controlgal_RGPD_data_protection

Precauções e ações básicas para implementar e garantir um nível mínimo de segurança dos dados pessoais da sua organização

A proteção dos dados pessoais exige a adoção de medidas técnicas e organizativas adequadas para assegurar um nível de segurança adaptado ao risco.

Essa abordagem permite uma tomada de decisão objetiva e a determinação de medidas estritamente necessárias e adaptadas ao contexto. No entanto, às vezes é difícil, quando não se está familiarizado com esses métodos, implementar essa abordagem e garantir que o mínimo tenha sido implementado.

Para ajudar os profissionais na conformidade com o Regulamento Geral de Proteção de Dados (RGPD), reunimos neste documento algumas das precauções básicas que devem ser implementadas sistematicamente.

Este guia poderá ser usado como parte da gestão de risco, mesmo mínimo, consistindo em quatro etapas.

Mapear os dados pessoais ​​e o media em que se baseiam:

  • hardware (exemplo: servidores, computadores portáteis, discos rígidos);
  • software (exemplo: sistema operativos, software de gestão ERP, CRM);
  • canais de comunicação (exemplo: Internet);
  • suporte em papel (exemplo: documento impresso, fotocópia).

Avaliar os riscos gerados por cada tratamento:

  1. Identificar os impactos potenciais sobre os direitos e liberdades dos titulares afetados, para os seguintes três eventos:
    • acesso ilegítimo aos dados (exemplo: roubo de identidade resultante da divulgação das folhas de pagamento de salários dos funcionários de uma empresa);
    • modificação indesejada de dados (exemplo: acusação indevida de uma pessoa após a modificação de logs de acesso);
    • desaparecimento de dados (exemplo: a não deteção de um diagnóstico devido à impossibilidade de aceder ao registo de um doente).
  1. Identificar as fontes de risco (quem ou o que poderia estar na origem de cada evento?) – Levando em consideração fontes humanas internas e externas (exemplo: técnico de TI, utilizador, acesso externo indevido) e origens externas (exemplo: água, materiais perigosos, vírus informáticos).
  1. Identificar ameaças viáveis (o que poderia permitir que cada evento de ameaça ocorra?). Essas ameaças são realizadas através dos suportes de dados automatizados e não automatizados (exemplo: hardware, software, canais de comunicação, suporte de papel, etc.), que podem ser:
    1. mal utilizado (exemplo: abuso de direitos, erro de manipulação);
    2. modificado (exemplo: instalação de software malicioso);
    3. perdido (exemplo: roubo de um computador portátil, perda de uma pen USB);
    4. observado (exemplo: screenshot);
    5. deteriorado (exemplo: degradação de um suporte lógico devido ao desgaste);
    6. sobrecarregado (exemplo: disco rígido cheio).
  1. Determinar medidas existentes ou planeadas que abordem cada risco (exemplo: controle de acesso, backups, rastreabilidade, segurança das instalações, criptografia, anonimização).
  1. Estimar a gravidade e a probabilidade dos riscos, com base nos elementos precedentes (exemplo: criar uma graduação para usar na estimativa).
  1. Implementar e verificar as medidas planeadas. Se as medidas existentes e previstas forem consideradas apropriadas, deve ser assegurado que elas sejam aplicadas e monitoradas.
  1. Realizar auditorias de segurança periódicas.Cada auditoria deve resultar num plano de ação que deve ser implementado.

Carlos Silva

Certified Data Protection Officer

Membro da  APDPO – PORTUGAL – Associação dos Profissionais de Proteção e de Segurança de Dados