A ISO/IEC 27552 é transformada em ISO/IEC 27701

ISO / IEC 27701: 2019, novo padrão para certificar a gestão da privacidade

Como temos referenciado em alguns artigos, a norma ISO / IEC 27552 seria lançada em agosto de 2019, um padrão para a implementação e certificação de um Sistema de Gestão de Privacidade, juntamente com a ISO / IEC 27001.

A ISO decidiu algumas mudanças em relação a esta norma, que desapareceu para se tornar ISO / IEC 27701 – Técnicas de segurança – Extensão para ISO / IEC 27001 e ISO / IEC 27002 para gestão de informações de privacidade – Requisitos e diretrizes.

Para todas as empresas já certificadas na ISO / IEC 27001, é uma grande oportunidade para estender o âmbito de seu sistema de gestão ao processamento de dados pessoais e demonstrar seu compromisso e diligência às partes interessadas e, por que não, pode implicar uma vantagem competitivo em comparação com outros que não podem provar isso.

Ajudamos a cumprir as 35 horas de formação profissional obrigatória

Somos uma entidade certificada pela DGERT (Direção Geral do Emprego e das Relações de Trabalho) para conceber e organizar ações de formação de qualificação inicial e contínua nos seguintes domínios:

  • (Cod.345) Ciências sociais, comércio e direito » Ciências empresariais » Gestão e Administração
  • (Cod.347) Ciências sociais, comércio e direito » Ciências empresariais » Enquadramento na Organização/ empresa
  • (Cod.482) Ciências matemática e informática » Informática » Informática na ótica do utilizador

 

A formação que ministramos aos colaboradores é válida em qualquer inspecção da ACT para as 35 horas obrigatórias indicada no Código do trabalho. É devidamente registada e emitidos os respectivos certificados de frequência de formação profissional.

A formação de colaboradores para conformidade ao RGPD ajuda a cumprir as 35 horas de formação profissional obrigatória

As ações de formação de qualificação no domínio das medidas técnicas e organizativas em “Segurança da Informação” e “Proteção de Dados” , tem-se revelado como um dos pilares na garantia da sustentabilidade e continuidade dos negócios.

A Controlgal Consulting como entidade certificada pela DGERT concebe e organiza ações de formação  nos domínios do RGDP, Proteção de Dados e Segurança da Informação, com o objetivo  de melhoria dos níveis de segurança atuais de uma forma eficiente e eficaz, através da definição de programas adequados para minimizar os riscos de segurança.

RGPD: como preparar a certificação do nosso sistema de Proteção de Dados?

O Artigo 42º do Regulamento sobre Proteção de Dados (RGPD) preconiza que os Estados Membros, as Autoridades de Controlo, o Comité e a Comissão encorajarão o estabelecimento de mecanismos de certificação de proteção de dados, bem como selos e marcas de proteção de dados, para efeitos de comprovação da conformidade das operações de tratamento de Responsáveis pelo tratamento e Subcontratantes com o RGPD e que deverão ser tidas em conta as necessidades específicas das micro, pequenas e médias empresas, com o objetivo de demonstrar o cumprimento do RGPD nas operações de processamento de dados pessoais por parte de controladores e processadores (Responsáveis pelo Tratamento e Subcontratantes).

Tanto o Autoridade de Controlo nacional (CNPD) quanto Autoridade Europeia para a Proteção de Dados (AEPD) ainda não explicaram os detalhes sobre a aplicação deste artigo, nem existe qualquer indicação.

Então quais são as ações de padronização para cumprir o artigo 42º do Regulamento da UE 679/2016 (RGPD)?

Ninguém sabe o que vai acontecer, mas o melhor é estar preparado para poder demonstrar o compromisso com o RGPD.

Um sistema de gestão de conformidade ao RGPD poderá ser suportado pela implementação da norma ISO/IEC 27001 – Sistema de Gestão de Segurança da Informação (SGSI), que não sendo um requisito do RGPD tem, no entanto, sido referenciado por vários especialistas como a melhor abordagem ao RGPD, pois oferece a garantia de continuidade e consolidação de um Sistema de Gestão de Segurança da Informação (SGSI). Para apoiar a implantação do SGSI pode ser utilizado o padrão ISO/IEC 27002, que fornece um guia completo de controles a serem estabelecidos. Este processo pode ser utilizado em qualquer tipo de organização, pública ou privada, de pequeno ou grande porte, com ou sem fins lucrativos e não apenas em empresas de tecnologia.

Também de forma a operacionalizar um conjunto de princípios fundamentais para a gestão da privacidade, que o RGPD preconiza, as normas ISO/IEC DIS 27552 e ISO/IEC 29151 funcionam como uma extensão certificável com requisitos adicionais para o ISO/IEC 27001, devendo ser utilizadas no Sistema de Gestão para a Proteção de Dados (SGPD),  funcionando neste sistema de conformidade ao RGPD como uma lista de verificação de um conjunto de controles de privacidade e segurança para processamento de Dados pessoais.

Para alguns dos controles já fornecidos pela ISO / IEC 27002, a norma ISO / IEC 29151 “Tecnologia da Informação – Técnicas de Segurança – Código de Práticas para Proteção de Informações Pessoais Identificáveis” ou “Tecnologia da Informação – Técnicas de Segurança – Código de Práticas para a Proteção de Informações Pessoais” especifica mais instruções para implementação em Proteção de Dados pessoais.

Especificamente, as diretrizes baseadas na ISO / IEC 27002 levam em conta os requisitos para o processamento de dados pessoais que podem ser aplicáveis ​​no contexto do ambiente de risco de informações de uma organização.

A ISO / IEC 29151 define objetivos de controle e diretrizes para a implementação de controles para atender aos requisitos identificados por uma avaliação de risco e avaliação de impacto relacionada à proteção de “informações pessoais identificáveis” (PII). Aplica-se a todos os tipos e tamanhos de organizações que atuam com responsabilidades de controlador e / ou processador de dados pessoais (PII conforme definido na norma ISO / IEC 29100 que fornece uma estrutura para a proteção de informações pessoais identificáveis), incluindo empresas públicas e privadas. entidades e organizações sem fins lucrativos que lidam com dados pessoais.

Mas não termina aqui, também deverá ser utilizado a norma ISO / IEC 27552, que expande os controles do ISO / IEC 27001 para sistemas que sejam dedicados à proteção de dados pessoais. No entanto, deve salientar-se que determinados requisitos do RGPD não são diretamente abrangidos por esta norma (como o direito de ser informado, o direito de apagamento e o direito à portabilidade de dados).

Para uma abordagem definitiva à conformidade ao RGPD, todas estas normas poderão ser usadas pelas organizações como uma extensão da sua Declaração de Aplicabilidade e poderá levar a certificações de sistemas de gestão para conformidade ao RGPD com base nas verificações fornecidas pela ISO / IEC 27001, ISO/IEC 27002, ISO/IEC 27552 e ISO / IEC 29151.

Na expectativa de indicações das Autoridades de Controlo e dos Supervisores, já temos material para preparar a certificação do nosso Sistema de Gestão para Proteção de Dados (SGPD).

Deve salientar-se que a adoção da certificação – que não é obrigatória – não reduz a responsabilidade do responsável pelo tratamento ou do subcontratante (Controller ou Processor) pelo cumprimento do RGPD e não prejudica as obrigações e poderes das autoridades de supervisão. No entanto a implementação de um Sistema de Gestão para Proteção de Dados (SGPD) que siga as diretrizes de normas e padrões, pode apoiar significativamente o controlador e / ou o processador no cumprimento do novo paradigma criado pelo RGPD, ou seja, a responsabilidade dos envolvidos na cadeia de tratamento de dados pessoais,  com ênfase especial na avaliação de impacto na  privacidade by design e by default, e serão considerados como atos de diligência pelas partes interessadas para a adoção voluntária de um sistema de análise e verificação dos princípios, leis e regulamentos aplicáveis à Proteção de Dados pessoais.

RGPD e COBIT: implementando conformidade ao RGPD e os princípios do COBIT5

Para as empresas já com uma estrutura de governança sólida, a batalha de conformidade já está meia ganha. Para aqueles sem uma estrutura formal, o RGPD pode-se tornar um grande impulsionador para adotar uma governança TI.

Os frameworks de governança, e numa linguagem comum, são estruturas de boas práticas projetadas para serem adaptáveis para um ambiente específico em que operam e geralmente suportam o teste do tempo, isto é, são aplicáveis independentemente do ambiente externo em mudança e das mudanças em tecnologias, podendo assim ajudar a responder a requisitos regulamentares e de conformidade, fornecendo métodos repetitivos.

Estes frameworks de governança estão focados em fornecer valor, garantindo a entrega de benefícios, otimizando riscos e recursos.

Embora existam inúmeras estruturas no mercado aplicáveis na implementação de um processo de conformidade ao RGPD, destaca-se uma ferramenta apropriada e útil: COBIT.

Esta estrutura simplesmente conhecida como COBIT tem as suas origens baseadas na confidencialidade, integridade, disponibilidade e garantia de informação que corresponde exatamente com o requisito referido no considerando 49 do RGPD: “(…) disponibilidade, a autenticidade, a integridade e a confidencialidade dos dados pessoais (…)”

A mais recente versão COBIT 5 concentra-se nos princípios de governança e gestão TI e é sem dúvida uma ferramenta fundamental na adoção de boas práticas para a realização de benefícios, otimização de riscos e otimização de recursos, bem como, fornecer uma estrutura para governar e gerir o programa de implementação de conformidade ao RGPD.

Há que pensar RGPD como uma oportunidade. Embora manter a conformidade seja oneroso, é claramente a abordagem correta, porque a razão pela qual as empresas existem é para criar valor para as partes interessadas, e bem aplicado, o RGPD será um importante contributo para aumentar valor.

RGPD, o DPO e o risco IT: reduzir o risco criando uma cultura de segurança e conformidade….

Embora seja uma dúvida que se tem colocado, nos termos do RGPD é claro que uma das competências do DPO está relacionada com gestão TI, infraestrutura de TI e auditorias de SI, e só um profissional experiente nestas matérias poderá estar em posição de desempenhar as funções de DPO, baseada obrigatoriamente numa ampla experiência nesta área de especialização.

 

Abordando o tema risco / TI, o considerando 77 e os artigos 39º-2 e 35º-2 exigem que o DPO forneça orientações sobre avaliações de risco, contramedidas e avaliações de impacto de proteção de dados. Assim, o DPO deve ter experiência significativa em avaliação de riscos de privacidade de dados, segurança da informação e mitigação, incluindo experiência prática significativa em avaliações de privacidade, certificações de privacidade e certificações de padrões de segurança de informação.

O artigo 32 do RGPD define os requisitos para a segurança do processamento. Em contraste com o quadro legal em vigor até 25 de maio de 2018, o sistema para determinar as condições técnicas e medidas organizacionais é agora explicitamente baseada numa avaliação dos riscos identificados. Uma avaliação e a adoção de medidas baseadas nos riscos não é novidade para as empresas, por exemplo, muitas já possuem um sistema de gestão de risco para mapear riscos de segurança da informação.

O n.º 1 do artigo 32.º do RGPD exige que o responsável pelo tratamento e o processador assegurem que são tomadas as salvaguardas para proteger os dados pessoais.

Em princípio, os processos relacionados ao risco são muito semelhantes. Um procedimento de risco de proteção de dados pode ser o seguinte:

  1. “Criar o contexto” ou “definir o âmbito”
  2. Identificar riscos
  3. Analisar riscos
  4. Avaliação de riscos
  5. Gestão de riscos
  6. Monitorização de riscos

Estes seis passos da gestão de risco podem ser implementados de forma muito diferente na prática, dependendo no âmbito e método utilizado. O RGPD não prescreve um método para análise de risco e serão métodos quantitativos, qualitativos ou mesmo formas mistas que devem ser usados para determinar as medidas para garantir um nível adequado de segurança da informação.

Esta é uma das etapas do processo Risk Assessment & Data Protection Impact Assessment relacionada com a segurança dos sistemas de informação e é um tema que em breve irei desenvolver com mais detalhe nas minhas ações de formação.

Neste artigo e no capítulo da segurança, destaco um dos focos do DPO, que deve estar voltado para o “elo mais fraco” na cadeia da proteção de dados: os colaboradores das organizações.

 

Um dos fatores com maior peso na proteção da infraestrutura e na segurança da informação passa por criar uma cultura de segurança na organização. E neste aspeto de alteração de comportamentos, o DPO tem igualmente um papel fundamental ao ser responsável pela formação dos colaboradores em boas práticas de modo que estes estejam cientes das responsabilidades na confidencialidade, integridade e segurança dos dados.

O estado da cibersegurança das organizações é tudo menos estático e as novas tecnologias alcançam todos os colaboradores. Por ausência ou desconhecimento de normativos internos ou por má aplicação dos mesmos, o erro humano representa uma percentagem muito significativa nos incidentes e nas violações de dados ocorridos nas organizações. A forma de endereçar este aspeto, é o DPO definir programas de sensibilização e formação para a generalidade dos colaboradores, de forma a adequar comportamentos, fomentar a consciência e aumentar o conhecimento de todos os colaboradores nas matérias relacionadas com proteção de dados pessoais.

Para terminar, um bom principio para todos: ligue-se a sítios com URL https://

RGPD e a Classificação de Incidentes de Segurança

Para classificação de incidentes de segurança (Classe de incidente/tipo de incidente) de acordo com a taxonomia de Rede Nacional de CSIRTs:

– Código Malicioso: Infeção, Distribuição, C&C, Other

– Disponibilidade : DoS/DDoS, Sabotagem

– Recolha de Informação : Scan, Sniffing, Phishing

– Tentativa de Instrusão: Exploração de Vulnerabilidade, Tentativa de login

– Intrusão: Exploração de Vulnerabilidade, Compromisso de Conta

– Segurança da Informação: Acesso não autorizado, Modificação/Remoção não autorizada

– Fraude: Utilização indevida ou não autorizada de recursos, Utilização ilegítima de nome de terceiros

– Conteúdo Abusivo: SPAM, Direitos de autor, Pornografia infantil, racismo e apologia da violência

 

A sua organização já implementou o sistema Data Breach para reportar incidentes e violação de dados a partir de 25/05/2018?

controlgal_RGPD_data_protection

RGPD: Guia para a segurança dos dados pessoais

Precauções e ações básicas para implementar e garantir um nível mínimo de segurança dos dados pessoais da sua organização

A proteção dos dados pessoais exige a adoção de medidas técnicas e organizativas adequadas para assegurar um nível de segurança adaptado ao risco.

Essa abordagem permite uma tomada de decisão objetiva e a determinação de medidas estritamente necessárias e adaptadas ao contexto. No entanto, às vezes é difícil, quando não se está familiarizado com esses métodos, implementar essa abordagem e garantir que o mínimo tenha sido implementado.

Para ajudar os profissionais na conformidade com o Regulamento Geral de Proteção de Dados (RGPD), reunimos neste documento algumas das precauções básicas que devem ser implementadas sistematicamente.

Este guia poderá ser usado como parte da gestão de risco, mesmo mínimo, consistindo em quatro etapas.

Mapear os dados pessoais ​​e o media em que se baseiam:

  • hardware (exemplo: servidores, computadores portáteis, discos rígidos);
  • software (exemplo: sistema operativos, software de gestão ERP, CRM);
  • canais de comunicação (exemplo: Internet);
  • suporte em papel (exemplo: documento impresso, fotocópia).

Avaliar os riscos gerados por cada tratamento:

  1. Identificar os impactos potenciais sobre os direitos e liberdades dos titulares afetados, para os seguintes três eventos:
    • acesso ilegítimo aos dados (exemplo: roubo de identidade resultante da divulgação das folhas de pagamento de salários dos funcionários de uma empresa);
    • modificação indesejada de dados (exemplo: acusação indevida de uma pessoa após a modificação de logs de acesso);
    • desaparecimento de dados (exemplo: a não deteção de um diagnóstico devido à impossibilidade de aceder ao registo de um doente).
  1. Identificar as fontes de risco (quem ou o que poderia estar na origem de cada evento?) – Levando em consideração fontes humanas internas e externas (exemplo: técnico de TI, utilizador, acesso externo indevido) e origens externas (exemplo: água, materiais perigosos, vírus informáticos).
  1. Identificar ameaças viáveis (o que poderia permitir que cada evento de ameaça ocorra?). Essas ameaças são realizadas através dos suportes de dados automatizados e não automatizados (exemplo: hardware, software, canais de comunicação, suporte de papel, etc.), que podem ser:
    1. mal utilizado (exemplo: abuso de direitos, erro de manipulação);
    2. modificado (exemplo: instalação de software malicioso);
    3. perdido (exemplo: roubo de um computador portátil, perda de uma pen USB);
    4. observado (exemplo: screenshot);
    5. deteriorado (exemplo: degradação de um suporte lógico devido ao desgaste);
    6. sobrecarregado (exemplo: disco rígido cheio).
  1. Determinar medidas existentes ou planeadas que abordem cada risco (exemplo: controle de acesso, backups, rastreabilidade, segurança das instalações, criptografia, anonimização).
  1. Estimar a gravidade e a probabilidade dos riscos, com base nos elementos precedentes (exemplo: criar uma graduação para usar na estimativa).
  1. Implementar e verificar as medidas planeadas. Se as medidas existentes e previstas forem consideradas apropriadas, deve ser assegurado que elas sejam aplicadas e monitoradas.
  1. Realizar auditorias de segurança periódicas.Cada auditoria deve resultar num plano de ação que deve ser implementado.

Carlos Silva

Certified Data Protection Officer

Membro da  APDPO – PORTUGAL – Associação dos Profissionais de Proteção e de Segurança de Dados

RGPD - Accountability

RGPD – Prova e Evidência de Cumprimento (Accountability)

RGPD / GDPR – Prova e Evidência de Cumprimento (Accountability)

O regulamento exige que os responsáveis pelo tratamento apliquem medidas adequadas para assegurar e comprovar

Um cliente perguntou-me: “Accountability é para fazer o quê?” – Pois, é…muito trabalhinho! O Regulamento Geral de Proteção de Dados (RGPD) exige que seja implementado um programa de conformidade capaz de monitorizar a conformidade em toda a organização e demonstrar às autoridades de proteção de dados e aos titulares dos dados que todos os dados pessoais estão em segurança. Identifiquei 39 artigos sob o RGPD que exigem a evidência de uma medida técnica ou organizacional para demonstrar a conformidade. Daqui podem ser mapeadas

55 atividades que, se implementadas, podem produzir documentação que ajudará a demonstrar o cumprimento contínuo com obrigações de conformidade. Até 25/05/2018 não vai ser fácil para as organizações!

Carlos Silva

A avaliação de impacto de risco pode comprovar a conformidade com o RGPD?

A avaliação de impacto de risco pode comprovar a conformidade com o RGPD?

O regulamento exige que os responsáveis pelo tratamento apliquem medidas adequadas para assegurar e comprovar a conformidade com o RGPD tendo em conta, entre outros, «os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis» (artigo 24.º, n.º 1).

A avaliação de impacto de risco (AIPD) ou Privacy Impact Assessment (PIA) deve ser realizada para os tratamentos que apresentem riscos de violação de privacidade face à sua natureza ou âmbito das atividades desenvolvidas, permitindo que as entidades encontrem problemas nas fases iniciais de qualquer projeto, reduzindo os custos associados e danos à reputação que podem acompanhar uma violação das leis e regulamentos de proteção de dados pessoais.

Aqui destaco a importância da obrigação recair sobre os responsáveis pelo tratamento, de realizarem uma AIPD, não sendo a mesma da responsabilidade do Encarregado da Proteção de Dados (EPD/DPO).

Uma única AIPD pode ser utilizada para avaliar múltiplas operações de tratamento que sejam semelhantes em termos de natureza, âmbito, contexto, finalidade e riscos e uma AIPD também pode ser útil para avaliar o impacto na proteção de dados de um produto tecnológico, como por exemplo um programa informático gestão de RH, tanto na fase de desenvolvimento como na fase de implementação.

Uma vez que a realização da AIPD implica a avaliação do impacto das operações de tratamento, tem também a vantagem de promover implicitamente o cumprimento do Código de Conduta estipulado no art.º 40 do RGPD.

RGPD / GDPR – Passagem de um regime de Hetero regulação para um regime de Autorregulação

RGPD / GDPR – Passagem de um regime de Hetero regulação para um regime de Autorregulação

No âmbito da aplicação do novo Regulamento Geral de Proteção de Dados (RGPD) a partir de 25.05.2018 e no novo modo de relacionamento das empresas com a autoridade nacional de supervisão competente – CNPD Comissão Nacional Proteção de Dados, podemos falar naquilo que chamamos uma mudança de paradigma. Iremos passar de um modelo de hetero regulação para um modelo de autorregulação.

Esta mudança coloca a todas as entidades, sejam elas organismos públicos ou empresas do setor privado, um novo de desafio na responsabilidade e na conformidade da proteção e na privacidade dos dados pessoais das pessoas singulares.

Pela Lei de Proteção de Dados 67/98, em vigor até à aplicação do novo Regulamento, temos o modelo da heteroregulação, o que quer dizer que se uma empresa decidir fazer a recolha e o tratamento de dados pessoais tem como obrigação notificar a CNPD antes dessa recolha e respetivo tratamento, utilizando para isso os respetivos formulários disponíveis no site da autoridade.

Estamos a falar de situações como o caso da instalação de sistemas de videovigilância, ou controle dados biométricos nos sistemas de controlo de acessos e nos sistemas de controlo de assiduidade, assim como num conjunto de outras situações, como por exemplo a geolocalização, no controlo do uso da internet pelos colaboradores. Esta notificação também abrange qualquer alteração que ocorrer nesse tratamento.

Com o novo Regulamento é eliminada essa obrigatoriedade de notificação. Por um lado podemos dizer que há um eliminar de uma fase burocrática e administrativa, por outro lado, representa uma maior responsabilidade das organizações que realizam tratamentos de dados pessoais.

Ao fazer esta notificação à CNPD, a empresa estava a conseguir uma decisão de conformidade ao dar as garantias dessa recolha e tratamento de dados por uma entidade externa, que ela mesma instalava e fiscalizava o sistema de coleta e tratamento dos dados. E se essa entidade fornecedora do sistema dizia que estava conforme, então as organizações estavam em conformidade e tranquilas a partir do momento que notificavam a CNPD.

Pelo novo Regulamento, são as organizações que terão assegurar, e demonstrar, que estão em conformidade com o RGPD. Portanto, há aqui um novo conjunto de obrigações que terão que ser asseguradas pelos responsáveis pelo tratamento e pelos subcontratantes.

O Regulamento exige que os responsáveis pelo tratamento apliquem medidas adequadas para assegurar e comprovar a conformidade com o RGPD tendo em conta, entre outros, «os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis» (artigo 24.º, n.º 1).

Neste sentido, o documento Privacy Impact Assessment (PIA) apresenta-se como o elemento principal para a conformidade com esta nova responsabilidade. Nesta avaliação a organizações deverão descrever com detalhe, por exemplo, todas as operações de tratamento de dados pessoais. E este estudo tem que estar disponível, porque num âmbito de uma inspeção, a CNPD vai solicitar esse repositório. Nesta situação, a inexistência deste documento apresenta-se como uma agravante para a aplicação de sanções.

Estamos assim a falar de um novo modelo de autorregulação e numa inversão do ónus da prova. Ou seja, antes teria que ser uma pessoa a comprovar que determinada entidade não cumpria a legislação da proteção de dados pessoais, com o novo modelo do Regulamento, terá que ser a organização a demonstrar e provar que cumpre o Regulamento e que nada fez de errado e que o tratamento está em conformidade. Daí se falar numa responsabilidade demonstrada.

Saiba como poderá ajudar a sua organização a dar o salto para a conformidade. Para uma avaliação primária da situação atual face ao RGPD, análise processual e tecnológica da empresa ou para assistir às próximas sessões de formação e sensibilização RGPD.