políticas devem ser implementadas:
      -Definir um responsável pelas políticas e dados mantidos;
      -Identificar permissões dos colaboradores que processam dados;
      -Não transferir dados pessoais para fora da U.E.
      -Enviar dados pessoais aos consumidores sempre que solicitado; e
      -Ter um plano para resolução de incidentes devidamente descriminado.
  1. Que tecnologias ou procedimentos devem ser ser implementados:
    -Encriptador todos os dispositivos com dados pessoais (periféricos USB, Discos externos, CDs, DVDs, computadores, etc.);
    -Encriptar todos os e-mails com dados pessoais (NIFs, moradas, palavras-passe). No fundo qualquer informação sensível.;
    -Garantir que a troca de informação é feita de forma segura (mecanismos de criptografia). Por exemplo, uso de HTTPs, algoritmos de criptografía em processos críticos, etc;
    -Implementar mecanismos de autenticação seguros no acesso à rede ou dispositivos (VPNs, máquinas virtuais, etc.); e
    -Implementar sistemas de cópias de segurança.
    -Implementar mecanismos de de monitorização, firewalls, IDSS, geração de relatórios e alertas. Este é um ponto importante aquando da pronta notificação de uma possível violação de dados.
    -Ter a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;

Guião para Totós

Ao fim ao cabo, podem ser enumerados meia dúzia de tópicos que visam melhorar, ainda que numa fase inicial, a estrutura interna de uma empresa e a sua resposta a uma violação de dados.

-Usar sempre TLS/SSL quando uma ligação é estabelecida (HTTPs), p..ex., em websites, callbacks, etc..
-Nunca esquecer da política de cookies nos websites;
-Quando a recolha de informação via formulário é efetuada, identificar o seu propósito, de forma a clarificar o consumidor.
-Notificar à Comissão Nacional de Proteção de Dados os fomulários de recolha de dados;
-Durante a fase de arquitetura de um novo sistema, arquitetá-lo com mecanismos de segurança.
-Implementar mecanismos para notificação e report de falhas de segurança;
-Eleger um responsável de forma a supervisionar todo o ecossistema e a forma como os dados são mantidos;
-Manter um profissional de segurança com conhecimento sobre os mais variados temas;
-Formação a todos os colaboradores que manipulam dados sensíveis.

Este é o mindset que as organizações e empresas que manipulam dados de indivíduos irão adotar em breve. É necessário adquirir o máximo de know-how nesta fase e implementar todo o tipo de mecanismos e políticas com o fim de manter a confiança dos consumidores, e sobre todo, a capacidade de manter a web cada vez mais segura.

Enunciar ainda que, a GDPR confere aos cidadãos o poder de:

  • Mais facilmente aceder e controlar os seus dados pessoais
  • Transferir os dados para outro prestador de serviços
  • Eliminar os seus dados ou ser esquecido
  • Saber quando os seus dados foram alvo de falhas de segurança