Regulamento Geral de Proteção de Dados (RGPD)
A evolução tecnológica registada nos últimos anos desafiou uma renovada proteção de dados pessoais exigindo assim um quadro de proteção mais sólido e mais coerente na União Europeia.
O RGPD, em inglês: General Data Protection Regulation (GDPR), é um regulamento emitido pela Comissão Europeia que entra em vigor em 25 de maio de 2018, deve ser aplicado diretamente por todos os 28 estados membros e tem o objetivo de harmonizar a legislação relacionada com a proteção de dados pessoais em toda a Europa.
Depois de quatro anos de negociações surge o novo regulamento. É a mudança mais importante na regulação de privacidade dos dados nos últimos 20 anos e introduz alterações muito significativas às regras atuais de proteção de dados impondo às organizações novas obrigações, cujo incumprimento é punido por elevadas coimas que podem ascender a 4% da faturação anual global ou a €20.000.000,00. Estes valores serão propositadamente altos para que o esforço de estar em conformidade seja sempre inferior ao custo de não estar.
Qual o objetivo?
A União Europeia quis criar aquele que será uma das referências futuras na proteção de dados. Este regulamento europeu reforça os direitos de todos os indivíduos e torna as empresas responsáveis pelos dados pessoais que processam.
Quem deve cumprir?
Todas as organizações localizadas na UE e organizações localizadas fora da UE caso ofereçam serviços ou produtos na UE. Ao fim ao cabo, aplica-se a todas as organizações que detenham dados pessoais de cidadãos da UE.
O que é considerado um “dado pessoal”?
Qualquer informação relativa a uma pessoa ou “dados” que possam ser usados direta ou indiretamente para identificar uma pessoa.
O que acontece em caso de incumprimento?
O incumprimento poderá resultar em multas de até €20 milhões ou até 4% do volume de negócios da empresa. Qualquer empresa responsável pelo tratamento de dados responde pelos danos causados por um tratamento que viole o regulamento, sendo obrigado a indemnizar a pessoa que tenha sofrido danos materiais ou imateriais devido a essa violação.
Embora o conceito de data breach possa estar associado a um elevado número de registos, a verdade é que o RGPD não define um número mínimo. Como tal, um registo de um indivíduo é um data breach. Como é óbvio, isto traz novos requisitos para as empresas.
Quais os direitos dos indivíduos?
Quem são os indivíduos?
São os consumidores, não só clientes, mas também fornecedores e funcionários.
Os cidadãos têm mais poder para aceder, controlar e mandar apagar os seus dados pessoais, havendo uma responsabilização por parte das empresas detentoras dessa informação.
Portanto, os consumidores devem:
- Ter Livre acesso aos dados pessoais detidos por uma organização: como, onde e para que propósito são processados;
- Poder solicitar a eliminação definitiva dos dados – direito de ser esquecido / não contactado;
- Ter a decisão relativa à transferência de dados para outras entidades; e
- Ser informados num período de até 72h sobre um data breach relativo às suas informações pessoais.
Quais as responsabilidades das empresas?
- Obrigação de notificar violações de Dados Pessoais à autoridade de controlo, no caso português a Comissão Nacional de Proteção de Dados, e ao Titular dos Dados.
- Criação da figura encarregado da proteção de dados (DPO).
- Introdução de novas premissas no tratamento dos dados como a proteção desde a conceção (privacy by design) e por defeito (privacy by default), a pseudonimização e a minimização dos Dados Pessoais.
- A proteção das pessoas singulares deverá ser neutra em termos tecnológicos e deverá ser independente das técnicas utilizadas.
- Garantir a capacidade de uma rede ou de um sistema informático de resistir, com um dado nível de confiança, a eventos acidentais ou a ações maliciosas ou ilícitas que comprometam a disponibilidade, a autenticidade, a integridade e a confidencialidade dos dados pessoais. Elaboração de códigos de conduta.
- Direito de apresentar reclamação a uma autoridade de controlo.
- Supressão do mecanismo de autorização prévia (artigo 28º Lei n.º 67/98 de 26 de outubro) pela Comissão Nacional de Proteção de Dados (CNPD) passando esta entidade a ter um papel fiscalizador.
- Registar detalhadamente todas as atividades de tratamento dos Dados Pessoais.
Como pode garantir que a sua empresa está em conformidade?
A resposta não é linear, mas podem ser aplicadas algumas regras aqui descritas.
- Avaliar os dados atuais:
-O local onde estão armazenados (fonte externa ou interna);
-Os processos de transferência dos dados (seguro ou inseguro);
-Avaliar as políticas de segurança e validar também todos os mecanismos de segurança e reporting; Em grosso modo, fazer um levantamento geral.
- Avaliar os dados atuais:
- O que se deve fazer quando dados pessoais são recolhidos:
-Informar o utilizador do propósito da recolha e ser claro e direto na mensagem transmitida;
-Não usar checkbox nem opt-in para fazer chegar essa mensagem ao utilizador;
-Identificar a priori qual o proposito da recolha dos dados (por exemplo, um formulário quando é pedido o anexo de um CV), e apenas manter estes dados durante um prazo devidamente estipulado.
- Quando os dados devem ser eliminados:
-Sempre que o cidadão solicitar e sempre que o prazo inicialmente definido terminar (ou quando não necessários).
- O que se deve fazer quando dados pessoais são recolhidos:
- O que fazer para prevenir a violação dos dados:
-Implementar políticas para a proteção dos dados e comunicá-las devidamente;
-Também é necessário implementar tecnologias e software que visa gerar reports de falhas e do comportamento dos sistemas (IDSs, firewalls, monitorização, error reporting, etc.).
- O que fazer para prevenir a violação dos dados:
- Qual o procedimento em caso de violação dos dados:
-Comunicar à comissão nacional de proteção dos dados em no máximo 72h depois da ocorrência;
-O consumidor também deve ser prontamente notificado.
- Qual o procedimento em caso de violação dos dados:
- Que políticas devem ser implementadas:
-Definir um responsável pelas políticas e dados mantidos;
-Identificar permissões dos colaboradores que processam dados;
-Não transferir dados pessoais para fora da U.E.
-Enviar dados pessoais aos consumidores sempre que solicitado; e
-Ter um plano para resolução de incidentes devidamente descriminado.
- Que políticas devem ser implementadas:
- Que tecnologias ou procedimentos devem ser ser implementados:
-Encriptador todos os dispositivos com dados pessoais (periféricos USB, Discos externos, CDs, DVDs, computadores, etc.);
-Encriptar todos os e-mails com dados pessoais (NIFs, moradas, palavras-passe). No fundo qualquer informação sensível.;
-Garantir que a troca de informação é feita de forma segura (mecanismos de criptografia). Por exemplo, uso de HTTPs, algoritmos de criptografía em processos críticos, etc;
-Implementar mecanismos de autenticação seguros no acesso à rede ou dispositivos (VPNs, máquinas virtuais, etc.); e
-Implementar sistemas de cópias de segurança.
-Implementar mecanismos de de monitorização, firewalls, IDSS, geração de relatórios e alertas. Este é um ponto importante aquando da pronta notificação de uma possível violação de dados.
-Ter a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;
Guião para Totós
Ao fim ao cabo, podem ser enumerados meia dúzia de tópicos que visam melhorar, ainda que numa fase inicial, a estrutura interna de uma empresa e a sua resposta a uma violação de dados.
-Usar sempre TLS/SSL quando uma ligação é estabelecida (HTTPs), p..ex., em websites, callbacks, etc..
-Nunca esquecer da política de cookies nos websites;
-Quando a recolha de informação via formulário é efetuada, identificar o seu propósito, de forma a clarificar o consumidor.
-Notificar à Comissão Nacional de Proteção de Dados os fomulários de recolha de dados;
-Durante a fase de arquitetura de um novo sistema, arquitetá-lo com mecanismos de segurança.
-Implementar mecanismos para notificação e report de falhas de segurança;
-Eleger um responsável de forma a supervisionar todo o ecossistema e a forma como os dados são mantidos;
-Manter um profissional de segurança com conhecimento sobre os mais variados temas;
-Formação a todos os colaboradores que manipulam dados sensíveis.
Enunciar ainda que, a GDPR confere aos cidadãos o poder de:
- Mais facilmente aceder e controlar os seus dados pessoais
- Transferir os dados para outro prestador de serviços
- Eliminar os seus dados ou ser esquecido
- Saber quando os seus dados foram alvo de falhas de segurança
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.