Regulamento Geral de Proteção de Dados (RGPD)
A evolução tecnológica registada nos últimos anos desafiou uma renovada proteção de dados pessoais exigindo assim um quadro de proteção mais sólido e mais coerente na União Europeia.
O RGPD, em inglês: General Data Protection Regulation (GDPR), é um regulamento emitido pela Comissão Europeia que entra em vigor em 25 de maio de 2018, deve ser aplicado diretamente por todos os 28 estados membros e tem o objetivo de harmonizar a legislação relacionada com a proteção de dados pessoais em toda a Europa.
Depois de quatro anos de negociações surge o novo regulamento. É a mudança mais importante na regulação de privacidade dos dados nos últimos 20 anos e introduz alterações muito significativas às regras atuais de proteção de dados impondo às organizações novas obrigações, cujo incumprimento é punido por elevadas coimas que podem ascender a 4% da faturação anual global ou a €20.000.000,00. Estes valores serão propositadamente altos para que o esforço de estar em conformidade seja sempre inferior ao custo de não estar.
Qual o objetivo?
A União Europeia quis criar aquele que será uma das referências futuras na proteção de dados. Este regulamento europeu reforça os direitos de todos os indivíduos e torna as empresas responsáveis pelos dados pessoais que processam.
Quem deve cumprir?
Todas as organizações localizadas na UE e organizações localizadas fora da UE caso ofereçam serviços ou produtos na UE. Ao fim ao cabo, aplica-se a todas as organizações que detenham dados pessoais de cidadãos da UE.
O que é considerado um “dado pessoal”?
Qualquer informação relativa a uma pessoa ou “dados” que possam ser usados direta ou indiretamente para identificar uma pessoa.
O que acontece em caso de incumprimento?
O incumprimento poderá resultar em multas de até €20 milhões ou até 4% do volume de negócios da empresa. Qualquer empresa responsável pelo tratamento de dados responde pelos danos causados por um tratamento que viole o regulamento, sendo obrigado a indemnizar a pessoa que tenha sofrido danos materiais ou imateriais devido a essa violação.
Embora o conceito de data breach possa estar associado a um elevado número de registos, a verdade é que o RGPD não define um número mínimo. Como tal, um registo de um indivíduo é um data breach. Como é óbvio, isto traz novos requisitos para as empresas.
Quais os direitos dos indivíduos?
Quem são os indivíduos?
São os consumidores, não só clientes, mas também fornecedores e funcionários.
Os cidadãos têm mais poder para aceder, controlar e mandar apagar os seus dados pessoais, havendo uma responsabilização por parte das empresas detentoras dessa informação.
Portanto, os consumidores devem:
- Ter Livre acesso aos dados pessoais detidos por uma organização: como, onde e para que propósito são processados;
- Poder solicitar a eliminação definitiva dos dados – direito de ser esquecido / não contactado;
- Ter a decisão relativa à transferência de dados para outras entidades; e
- Ser informados num período de até 72h sobre um data breach relativo às suas informações pessoais.
Quais as responsabilidades das empresas?
- Obrigação de notificar violações de Dados Pessoais à autoridade de controlo, no caso português a Comissão Nacional de Proteção de Dados, e ao Titular dos Dados.
- Criação da figura encarregado da proteção de dados (DPO).
- Introdução de novas premissas no tratamento dos dados como a proteção desde a conceção (privacy by design) e por defeito (privacy by default), a pseudonimização e a minimização dos Dados Pessoais.
- A proteção das pessoas singulares deverá ser neutra em termos tecnológicos e deverá ser independente das técnicas utilizadas.
- Garantir a capacidade de uma rede ou de um sistema informático de resistir, com um dado nível de confiança, a eventos acidentais ou a ações maliciosas ou ilícitas que comprometam a disponibilidade, a autenticidade, a integridade e a confidencialidade dos dados pessoais. Elaboração de códigos de conduta.
- Direito de apresentar reclamação a uma autoridade de controlo.
- Supressão do mecanismo de autorização prévia (artigo 28º Lei n.º 67/98 de 26 de outubro) pela Comissão Nacional de Proteção de Dados (CNPD) passando esta entidade a ter um papel fiscalizador.
- Registar detalhadamente todas as atividades de tratamento dos Dados Pessoais.
Como pode garantir que a sua empresa está em conformidade?
A resposta não é linear, mas podem ser aplicadas algumas regras aqui descritas.
- Avaliar os dados atuais:
-O local onde estão armazenados (fonte externa ou interna);
-Os processos de transferência dos dados (seguro ou inseguro);
-Avaliar as políticas de segurança e validar também todos os mecanismos de segurança e reporting; Em grosso modo, fazer um levantamento geral.
- Avaliar os dados atuais:
- O que se deve fazer quando dados pessoais são recolhidos:
-Informar o utilizador do propósito da recolha e ser claro e direto na mensagem transmitida;
-Não usar checkbox nem opt-in para fazer chegar essa mensagem ao utilizador;
-Identificar a priori qual o proposito da recolha dos dados (por exemplo, um formulário quando é pedido o anexo de um CV), e apenas manter estes dados durante um prazo devidamente estipulado.
- Quando os dados devem ser eliminados:
-Sempre que o cidadão solicitar e sempre que o prazo inicialmente definido terminar (ou quando não necessários).
- O que se deve fazer quando dados pessoais são recolhidos:
- O que fazer para prevenir a violação dos dados:
-Implementar políticas para a proteção dos dados e comunicá-las devidamente;
-Também é necessário implementar tecnologias e software que visa gerar reports de falhas e do comportamento dos sistemas (IDSs, firewalls, monitorização, error reporting, etc.).
- O que fazer para prevenir a violação dos dados:
- Qual o procedimento em caso de violação dos dados:
-Comunicar à comissão nacional de proteção dos dados em no máximo 72h depois da ocorrência;
-O consumidor também deve ser prontamente notificado.
- Qual o procedimento em caso de violação dos dados:
- Que políticas devem ser implementadas:
-Definir um responsável pelas políticas e dados mantidos;
-Identificar permissões dos colaboradores que processam dados;
-Não transferir dados pessoais para fora da U.E.
-Enviar dados pessoais aos consumidores sempre que solicitado; e
-Ter um plano para resolução de incidentes devidamente descriminado.
- Que políticas devem ser implementadas:
- Que tecnologias ou procedimentos devem ser ser implementados:
-Encriptador todos os dispositivos com dados pessoais (periféricos USB, Discos externos, CDs, DVDs, computadores, etc.);
-Encriptar todos os e-mails com dados pessoais (NIFs, moradas, palavras-passe). No fundo qualquer informação sensível.;
-Garantir que a troca de informação é feita de forma segura (mecanismos de criptografia). Por exemplo, uso de HTTPs, algoritmos de criptografía em processos críticos, etc;
-Implementar mecanismos de autenticação seguros no acesso à rede ou dispositivos (VPNs, máquinas virtuais, etc.); e
-Implementar sistemas de cópias de segurança.
-Implementar mecanismos de de monitorização, firewalls, IDSS, geração de relatórios e alertas. Este é um ponto importante aquando da pronta notificação de uma possível violação de dados.
-Ter a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;
Guião para Totós
Ao fim ao cabo, podem ser enumerados meia dúzia de tópicos que visam melhorar, ainda que numa fase inicial, a estrutura interna de uma empresa e a sua resposta a uma violação de dados.
-Usar sempre TLS/SSL quando uma ligação é estabelecida (HTTPs), p..ex., em websites, callbacks, etc..
-Nunca esquecer da política de cookies nos websites;
-Quando a recolha de informação via formulário é efetuada, identificar o seu propósito, de forma a clarificar o consumidor.
-Notificar à Comissão Nacional de Proteção de Dados os fomulários de recolha de dados;
-Durante a fase de arquitetura de um novo sistema, arquitetá-lo com mecanismos de segurança.
-Implementar mecanismos para notificação e report de falhas de segurança;
-Eleger um responsável de forma a supervisionar todo o ecossistema e a forma como os dados são mantidos;
-Manter um profissional de segurança com conhecimento sobre os mais variados temas;
-Formação a todos os colaboradores que manipulam dados sensíveis.
Enunciar ainda que, a GDPR confere aos cidadãos o poder de:
- Mais facilmente aceder e controlar os seus dados pessoais
- Transferir os dados para outro prestador de serviços
- Eliminar os seus dados ou ser esquecido
- Saber quando os seus dados foram alvo de falhas de segurança
3 Replies to “Nova Regulamentação dos Dados Pessoais. O que fazer?”