Reading Time: 3 minutes

Introdução

Está a bater à porta o novo regulamento geral de proteção dos dados pessoais (RGPD). Este novo quadro será implementado em todas as organizações que processam dados de cidadãos na União Europeia a partir de 25 de maio de 2018. Traduzindo-se num conjunto de obrigações e direitos, todas as organizações que tratem dados pessoais, sejam elas do setor público ou privado, terão de responder a estas novas exigências.

O incumprimento é rigoroso, e estabelece um quadro de aplicação uniforme e assente em dois escalões. Nos casos menos graves, a coima pode ter um valor de até 10 milhões de euros ou 2% do volume de negócios anual a nível mundial. Nos casos mais graves, a coima poderá ter um valor de até 20 milhões de euros ou 4% do volume de negócios anual.

Uma das obrigações impostas obriga as organizações a controlar as circunstâncias em que foi obtido o consentimento dos titulares dos dados quando isso for base legal do tratamento dos dados pessoais.

 

Quando devo recolher o consentimento

Recolhe ou trata dados pessoais de cidadãos?
Consegue provar o consentimento do titular dos dados?
Tem alguma base legal definida para o tratamento de dados pessoais?


Em seguida, são destacados alguns exemplos para o qual deve ser realizado o pedido de consentimento sobre os dados pessoais tratados por uma organização.

  • Possui uma newsletter de contactos para fins de marketing? Consegue provar o consentimento dos titulares dos dados?
  • Gere os aniversários dos colaboradores num ficheiro ou sistema partilhado na empresa? A data de nascimento é um dado pessoal, e portanto, também é necessário obter o consentimento.
  • Marca almoços da empresa e costuma fornecer aos restaurantes algumas indicações alimentares derivado à situação médicas dos colaboradores (como p.ex., alergias)? Está a fornecer dados pessoais sem consentimento a uma terceira parte sem qualquer consentimento do titular dos dados.
  • É comum encaminhar um Curriculum Vitae a fim de obter segundas opiniões? Não se esqueça de retirar o cabeçalho ou informações pessoais do candidato.

 

Processo de obtenção de consentimento

Para que a organização recolha o consentimento dos dados junto dos seus titulares, normalmente recorre-se a um e-mail, que informa o utilizador acerca das novas alterações face ao RGPD, e que a partir de 25 de maio, o utilizador terá de subscrever o serviço e/ou efetuar um double-opt-in para que a organização possa tratar os seus dados.

Por norma, esta comunicação acontece por e-mail, e em baixo segue um exemplar legítimo deste tipo de notificações.

oneplus-notification

Figura 1: Notificação da ONEPLUS.

 

Muito resumidamente, se o utilizador não subscrever não voltará a ser comunicado pelo sistema e não verá os seus dados serem tratados pela organização. Internamente, os dados serão eliminados e deverá desaparecer qualquer tipo de relação que permita perfilar um utilizador.

 

Porque o RGPD pode ser oportuno para os criminosos

É com naturalidade que percebemos que este tipo de campanhas poderá ser proveitosa para os ciber atacantes — ainda mais numa fase em que recebemos nas caixas de entrada do nosso e-mail dezenas de e-mails com pedidos de subscrição de newsletters ou outro tipo de serviços ao qual supostamente estamos associados.

Mas todos os e-mails recebidos serão legítimos e enviados pela organização que aparenta ser?

 

Embora essa divulgação seja essencial (o Artigo 7 do RGPD exige que os processadores de dados “demonstrem que o titular de dados consentiu com o processamento de seus dados pessoais”), esta vaga de comunicações por email proporciona aos cibercriminosos uma oportunidade oportuna de espalhar malware e obter dados sensíveis dos utilizadores.

Um exemplo real deste problema ocorreu recentemente com a Airbnb. Os criminosos personificaram a equipa de suporte ao cliente da Airbnb. O e-mail solicita que os clientes atualizem as suas informações pessoais e sugere mesmo clicar numa hiperligação endereçada no e-mail (é claro, uma hiperligação maliciosa).

airbnb-gdpr-phishing

Nesta campanha de phishing os criminosos usaram um endereço de e-mail similar ao oficial — @mail.aribnb.work (dominio malicioso) em vez de @airbnb.com.

É importante ressaltar que as notificações RGPD enviadas pelas organizações e empresas para os e-mails dos clientes não solicitam os dados de autenticação dos utilizadores. Portanto, tenha cuidado e cautela com os e-mails que recebe e tente analisar a sua natureza antes de mergulhar numa piscina contaminada.

 

 

Powered by RISEMA


risema

Este artigo é patrocinado pela RISEMA, uma empresa da área da informática fundada em 1992, com soluções para micro, pequenas e médias empresas, e com experiência junto dos clientes na prevenção de Phishing.