RGPD: como preparar a certificação do nosso sistema de Proteção de Dados?

O Artigo 42¬ļ do Regulamento sobre Prote√ß√£o de Dados (RGPD) preconiza que os Estados Membros, as Autoridades de Controlo, o Comit√© e a Comiss√£o encorajar√£o o estabelecimento de mecanismos de certifica√ß√£o de prote√ß√£o de dados, bem como selos e marcas de prote√ß√£o de dados, para efeitos de comprova√ß√£o da conformidade das opera√ß√Ķes de tratamento de Respons√°veis pelo tratamento e Subcontratantes com o RGPD e que dever√£o ser tidas em conta as necessidades espec√≠ficas das micro, pequenas e m√©dias empresas, com o objetivo de demonstrar o cumprimento do RGPD nas opera√ß√Ķes de processamento de dados pessoais por parte de controladores e processadores (Respons√°veis pelo Tratamento e Subcontratantes).

Tanto o Autoridade de Controlo nacional (CNPD) quanto Autoridade Europeia para a Proteção de Dados (AEPD) ainda não explicaram os detalhes sobre a aplicação deste artigo, nem existe qualquer indicação.

Ent√£o quais s√£o as a√ß√Ķes de padroniza√ß√£o para cumprir o artigo¬†42¬ļ do Regulamento da UE 679/2016 (RGPD)?

Ninguém sabe o que vai acontecer, mas o melhor é estar preparado para poder demonstrar o compromisso com o RGPD.

Um sistema de gest√£o de conformidade ao RGPD poder√° ser suportado pela implementa√ß√£o da norma ISO/IEC 27001 ‚Äď Sistema de Gest√£o de Seguran√ßa da Informa√ß√£o (SGSI), que n√£o sendo um requisito do RGPD tem, no entanto, sido referenciado por v√°rios especialistas como a melhor abordagem ao RGPD, pois oferece a garantia de continuidade e consolida√ß√£o de um Sistema de Gest√£o de Seguran√ßa da Informa√ß√£o (SGSI). Para apoiar a implanta√ß√£o do SGSI pode ser utilizado o padr√£o ISO/IEC 27002, que fornece um guia completo de controles a serem estabelecidos. Este processo pode ser utilizado em qualquer tipo de organiza√ß√£o, p√ļblica ou privada, de pequeno ou grande porte, com ou sem fins lucrativos e n√£o apenas em empresas de tecnologia.

Também de forma a operacionalizar um conjunto de princípios fundamentais para a gestão da privacidade, que o RGPD preconiza, as normas ISO/IEC DIS 27552 e ISO/IEC 29151 funcionam como uma extensão certificável com requisitos adicionais para o ISO/IEC 27001, devendo ser utilizadas no Sistema de Gestão para a Proteção de Dados (SGPD),  funcionando neste sistema de conformidade ao RGPD como uma lista de verificação de um conjunto de controles de privacidade e segurança para processamento de Dados pessoais.

Para alguns dos controles j√° fornecidos pela ISO / IEC 27002, a norma ISO / IEC 29151 ‚ÄúTecnologia da Informa√ß√£o – T√©cnicas de Seguran√ßa – C√≥digo de Pr√°ticas para Prote√ß√£o de Informa√ß√Ķes Pessoais Identific√°veis‚ÄĚ ou ‚ÄúTecnologia da Informa√ß√£o – T√©cnicas de Seguran√ßa – C√≥digo de Pr√°ticas para a Prote√ß√£o de Informa√ß√Ķes Pessoais‚ÄĚ especifica mais instru√ß√Ķes para implementa√ß√£o em Prote√ß√£o de Dados pessoais.

Especificamente, as diretrizes baseadas na ISO / IEC 27002 levam em conta os requisitos para o processamento de dados pessoais que podem ser aplic√°veis ‚Äč‚Äčno contexto do ambiente de risco de informa√ß√Ķes de uma organiza√ß√£o.

A ISO / IEC 29151 define objetivos de controle e diretrizes para a implementa√ß√£o de controles para atender aos requisitos identificados por uma avalia√ß√£o de risco e avalia√ß√£o de impacto relacionada √† prote√ß√£o de ‚Äúinforma√ß√Ķes pessoais identific√°veis‚ÄĚ (PII). Aplica-se a todos os tipos e tamanhos de organiza√ß√Ķes que atuam com responsabilidades de controlador e / ou processador de dados pessoais (PII conforme definido na norma ISO / IEC 29100 que fornece uma estrutura para a prote√ß√£o de informa√ß√Ķes pessoais identific√°veis), incluindo empresas p√ļblicas e privadas. entidades e organiza√ß√Ķes sem fins lucrativos que lidam com dados pessoais.

Mas não termina aqui, também deverá ser utilizado a norma ISO / IEC 27552, que expande os controles do ISO / IEC 27001 para sistemas que sejam dedicados à proteção de dados pessoais. No entanto, deve salientar-se que determinados requisitos do RGPD não são diretamente abrangidos por esta norma (como o direito de ser informado, o direito de apagamento e o direito à portabilidade de dados).

Para uma abordagem definitiva √† conformidade ao RGPD, todas estas normas poder√£o ser usadas pelas organiza√ß√Ķes como uma extens√£o da sua Declara√ß√£o de Aplicabilidade e poder√° levar a certifica√ß√Ķes de sistemas de gest√£o para conformidade ao RGPD com base nas verifica√ß√Ķes fornecidas pela ISO / IEC 27001, ISO/IEC 27002, ISO/IEC 27552 e ISO / IEC 29151.

Na expectativa de indica√ß√Ķes das Autoridades de Controlo e dos Supervisores, j√° temos material para preparar a certifica√ß√£o do nosso Sistema de Gest√£o para Prote√ß√£o de Dados (SGPD).

Deve salientar-se que a ado√ß√£o da certifica√ß√£o – que n√£o √© obrigat√≥ria – n√£o reduz a responsabilidade do respons√°vel pelo tratamento ou do subcontratante (Controller ou Processor) pelo cumprimento do RGPD e n√£o prejudica as obriga√ß√Ķes e poderes das autoridades de supervis√£o. No entanto a implementa√ß√£o de um Sistema de Gest√£o para Prote√ß√£o de Dados (SGPD) que siga as diretrizes de normas e padr√Ķes, pode apoiar significativamente o controlador e / ou o processador no cumprimento do novo paradigma criado pelo RGPD, ou seja, a responsabilidade dos envolvidos na cadeia de tratamento de dados pessoais, ¬†com √™nfase especial na avalia√ß√£o de impacto na ¬†privacidade by design e by default, e ser√£o considerados como atos de dilig√™ncia pelas partes interessadas para a ado√ß√£o volunt√°ria de um sistema de an√°lise e verifica√ß√£o dos princ√≠pios, leis e regulamentos aplic√°veis √† Prote√ß√£o de Dados pessoais.

RGPD, o DPO e o risco IT: reduzir o risco criando uma cultura de segurança e conformidade….

Embora seja uma d√ļvida que se tem colocado, nos termos do RGPD √© claro que uma das compet√™ncias do DPO est√° relacionada com gest√£o TI, infraestrutura de TI e auditorias de SI, e s√≥ um profissional experiente nestas mat√©rias poder√° estar em posi√ß√£o de desempenhar as fun√ß√Ķes de DPO, baseada obrigatoriamente numa ampla experi√™ncia nesta √°rea de especializa√ß√£o.

 

Abordando o tema risco / TI, o considerando 77 e os artigos 39¬ļ-2 e 35¬ļ-2 exigem que o DPO forne√ßa orienta√ß√Ķes sobre avalia√ß√Ķes de risco, contramedidas e avalia√ß√Ķes de impacto de prote√ß√£o de dados. Assim, o DPO deve ter experi√™ncia significativa em avalia√ß√£o de riscos de privacidade de dados, seguran√ßa da informa√ß√£o e mitiga√ß√£o, incluindo experi√™ncia pr√°tica significativa em avalia√ß√Ķes de privacidade, certifica√ß√Ķes de privacidade e certifica√ß√Ķes de padr√Ķes de seguran√ßa de informa√ß√£o.

O artigo 32 do RGPD define os requisitos para a seguran√ßa do processamento. Em contraste com o quadro legal em vigor at√© 25 de maio de 2018, o sistema para determinar as condi√ß√Ķes t√©cnicas e medidas organizacionais √© agora explicitamente baseada numa avalia√ß√£o dos riscos identificados. Uma avalia√ß√£o e a ado√ß√£o de medidas baseadas nos riscos n√£o √© novidade para as empresas, por exemplo, muitas j√° possuem um sistema de gest√£o de risco para mapear riscos de seguran√ßa da informa√ß√£o.

O n.¬ļ 1 do artigo 32.¬ļ do RGPD exige que o respons√°vel pelo tratamento e o processador assegurem que s√£o tomadas as salvaguardas para proteger os dados pessoais.

Em princípio, os processos relacionados ao risco são muito semelhantes. Um procedimento de risco de proteção de dados pode ser o seguinte:

  1. ‚ÄúCriar o contexto‚ÄĚ ou ‚Äúdefinir o √Ęmbito‚ÄĚ
  2. Identificar riscos
  3. Analisar riscos
  4. Avaliação de riscos
  5. Gest√£o de riscos
  6. Monitorização de riscos

Estes seis passos da gest√£o de risco podem ser implementados de forma muito diferente na pr√°tica, dependendo no √Ęmbito e m√©todo utilizado. O RGPD n√£o prescreve um m√©todo para an√°lise de risco e ser√£o m√©todos quantitativos, qualitativos ou mesmo formas mistas que devem ser usados para determinar as medidas para garantir um n√≠vel adequado de seguran√ßa da informa√ß√£o.

Esta √© uma das etapas do processo Risk Assessment & Data Protection Impact Assessment relacionada com a seguran√ßa dos sistemas de informa√ß√£o e √© um tema que em breve irei desenvolver com mais detalhe nas minhas a√ß√Ķes de forma√ß√£o.

Neste artigo e no cap√≠tulo da seguran√ßa, destaco um dos focos do DPO, que deve estar voltado para o ‚Äúelo mais fraco‚ÄĚ na cadeia da prote√ß√£o de dados: os colaboradores das organiza√ß√Ķes.

 

Um dos fatores com maior peso na proteção da infraestrutura e na segurança da informação passa por criar uma cultura de segurança na organização. E neste aspeto de alteração de comportamentos, o DPO tem igualmente um papel fundamental ao ser responsável pela formação dos colaboradores em boas práticas de modo que estes estejam cientes das responsabilidades na confidencialidade, integridade e segurança dos dados.

O estado da ciberseguran√ßa das organiza√ß√Ķes √© tudo menos est√°tico e as novas tecnologias alcan√ßam todos os colaboradores. Por aus√™ncia ou desconhecimento de normativos internos ou por m√° aplica√ß√£o dos mesmos, o erro humano representa uma percentagem muito significativa nos incidentes e nas viola√ß√Ķes de dados ocorridos nas organiza√ß√Ķes. A forma de endere√ßar este aspeto, √© o DPO definir programas de sensibiliza√ß√£o e forma√ß√£o para a generalidade dos colaboradores, de forma a adequar comportamentos, fomentar a consci√™ncia e aumentar o conhecimento de todos os colaboradores nas mat√©rias relacionadas com prote√ß√£o de dados pessoais.

Para terminar, um bom principio para todos: ligue-se a sítios com URL https://