Selo Digital ‚Äď Ciberseguran√ßa

Fonte: Disponível em <https://selosmaturidadedigital.incm.pt/SMD/>

Existem quatro Selos de Maturidade Digital e um Selo Global que refletem a certificação em três níveis distintos: Bronze, Prata e Ouro. Cada selo apresenta a dimensão da certificação e o respetivo nível alcançado pela organização.

Fonte: Disponível em <https://selosmaturidadedigital.incm.pt/SMD/>

O Selo digital da Ciberseguran√ßa sela o compromisso de todas as organiza√ß√Ķes com a ado√ß√£o de um gui√£o para o processo de transi√ß√£o digital, num mundo e tempo marcados pela cada vez maior depend√™ncia das tecnologias de informa√ß√£o e comunica√ß√£o (TIC).

O certificado Selo Digital Cibersegurança tem por objetivo testemunhar o compromisso da organização certificada com a cibersegurança e um referencial na cultura da organização.

A transforma√ß√£o digital √© uma realidade inevit√°vel e o certificado Selo Digital Ciberseguran√ßa pode ser adquirido por organiza√ß√Ķes de todas as dimens√Ķes, sejam do setor privado ou setor p√ļblico, representando uma oportunidade para as organiza√ß√Ķes se tornarem mais competitivas no mercado e mais eficazes.

√Č uma iniciativa desenvolvida em parceria com o Instituto Portugu√™s de Acredita√ß√£o e o Instituto Portugu√™s da Qualidade, as entidades certificadoras e a Imprensa Nacional Casa da Moeda.

O certificado Selo Digital Ciberseguran√ßa compreende tr√™s n√≠veis de garantia ‚ÄstBronze, Prata e Ouro, que permitem √† organiza√ß√£o selecionar o n√≠vel de garantia mais adequado √†s suas necessidades de ciberseguran√ßa e √†s necessidades do contexto em que se inserem.

A Controgal Consulting √© especializada na implementa√ß√£o da norma “Maturidade Digital – Selo Digital – Ciberseguran√ßa” e presta servi√ßos de consultoria a fim de garantir que os seus clientes est√£o em conformidade com as medidas e as boas pr√°ticas exigidas pela norma.

 

RGPD: como informar as pessoas e garantir a transparência?

O RGPD requer informa√ß√Ķes completas e precisas. Os m√©todos de fornecimento e apresenta√ß√£o dessas informa√ß√Ķes devem ser adaptadas ao contexto dos titulares, dados pessoais objeto de tratamento e √†s finalidades do tratamento.

A transparência permite aos interessados:

  • saber o motivo da coleta dos diversos dados que lhes dizem respeito;
  • entender o tratamento que ser√° feito de seus dados;
  • assegurar o controle de seus dados, facilitando o exerc√≠cio de seus direitos.

Para os Responsáveis pelo Tratamento (controladores de dados/data controller), contribui para o tratamento justo dos dados pessoais e permite que uma relação de confiança seja estabelecida com os titulares dos dados.

Quando devo informar?

Informar os titulares envolvidos:

  • no caso de coleta direta de dados:  quando os dados s√£o coletados diretamente de pessoas, (exemplo: atrav√©s de formul√°rios, compras online, assinatura de contrato), ou quando s√£o coletados por meio de dispositivos ou tecnologias de observa√ß√£o da atividade das pessoas (exemplos : vigil√Ęncia por v√≠deo, an√°lise de navega√ß√£o na Internet, geolocaliza√ß√£o e an√°lise / rastreamento de wi –  fi  para medi√ß√£o de audi√™ncia, etc.);
  • no caso de recolha indireta de dados pessoais:  quando os dados n√£o s√£o coletados diretamente de indiv√≠duos (exemplos: dados coletados de parceiros de neg√≥cios,  corretores de dados , fontes acess√≠veis ao p√ļblico ou outras pessoas).

Em que momento devo informar?

  • no caso de coleta direta: no momento da coleta de dados;
  • no caso de coleta indireta: logo que poss√≠vel (especialmente durante o primeiro contato com a pessoa) e, no m√°ximo, no prazo de um m√™s;
  • no caso de uma modifica√ß√£o substancial ou evento especial (exemplos: novo prop√≥sito, novos destinat√°rios, mudan√ßa nos m√©todos de exerc√≠cio de direitos, viola√ß√£o de dados)

A informação regular contribui para o objetivo de transparência, em particular para o tratamento de dados pessoais em grande escala ou no tratamento de dados da categoria dados especiais. Pode ser fornecido, em particular, quando o Responsável pelo Tratamento comunica com os titulares dos dados.

Que informa√ß√Ķes devo prestar?

De uma forma concisa, transparente, compreens√≠vel, facilmente acess√≠vel, em termos claros e simples devem ser fornecidas as seguintes informa√ß√Ķes:

  • Identidade e detalhes de contato da Organiza√ß√£o (como Respons√°vel pelo tratamento);
  • Finalidades  (para que ser√£o utilizados os dados coletados);
  • Fundamento de licitude  para o tratamento de dados (o consentimento,  o cumprimento de uma obriga√ß√£o jur√≠dica, a execu√ß√£o de um contrato, interesses leg√≠timos, etc.);
  • Categoria de dados coletados;
  • Fontes dos dados;
  • Car√°cter obrigat√≥rio ou opcional da recolha de dados e consequ√™ncias para a pessoa em caso de n√£o fornecimento de dados;
  • Destinat√°rios ou categorias de destinat√°rios dos dados  (quem necessita aceder ou receb√™-los para os fins definidos, incluindo subcontratantes);
  • Per√≠odo de reten√ß√£o de dados  (ou crit√©rios para determin√°-lo);
  • Direitos dos titulares dos dados;
  • Detalhes  de contato para quest√Ķes de prote√ß√£o de dados pessoais da organiza√ß√£o (o Encarregado de Prote√ß√£o de Dados, se nomeado, ou de um ponto de contato);
  • A exist√™ncia de uma transfer√™ncia de dados para um pa√≠s fora da Uni√£o Europeia e as respectivas garantias associadas √† transfer√™ncia e a possibilidade de acesso aos documentos que autorizam essa transfer√™ncia (exemplo: as cl√°usulas contratuais padr√£o da Comiss√£o Europeia);
  • Direito de reclamar junto da CNPD.

Como saber mais?

Guidelines on Transparency under Regulation 2016/679 (wp260rev.01)

RGPD: O interesse legítimo num relance

Qual √© a base dos ‘interesses leg√≠timos’?

Os interesses legítimos é uma base legal para o tratamento de dados, contudo a Organização não pode presumir que sempre será a mais apropriada face aos seus interesses e aos interesses das pessoas.

O Artigo 6 (1) (f) do RGPD fornece um fundamento de licitude para o tratamento de dados pessoais quando:

‚ÄúO tratamento √© necess√°rio para os fins dos interesses leg√≠timos perseguidos pelo respons√°vel pelo tratamento (data controller) ou por um terceiro, exceto quando tais interesses forem anulados pelos interesses ou direitos e liberdades fundamentais do titular dos dados que requeiram prote√ß√£o de dados pessoais, em particular quando os dados sujeito √© uma crian√ßa. ‚ÄĚ

Quest√Ķes a considerar

  • √Č prov√°vel que seja mais apropriado quando se usa os dados das pessoas da maneira que elas razoavelmente esperariam e que tenham um impacto m√≠nimo na privacidade, ou quando houver uma justifica√ß√£o para o tratamento de dados pessoais com esse fundamento de licitude.
  • Quando a Organiza√ß√£o opta por fundamentar o tratamento nos interesses leg√≠timos, estar√° assumindo responsabilidade extra por considerar e proteger os direitos e interesses das pessoas (titulares de dados pessoais).
  • As entidades da administra√ß√£o p√ļblica s√≥ podem optar pelo fundamento “interesses leg√≠timos” se o tratamento for feito por um motivo leg√≠timo que n√£o o desempenho das suas atividades como autoridade p√ļblica.
  • Existem tr√™s elementos na base:
    • identificar um interesse leg√≠timo;
    • mostrar que o processamento √© necess√°rio para alcan√ß√°-lo;¬†e
    • equilibrar o interesse leg√≠timo com os interesses, direitos e liberdades das pessoas.
  • Os interesses leg√≠timos podem ser pr√≥prios ou de terceiros. Podem incluir interesses comerciais, interesses individuais ou benef√≠cios sociais mais amplos.
  • O tratamento de dados deve ser necess√°rio e devidamente justificado porque se a Organiza√ß√£o puder alcan√ßar razoavelmente o mesmo resultado de outra forma menos invasiva, os interesses leg√≠timos n√£o se aplicar√£o.
  • Devem ser equilibrados os interesses da Organiza√ß√£o com os da pessoa.¬†
  • Como boa pr√°tica de conformidade ao RGPD, a Organiza√ß√£o deve manter informa√ß√£o documentada da avalia√ß√£o de interesses leg√≠timos (LIA) para ajudar a demonstrar a conformidade e justificar a decis√£o.

Avaliação do interesse legítimo (LIA)

Um LIA √© um tipo de avalia√ß√£o de risco que tem como base o contexto e as circunst√Ęncias espec√≠ficas da atividade de tratamento de dados pessoais com a base legal do interesse leg√≠timo. Esta avalia√ß√£o ajudar a garantir a atividade de tratamento est√° em conformidade com¬† as obriga√ß√Ķes preconizadas nos artigos 5 (2) e 24 do RGPD. A avalia√ß√£o dever√° abranger 3 vetores:

  1. Teste de objetivo
  2. Teste de necessidade
  3. Teste de equilíbrio

Se o resultado da avalição LIA identificar riscos significativos, considerar a realização de um DPIA (Avaliação de Risco sobre a Privacidade) para avaliar e mitigar o risco.

Para saber mais:

Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC 

 

RGPD e os cookies

O que s√£o cookies?

Os cookies s√£o pequenos arquivos de texto que um website armazena, atrav√©s do navegador (browser),  nos dispositivos de acesso (computador,  dispositivo m√≥vel, mobile e tablet) quando vez que um utilizador visita um site. 

Que tipos de cookies existem?

Existem dois grupos cookies :

– Cookies permanentes – s√£o cookies que ficam armazenados ao n√≠vel do browser nos dispositivos de acesso  e que s√£o utilizados quando se faz uma nova visita a um website. S√£o utilizados, geralmente, para direcionar a navega√ß√£o aos interesses do utilizador, permitindo prestar um servi√ßo mais personalizado.

– Cookies de sess√£o – s√£o cookies tempor√°rios que permanecem no arquivo de cookies do browser at√© sair do website. A informa√ß√£o obtida por estes cookies serve para analisar padr√Ķes de tr√°fego na web, permitindo identificar problemas e fornecer uma melhor experiencia de navega√ß√£o.

Para que finalidades s√£o utilizados?
Os cookies podem ser utilizados para reter apenas informação relacionada com elementos funcionais do site mas também as preferências do visitante.

– Cookies estritamente necess√°rios – Permitem que se navegue no website e se utilize as suas aplica√ß√Ķes, bem como aceder a √°reas seguras do website. Sem estes cookies, alguns dos servi√ßos n√£o podem ser prestados.

– Cookies anal√≠ticos – S√£o utilizados anonimamente para efeitos de cria√ß√£o e an√°lise de estat√≠sticas, no sentido de melhorar o funcionamento do website.

РCookies de funcionalidade РGuardam as preferências do utilizador relativamente à utilização do site, para que não seja necessário voltar a configurar o site cada vez que o utilizador o visita.

– Cookies de terceiros – Medem o sucesso de aplica√ß√Ķes e a efic√°cia da publicidade de terceiros. Podem tamb√©m ser utilizados no sentido de personalizar um widget com dados do utilizador.

– Cookies de publicidade – Direcionam a publicidade em fun√ß√£o dos interesses de cada utilizador, por forma a direcionar as campanhas publicit√°rias tendo em conta os gostos dos utilizadores, sendo que, al√©m disso, limitam a quantidade de vezes que v√™ o an√ļncio, ajudando a medir a efic√°cia da publicidade e o sucesso da organiza√ß√£o do website.

Como é que um utilizador pode gerir os cookies?

Todos os browsers permitem ao utilizador aceitar, recusar ou apagar cookies, nomeadamente atrav√©s da sele√ß√£o das defini√ß√Ķes apropriadas no respetivo navegador. Pode configurar os cookies no menu “op√ß√Ķes” ou “prefer√™ncias” do seu browser.

Note-se, no entanto, que, ao desativar cookies, pode impedir que alguns serviços da web funcionem corretamente, afetando, parcial ou totalmente, a navegação no website.

Cookies e a responsabilidade

As organiza√ß√Ķes que det√™m os websites s√£o respons√°veis por todos os cookies que permitem que sejam colocados nos dispositivos de acesso e t√™m, por isso, a obriga√ß√£o de assegurar que s√£o cumpridas todas as exig√™ncias legais, designadamente a informa√ß√£o aos utilizadores e a
obten√ß√£o do seu consentimento quando tal se imp√Ķe, como √© o caso de cookies que n√£o sejam estritamente necess√°rios, nos termos do artigo 5.¬ļ da Lei 41/2004, de 18 de agosto, na sua √ļltima reda√ß√£o.

RGPD e a transparência da informação

Um dos requisitos mais importantes do RGPD est√° na defini√ß√£o do que constitui um consentimento adequado ao cookie. O utilizador precisa optar por aceitar ou recusar os v√°rios tipos de cookies, exceto os cookies  estritamente necess√°rios. Esse consentimento deve ser de f√°cil procedimento para o utilizador, al√©m de permitir a possibilidade de mudar de ideia a qualquer momento.

N√£o √© necess√°rio a obten√ß√£o do consentimento do utilizador, se estes cookies forem estritamente necess√°rios para a presta√ß√£o de um servi√ßo de comunica√ß√£o online expressamente solicitado pelo utilizador, mas na verdade, um simples bot√£o ‚Äúok‚ÄĚ para aceitar cookies n√£o √© suficiente. √Č preciso ter um aviso em conformidade com o RGPD solicitando o consentimento para definir cookies.

Al√©m disso, o utilizador tem o direito de ser ‚Äúesquecido‚ÄĚ. A partir de um pedido do utilizador , todos os seus dados pessoais devem ser exclu√≠dos corretamente.

O consentimento do utilizador deve ser materializado por um ato claro e positivo como, por exemplo, um clique no bot√£o “Aceitar todos”. A aus√™ncia de uma manifesta√ß√£o clara de vontade de aceitar o armazenamento de cookies deve ser entendido como um recusa.

RGPD e o Tratamento de dados pessoais em contexto laboral

Os departamentos de RH, vendas, jurídico, financeiro, TI e Marketing são alguns dos departamentos cujas as práticas são mais afetadas pelo RGPD, pois lidam com a maior parte dos dados pessoais pelos quais a organização é responsável pelo tratamento (data controller).

Destaco neste artigo o departamento RH, quer pela quantidade de tratamentos de dados pessoais sob sua responsabilidade, quer pela quantidade de elementos t√©cnicos e processos organizativos que tem que implementar, atrav√©s do seu Sistema Geral de Prote√ß√£o de Dados (SGPD), de modo a estar em conformidade com as disposi√ß√Ķes com o RGPD e em linha com o C√≥digo de Trabalho e a Lei n¬ļ 58/2019 de 8 de agosto.

No contexto laboral o tratamento dos dados pessoais tem um impacto substancial uma vez que qualquer empresa que tenha trabalhadores a seu cargo, seja uma pequena ou média empresa, seja uma empresa vocacionada para o recrutamento ou trabalho temporário ou mesmo os grandes grupos empresariais, estão obrigados a estar em conformidade com as exigências do RGPD.

√Č uma √°rea onde se colocam muitos desafios operacionais √†s organiza√ß√Ķes e alguns deles, s√£o de grande complexidade t√©cnica para a conformidade ao RGPD. S√£o muitos os cen√°rios que se colocam a um departamento RH no tema do tratamento de dados pessoais no contexto laboral. Alguns exemplos:

  • a sele√ß√£o e o recrutamento de trabalhadores
  • a utiliza√ß√£o de recursos de informa√ß√£o e comunica√ß√£o na empresa (computador, telemovel, email, internet,‚Ķ)
  • a utiliza√ß√£o de recursos de comunica√ß√£o fora da empresa
  • o controlo de tempos de trabalho
  • a biometria de assiduidade
  • a monitoriza√ß√£o da atividade de trabalhadores nas redes sociais
  • a utiliza√ß√£o de meios de vigil√Ęncia √† dist√Ęncia (utiliza√ß√£o de ve√≠culos autom√≥veis e a geolocaliza√ß√£o, videovigilancia)
  • os testes de √°lcool e psicotr√≥picos
  • Processos disciplinares
  • a partilha e a divulga√ß√£o de dados a terceiros
  • a subcontrata√ß√£o para processamento salarial
  • a transfer√™ncia internacional de dados (exporta√ß√£o de dados extra-EEE)
  • a pandemia COVID-19
  • o teletrabalho
  • tempos de reten√ß√£o e conserva√ß√£o dos dados pessoais em contexto laboral adequados √†s obriga√ß√Ķes legais de conserva√ß√£o

Um dos desafios √© a conformidade ao RGDP da aplica√ß√£o inform√°tica de gest√£o RH. ¬†Alguns dos m√≥dulos funcionais devem estar adequados , entre outros, o m√≥dulo referente √†s Atividades e Servi√ßos de Seguran√ßa e Sa√ļde no Trabalho, onde ter√° que haver uma separa√ß√£o l√≥gica entre os dados referentes √° sa√ļde e os restantes dados pessoais,¬† a aplica√ß√£o do exerc√≠cio do direito ao esquecimento, o modulo de controlo de assiduidade, forma√ß√£o profissional,

S√£o¬† muito relevantes o artigo 88.¬ļ e o considerando 43 do RGPD, o artigo 28.¬ļ da Lei 58/2019, sendo de relevar que o Consentimento do trabalhador n√£o √© fundamento legitimo para tratamento de alguns dos seus dados.¬† O Consentimento √© uma excep√ß√£o e s√≥ pode existir se n√£o houver consequ√™ncias negativas para o titular dos dados.

A entidade patronal como respons√°vel pelo tratamento dos dados pessoais, ter√° que recorrer ao fundamento do interesse leg√≠timo com frequ√™ncia, √† obriga√ß√£o contratual e ao cumprimento de obriga√ß√Ķes jur√≠dicas para justificar a licitude do tratamento de dados dos trabalhadores. No entanto, e no caso¬† do interesse leg√≠timo, a entidade patronal ter√° que assegurar que o tratamento √© estritamente necess√°rio, proporcional, devendo coletar somente os dados que s√£o tratados para atingir a finalidade do tratamento.

Tenho como refer√™ncia as recomenda√ß√Ķes do GT29, transcrevo algumas das orienta√ß√Ķes e ideias do documento ‚ÄúOpinion 2/2017 on data processing at work‚ÄĚ de 8.06.2017:

  • Todos os tratamentos de dados devem ser comunicados aos trabalhadores
  • Sempre que poss√≠vel, os trabalhadores ou os seus representantes devem ser envolvidos na elabora√ß√£o das pol√≠ticas de tratamento de dados pessoais
  • No caso de dispositivos propriedade dos trabalhadores n√£o √© permitida a monitoriza√ß√£o permanente das comunica√ß√Ķes (BYOD)
  • Aplicar o princ√≠pio da proporcionalidade que exige que seja sempre escolhida pelo empregador a forma menos intrusiva de tratar os dados
  • O empregador n√£o pode aceder a dados de sa√ļde recolhidos por dispositivos oferecidos ou disponibilizados aos trabalhadores
  • N√£o se deve recorrer √† utiliza√ß√£o de tecnologias de reconhecimento facial para an√°lise de ambiente de trabalho (n√£o respeita o princ√≠pio da proporcionalidade)
  • A utiliza√ß√£o de tecnologia GPS em ve√≠culos dever√° permitir a sua desativa√ß√£o se o ve√≠culo puder ser utilizado para fins privados

Tamb√©m para estar em conformidade com o RGPD √© fundamental implementar v√°rias medidas que cumpram os princ√≠pios da seguran√ßa e prote√ß√£o de dados ‚Äúby default & by design‚ÄĚ: minimiza√ß√£o de dados, pseudoanonimiza√ß√£o, transpar√™ncia e melhoria cont√≠nua de sistema e recursos de seguran√ßa da informa√ß√£o, por isso n√£o ser√° demais lembrar algumas medidas a tomar em termos de sistemas de informa√ß√£o:

  • Fornecer pastas de rede e ser obrigat√≥rio uma pol√≠tica que limita o armazenamento de documentos em computadores port√°teis, postos de trabalho, tablets e dispositivos m√≥veis
  • Todos os dados importantes nos computadores port√°teis, de secret√°ria, tablets e dispositivos m√≥veis, em redes de comunica√ß√£o, nos smartphones ou em armazenamentos externos devem estar encriptados
  • Realizar DPIA (Avalia√ß√£o de Impacto sobre a Privacidade) nos tratamento com recurso √† biometria ou √† CCTV
  • Documentos a ter em conta (artigo 13.¬ļ do RGPD): Direito √† informa√ß√£o atrav√©s do contrato de trababalho ou adenda e sempre que aplic√°vel, acordo de confidencialidade
  • Estabelecer, com os Subcontratantes,¬† Acordos de Tratamento de Dados com as clausula-tipo do artigo 28.¬ļ
  • Se aplic√°vel, estabelecer com os outros respons√°veis pelo tratamento,¬† Acordos de Tratamento de Dados na conformidade com os artigos 4.¬ļ e 26.¬ļ do RGPD
  • Documentar as transfer√™ncias internacionais de dados

E por √ļltimo, uma quest√£o: no seu departamento RH est√£o dispon√≠veis trituradores de papel e h√° uma pol√≠tica aplic√°vel √† tritura√ß√£o de documentos que contenham dados pessoais dos candidatos e dos colaboradores?

Como saber mais:

Contacte a Controlgal Consulting: Promovemos a√ß√Ķes de forma√ß√£o planeadas de acordo com¬† as caracter√≠sticas e as necessidades de cada Organiza√ß√£o.¬† Atrav√©s do servi√ßo de auditoria, as Organiza√ß√Ķes poder√£o verificar a sua conformidade com a legisla√ß√£o de prote√ß√£o de dados e identificar eventuais situa√ß√Ķes de n√£o conformidade.

EDPB_Guidelines

ISO/IEC 27701:2019 e o RGPD

ISO / IEC 27701: 2019 РPrivacy Information Management System (PIMS),  fornece uma estrutura para integrar a privacidade às práticas organizacionais

Como temos referenciado em alguns artigos, a norma ISO / IEC 27552 seria lançada em agosto de 2019, um padrão para a implementação e certificação de um Sistema de Gestão de Privacidade / Privacy Information Management System (PIMS), juntamente com a ISO / IEC 27001.

A ISO decidiu algumas mudan√ßas em rela√ß√£o a esta norma (ISO / IEC 27552), que desapareceu para se tornar ISO/IEC 27701 – T√©cnicas de seguran√ßa – Extens√£o para ISO/IEC 27001 e ISO/IEC 27002 para gest√£o de informa√ß√Ķes de privacidade – Requisitos e diretrizes.

Para todas as empresas j√° certificadas na norma ISO/IEC 27001, √© uma grande oportunidade para estender o √Ęmbito do sistema gest√£o da seguran√ßa da informa√ß√£o ao tratamento de dados pessoais e demonstrar o compromisso e dilig√™ncia √†s partes interessadas e, por que n√£o, pode implicar uma vantagem competitiva.

Nos √ļltimos anos, o dom√≠nio da privacidade tornou-se cada vez mais regulamentado.¬†A governan√ßa de privacidade continua sendo um empreendimento complexo em vista da aten√ß√£o regulat√≥ria, da legisla√ß√£o em evolu√ß√£o global e da maturidade social. Qualquer auditoria ISO/IEC 27701:2019 exige que a organiza√ß√£o declare as leis e regulamentos aplic√°veis nos crit√©rios para a auditoria de conformidade, o que significa que o padr√£o pode ser mapeado para a maioria dos requisitos do RGPD.

A ISO/IEC 27701 pode garantir a conformidade com o RGPD?

As normas ISO/IEC 27001 e ISO/IEC 27701 n√£o cobrem todos os aspectos do RGPD.

A norma ISO 27701 pode posicionar bem qualquer organização para conformidade futura com o RGPD. Enquanto que o ISO é um sistema de gestão, o RGPD é  uma estrutura legal, contudo a ISO 27701 ajuda a criar um caminho para a conformidade com o preconizado no RGPD, criando um padrão para a proteção de dados e privacidade.

O que é ISO/IEC 27001 e ISO/IEC 27701?

A prote√ß√£o das informa√ß√Ķes em toda a organiza√ß√£o comprovadamente exige um esfor√ßo multidisciplinar e especializa√ß√£o multifuncional. A¬† ISO/IEC 27001 √© uma estrutura de seguran√ßa da informa√ß√£o de longa data usada para construir um Sistema de Gest√£o de Seguran√ßa da Informa√ß√£o (SGSI) dentro de uma organiza√ß√£o.

A ISO/IEC 27701 foi criada como um componente adicional¬† para complementar a ISO/IEC 27001, que introduziu mais controlos espec√≠ficos de privacidade. Com a ISO 27701, as organiza√ß√Ķes podem criar um Sistema de Gest√£o de Informa√ß√Ķes de Privacidade (PIMS) e tornar-se certificadas em certas pr√°ticas de privacidade. A ISO 27701 foi criada em grande parte para fornecer orienta√ß√£o sobre o cumprimento dos regulamentos de privacidade introduzidos em todo o mundo, como o RGPD (Regulamento Geral sobre a¬† Prote√ß√£o de Dados) e o CCPA (Ato de Privacidade do Consumidor da Calif√≥rnia).

A ISO 27701 n√£o √© um padr√£o independente.¬†Em vez disso, o padr√£o original do sistema de gest√£o de seguran√ßa da informa√ß√£o ISO 27001 (SGSI) serve como base, e as organiza√ß√Ķes podem adicionar outros padr√Ķes ISO.

Como implementar a norma ISO/IEC 27701?

Contacte-nos porque as solu√ß√Ķes da Controlgal Consulting permitem √†s organiza√ß√Ķes melhorar continuamente os seus sistemas de gest√£o.

Como saber mais?

https://www.apcergroup.com/pt/certificacao/pesquisa-de-normas/1571/iso-iec-27701

https://www.iso.org/standard/71670.html

Prestamos serviços de contabilidade e processamento de salários. Também somos obrigados a implementar o RGPD?

A resposta é sim.

ent√£o tamb√©m √© obrigado a implementar o RGPD.  E como subcontratante (processador de dados) a sua responsabilidade √© amplamente aumentada com o novo Regulamento Geral Prote√ß√£o de Dados. Pela primeira vez, os processadores de dados t√™m responsabilidades significativas por direito pr√≥prio. Sob o RGPD, os processadores de dados est√£o sujeitos a contraordena√ß√Ķes e outras penalidades muito gravosas.

Sempre que existam dados pessoais envolvidos em qualquer tratamento/processamento, existe uma obrigatoriedade de implementação de um sistema de conformidade ao RGPD porque neste caso, a empresa irá processar dados pessoais referente ao processamento de salários, cuja a responsabilidade do tratamento é da empresa que contrata esse serviço. Neste sentido, o regulamento menciona expressamente os seguintes sujeitos jurídicos:

  • Respons√°vel pelo tratamento‚Äď pessoa singular ou coletiva, a autoridade p√ļblica, a ag√™ncia ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da Uni√£o ou de um Estado-Membro, o respons√°vel pelo tratamento ou os crit√©rios espec√≠ficos aplic√°veis √† sua nomea√ß√£o podem ser previstos pelo direito da Uni√£o ou de um Estado-Membro.
  • Subcontratante‚Äď uma pessoa singular ou coletiva, a autoridade p√ļblica, ag√™ncia ou outro organismo que trate os dados pessoais por conta do respons√°vel pelo tratamento destes.

O respons√°vel pelo tratamento dos dados da empresa que contrata os servi√ßos de processamento de contabilidade e sal√°rios ter√° que o fazer atrav√©s de um contrato escrito e s√≥ dever√° recorrer apenas a subcontratantes que apresentem garantias suficientes de execu√ß√£o de medidas t√©cnicas e organizativas adequadas de uma forma que o tratamento satisfa√ßa os requisitos do regulamento e assegure a defesa dos direitos do titular dos dados.

O processador (neste caso quem processa os sal√°rios) deve-se submeter a auditorias e inspe√ß√Ķes, fornecer ao controlador todas as informa√ß√Ķes necess√°rias e informar imediatamente ao controlador, se ele for solicitado, a fazer algo que viole o RGPD ou outra lei de prote√ß√£o de dados.

Estes contratos de subcontratação têm que ser obrigatoriamente escritos e há um conjunto de cláusulas obrigatórias a constar no mesmo a partir de 25.05.2018.

Em caso de incidente ou violação de dados, a responsabilidade é solidária e subsidiária entre o responsável pelo tratamento e o subcontratante.

Fale connosco e saiba como podemos ajudar.

Ajudamos a cumprir as horas de formação profissional obrigatória

Somos uma entidade certificada pela DGERT (Dire√ß√£o Geral do Emprego e das Rela√ß√Ķes de Trabalho) para conceber e organizar a√ß√Ķes de forma√ß√£o de qualifica√ß√£o inicial e cont√≠nua nos seguintes dom√≠nios:

  • (Cod.345) Ci√™ncias sociais, com√©rcio e direito ¬Ľ Ci√™ncias empresariais ¬Ľ Gest√£o e Administra√ß√£o
  • (Cod.347) Ci√™ncias sociais, com√©rcio e direito ¬Ľ Ci√™ncias empresariais ¬Ľ Enquadramento na Organiza√ß√£o/ empresa
  • (Cod.482) Ci√™ncias matem√°tica e inform√°tica ¬Ľ Inform√°tica ¬Ľ Inform√°tica na √≥tica do utilizador

A forma√ß√£o que ministramos aos colaboradores √© v√°lida em qualquer inspec√ß√£o da ACT para as 35 horas obrigat√≥rias indicada no C√≥digo do trabalho. √Č devidamente registada e emitidos os respectivos certificados de frequ√™ncia de forma√ß√£o profissional.

A formação de colaboradores para conformidade ao RGPD ajuda a cumprir as 35 horas de formação profissional obrigatória

As a√ß√Ķes de forma√ß√£o de qualifica√ß√£o no dom√≠nio das medidas t√©cnicas e organizativas em “Seguran√ßa da Informa√ß√£o”¬†e¬†“Prote√ß√£o de Dados‚ÄĚ , tem-se revelado como um dos pilares na garantia da sustentabilidade e continuidade dos neg√≥cios.

A Controlgal Consulting como entidade certificada pela DGERT concebe e organiza a√ß√Ķes de forma√ß√£o ¬†nos dom√≠nios do RGDP, Prote√ß√£o de Dados e Seguran√ßa da Informa√ß√£o, com o objetivo ¬†de melhoria dos n√≠veis de seguran√ßa atuais de uma forma eficiente e eficaz, atrav√©s da defini√ß√£o de programas adequados para minimizar os riscos de seguran√ßa.

RGPD: como preparar a certificação do nosso sistema de Proteção de Dados?

O Artigo 42¬ļ do Regulamento sobre Prote√ß√£o de Dados (RGPD) preconiza que os Estados Membros, as Autoridades de Controlo, o Comit√© e a Comiss√£o encorajar√£o o estabelecimento de mecanismos de certifica√ß√£o de prote√ß√£o de dados, bem como selos e marcas de prote√ß√£o de dados, para efeitos de comprova√ß√£o da conformidade das opera√ß√Ķes de tratamento de Respons√°veis pelo tratamento e Subcontratantes com o RGPD e que dever√£o ser tidas em conta as necessidades espec√≠ficas das micro, pequenas e m√©dias empresas, com o objetivo de demonstrar o cumprimento do RGPD nas opera√ß√Ķes de processamento de dados pessoais por parte de controladores e processadores (Respons√°veis pelo Tratamento e Subcontratantes).

Tanto o Autoridade de Controlo nacional (CNPD) quanto Autoridade Europeia para a Proteção de Dados (AEPD) ainda não explicaram os detalhes sobre a aplicação deste artigo, nem existe qualquer indicação.

Ent√£o quais s√£o as a√ß√Ķes de padroniza√ß√£o para cumprir o artigo¬†42¬ļ do Regulamento da UE 679/2016 (RGPD)?

Ninguém sabe o que vai acontecer, mas o melhor é estar preparado para poder demonstrar o compromisso com o RGPD.

Um sistema de gest√£o de conformidade ao RGPD poder√° ser suportado pela implementa√ß√£o da norma ISO/IEC 27001 ‚Äď Sistema de Gest√£o de Seguran√ßa da Informa√ß√£o (SGSI), que n√£o sendo um requisito do RGPD tem, no entanto, sido referenciado por v√°rios especialistas como a melhor abordagem ao RGPD, pois oferece a garantia de continuidade e consolida√ß√£o de um Sistema de Gest√£o de Seguran√ßa da Informa√ß√£o (SGSI). Para apoiar a implanta√ß√£o do SGSI pode ser utilizado o padr√£o ISO/IEC 27002, que fornece um guia completo de controles a serem estabelecidos. Este processo pode ser utilizado em qualquer tipo de organiza√ß√£o, p√ļblica ou privada, de pequeno ou grande porte, com ou sem fins lucrativos e n√£o apenas em empresas de tecnologia.

Também de forma a operacionalizar um conjunto de princípios fundamentais para a gestão da privacidade, que o RGPD preconiza, as normas ISO/IEC DIS 27552 e ISO/IEC 29151 funcionam como uma extensão certificável com requisitos adicionais para o ISO/IEC 27001, devendo ser utilizadas no Sistema de Gestão para a Proteção de Dados (SGPD),  funcionando neste sistema de conformidade ao RGPD como uma lista de verificação de um conjunto de controles de privacidade e segurança para processamento de Dados pessoais.

Para alguns dos controles j√° fornecidos pela ISO / IEC 27002, a norma ISO / IEC 29151 ‚ÄúTecnologia da Informa√ß√£o – T√©cnicas de Seguran√ßa – C√≥digo de Pr√°ticas para Prote√ß√£o de Informa√ß√Ķes Pessoais Identific√°veis‚ÄĚ ou ‚ÄúTecnologia da Informa√ß√£o – T√©cnicas de Seguran√ßa – C√≥digo de Pr√°ticas para a Prote√ß√£o de Informa√ß√Ķes Pessoais‚ÄĚ especifica mais instru√ß√Ķes para implementa√ß√£o em Prote√ß√£o de Dados pessoais.

Especificamente, as diretrizes baseadas na ISO / IEC 27002 levam em conta os requisitos para o processamento de dados pessoais que podem ser aplic√°veis ‚Äč‚Äčno contexto do ambiente de risco de informa√ß√Ķes de uma organiza√ß√£o.

A ISO / IEC 29151 define objetivos de controle e diretrizes para a implementa√ß√£o de controles para atender aos requisitos identificados por uma avalia√ß√£o de risco e avalia√ß√£o de impacto relacionada √† prote√ß√£o de ‚Äúinforma√ß√Ķes pessoais identific√°veis‚ÄĚ (PII). Aplica-se a todos os tipos e tamanhos de organiza√ß√Ķes que atuam com responsabilidades de controlador e / ou processador de dados pessoais (PII conforme definido na norma ISO / IEC 29100 que fornece uma estrutura para a prote√ß√£o de informa√ß√Ķes pessoais identific√°veis), incluindo empresas p√ļblicas e privadas. entidades e organiza√ß√Ķes sem fins lucrativos que lidam com dados pessoais.

Mas não termina aqui, também deverá ser utilizado a norma ISO / IEC 27552, que expande os controles do ISO / IEC 27001 para sistemas que sejam dedicados à proteção de dados pessoais. No entanto, deve salientar-se que determinados requisitos do RGPD não são diretamente abrangidos por esta norma (como o direito de ser informado, o direito de apagamento e o direito à portabilidade de dados).

Para uma abordagem definitiva √† conformidade ao RGPD, todas estas normas poder√£o ser usadas pelas organiza√ß√Ķes como uma extens√£o da sua Declara√ß√£o de Aplicabilidade e poder√° levar a certifica√ß√Ķes de sistemas de gest√£o para conformidade ao RGPD com base nas verifica√ß√Ķes fornecidas pela ISO / IEC 27001, ISO/IEC 27002, ISO/IEC 27552 e ISO / IEC 29151.

Na expectativa de indica√ß√Ķes das Autoridades de Controlo e dos Supervisores, j√° temos material para preparar a certifica√ß√£o do nosso Sistema de Gest√£o para Prote√ß√£o de Dados (SGPD).

Deve salientar-se que a ado√ß√£o da certifica√ß√£o – que n√£o √© obrigat√≥ria – n√£o reduz a responsabilidade do respons√°vel pelo tratamento ou do subcontratante (Controller ou Processor) pelo cumprimento do RGPD e n√£o prejudica as obriga√ß√Ķes e poderes das autoridades de supervis√£o. No entanto a implementa√ß√£o de um Sistema de Gest√£o para Prote√ß√£o de Dados (SGPD) que siga as diretrizes de normas e padr√Ķes, pode apoiar significativamente o controlador e / ou o processador no cumprimento do novo paradigma criado pelo RGPD, ou seja, a responsabilidade dos envolvidos na cadeia de tratamento de dados pessoais, ¬†com √™nfase especial na avalia√ß√£o de impacto na ¬†privacidade by design e by default, e ser√£o considerados como atos de dilig√™ncia pelas partes interessadas para a ado√ß√£o volunt√°ria de um sistema de an√°lise e verifica√ß√£o dos princ√≠pios, leis e regulamentos aplic√°veis √† Prote√ß√£o de Dados pessoais.

RGPD e COBIT: implementando conformidade ao RGPD e os princípios do COBIT5

Para as empresas já com uma estrutura de governança sólida, a batalha de conformidade já está meia ganha. Para aqueles sem uma estrutura formal, o RGPD pode-se tornar um grande impulsionador para adotar uma governança TI.

Os frameworks de governança, e numa linguagem comum, são estruturas de boas práticas projetadas para serem adaptáveis para um ambiente específico em que operam e geralmente suportam o teste do tempo, isto é, são aplicáveis independentemente do ambiente externo em mudança e das mudanças em tecnologias, podendo assim ajudar a responder a requisitos regulamentares e de conformidade, fornecendo métodos repetitivos.

Estes frameworks de governança estão focados em fornecer valor, garantindo a entrega de benefícios, otimizando riscos e recursos.

Embora existam in√ļmeras estruturas no mercado aplic√°veis na implementa√ß√£o de um processo de conformidade ao RGPD, destaca-se uma ferramenta apropriada e √ļtil: COBIT.

Esta estrutura simplesmente conhecida como COBIT tem as suas origens baseadas na confidencialidade, integridade, disponibilidade e garantia de informa√ß√£o que corresponde exatamente com o requisito referido no considerando 49 do RGPD: ‚Äú(‚Ķ) disponibilidade, a autenticidade, a integridade e a confidencialidade dos dados pessoais (‚Ķ)‚ÄĚ

A mais recente vers√£o COBIT 5 concentra-se nos princ√≠pios de governan√ßa e gest√£o TI e √© sem d√ļvida uma ferramenta fundamental na ado√ß√£o de boas pr√°ticas para a realiza√ß√£o de benef√≠cios, otimiza√ß√£o de riscos e otimiza√ß√£o de recursos, bem como, fornecer uma estrutura para governar e gerir o programa de implementa√ß√£o de conformidade ao RGPD.

Há que pensar RGPD como uma oportunidade. Embora manter a conformidade seja oneroso, é claramente a abordagem correta, porque a razão pela qual as empresas existem é para criar valor para as partes interessadas, e bem aplicado, o RGPD será um importante contributo para aumentar valor.