RGPD e COBIT: implementando conformidade ao RGPD e os princípios do COBIT5

Para as empresas já com uma estrutura de governança sólida, a batalha de conformidade já está meia ganha. Para aqueles sem uma estrutura formal, o RGPD pode-se tornar um grande impulsionador para adotar uma governança TI.

Os frameworks de governança, e numa linguagem comum, são estruturas de boas práticas projetadas para serem adaptáveis para um ambiente específico em que operam e geralmente suportam o teste do tempo, isto é, são aplicáveis independentemente do ambiente externo em mudança e das mudanças em tecnologias, podendo assim ajudar a responder a requisitos regulamentares e de conformidade, fornecendo métodos repetitivos.

Estes frameworks de governança estão focados em fornecer valor, garantindo a entrega de benefícios, otimizando riscos e recursos.

Embora existam inúmeras estruturas no mercado aplicáveis na implementação de um processo de conformidade ao RGPD, destaca-se uma ferramenta apropriada e útil: COBIT.

Esta estrutura simplesmente conhecida como COBIT tem as suas origens baseadas na confidencialidade, integridade, disponibilidade e garantia de informação que corresponde exatamente com o requisito referido no considerando 49 do RGPD: “(…) disponibilidade, a autenticidade, a integridade e a confidencialidade dos dados pessoais (…)”

A mais recente versão COBIT 5 concentra-se nos princípios de governança e gestão TI e é sem dúvida uma ferramenta fundamental na adoção de boas práticas para a realização de benefícios, otimização de riscos e otimização de recursos, bem como, fornecer uma estrutura para governar e gerir o programa de implementação de conformidade ao RGPD.

Há que pensar RGPD como uma oportunidade. Embora manter a conformidade seja oneroso, é claramente a abordagem correta, porque a razão pela qual as empresas existem é para criar valor para as partes interessadas, e bem aplicado, o RGPD será um importante contributo para aumentar valor.

RGPD, o DPO e o risco IT: reduzir o risco criando uma cultura de segurança e conformidade….

Embora seja uma dúvida que se tem colocado, nos termos do RGPD é claro que uma das competências do DPO está relacionada com gestão TI, infraestrutura de TI e auditorias de SI, e só um profissional experiente nestas matérias poderá estar em posição de desempenhar as funções de DPO, baseada obrigatoriamente numa ampla experiência nesta área de especialização.

 

Abordando o tema risco / TI, o considerando 77 e os artigos 39º-2 e 35º-2 exigem que o DPO forneça orientações sobre avaliações de risco, contramedidas e avaliações de impacto de proteção de dados. Assim, o DPO deve ter experiência significativa em avaliação de riscos de privacidade de dados, segurança da informação e mitigação, incluindo experiência prática significativa em avaliações de privacidade, certificações de privacidade e certificações de padrões de segurança de informação.

O artigo 32 do RGPD define os requisitos para a segurança do processamento. Em contraste com o quadro legal em vigor até 25 de maio de 2018, o sistema para determinar as condições técnicas e medidas organizacionais é agora explicitamente baseada numa avaliação dos riscos identificados. Uma avaliação e a adoção de medidas baseadas nos riscos não é novidade para as empresas, por exemplo, muitas já possuem um sistema de gestão de risco para mapear riscos de segurança da informação.

O n.º 1 do artigo 32.º do RGPD exige que o responsável pelo tratamento e o processador assegurem que são tomadas as salvaguardas para proteger os dados pessoais.

Em princípio, os processos relacionados ao risco são muito semelhantes. Um procedimento de risco de proteção de dados pode ser o seguinte:

  1. “Criar o contexto” ou “definir o âmbito”
  2. Identificar riscos
  3. Analisar riscos
  4. Avaliação de riscos
  5. Gestão de riscos
  6. Monitorização de riscos

Estes seis passos da gestão de risco podem ser implementados de forma muito diferente na prática, dependendo no âmbito e método utilizado. O RGPD não prescreve um método para análise de risco e serão métodos quantitativos, qualitativos ou mesmo formas mistas que devem ser usados para determinar as medidas para garantir um nível adequado de segurança da informação.

Esta é uma das etapas do processo Risk Assessment & Data Protection Impact Assessment relacionada com a segurança dos sistemas de informação e é um tema que em breve irei desenvolver com mais detalhe nas minhas ações de formação.

Neste artigo e no capítulo da segurança, destaco um dos focos do DPO, que deve estar voltado para o “elo mais fraco” na cadeia da proteção de dados: os colaboradores das organizações.

 

Um dos fatores com maior peso na proteção da infraestrutura e na segurança da informação passa por criar uma cultura de segurança na organização. E neste aspeto de alteração de comportamentos, o DPO tem igualmente um papel fundamental ao ser responsável pela formação dos colaboradores em boas práticas de modo que estes estejam cientes das responsabilidades na confidencialidade, integridade e segurança dos dados.

O estado da cibersegurança das organizações é tudo menos estático e as novas tecnologias alcançam todos os colaboradores. Por ausência ou desconhecimento de normativos internos ou por má aplicação dos mesmos, o erro humano representa uma percentagem muito significativa nos incidentes e nas violações de dados ocorridos nas organizações. A forma de endereçar este aspeto, é o DPO definir programas de sensibilização e formação para a generalidade dos colaboradores, de forma a adequar comportamentos, fomentar a consciência e aumentar o conhecimento de todos os colaboradores nas matérias relacionadas com proteção de dados pessoais.

Para terminar, um bom principio para todos: ligue-se a sítios com URL https://

O RGPD e as nossas escolas

No seguimento das sessões de formação de sensibilização e de consultoria na implementação do Sistema Gestão de Privacidade da Dados (SGPD), focando as obrigações e a forma de obter a conformidade ao Regulamento Geral de Proteção de Dados da UE (RGPD), que tenho ministrado em escolas, decidi neste artigo referir alguns dos novos desafios que se colocam aos estabelecimentos escolares.

O RGPD traz novos direitos para que os residentes europeus tenham controle sobre seus dados pessoais. O RGPD reúne o melhor destas leis individuais e cria uma única regulamentação pan-europeia que cria consistência para os indivíduos na proteção e controle de seus dados pessoais e pode ser facilmente implementada em toda a UE pelos fornecedores de serviços e bens. Além disso, é uma oportunidade para todas as organizações melhorarem a segurança da informação pela qual são responsáveis, seja informação empresarial, de negócio, dados pessoais ou de qualquer outra natureza administrativa/financeira e assim também aproveitar a oportunidade para tomar novas medidas para garantir a segurança de toda a informação. De referir que a digitalização de processos, da informação e dos negócios, a segurança passa a ter um nível de exigência sem precedentes.

Os nossos filhos são talvez a comunidade mais importante para a qual este novo regulamento ajuda a fornecer novas proteções. À medida que as crianças usam cada vez mais aplicativos online, e como nossas escolas estão usando novas tecnologias inovadoras online na sala de aula, essas novas proteções dos dados pessoais são bem-vindas.

O tratamento de dados pessoais dos nossos filhos tem que ser realizado de forma confiável. O fundamento dessa confiança é construído em torno dos princípios do RGPD.

Qualquer estabelecimento escolar que pretenda coletar e tratar dados dos alunos deve fornecer uma base jurídica para essa ação. Se o consentimento for usado como base legal para o processamento de dados, o consentimento deve ser fornecido por uma pessoa com responsabilidade parental se a criança tiver menos de 13 anos. De notar que o aviso de consentimento e privacidade deve ser escrito em linguagem simples que possa ser entendida por crianças e por quem tem a responsabilidade parental.

Para as escolas que usam serviços online na sala de aula, serviços de e-mail, redes sociais, colaboração de documentos e material didático online, será necessária uma atenção especial para garantir que os serviços utilizados sejam totalmente compatíveis com o RGPD.

Alguns passos importantes:

Sensibilizar

·        Certificar que os pessoais docentes e não docentes dentro da escola estão cientes das novas regras de proteção de dados pessoais ao abrigo do RGPD

·        Estar ciente das implicações ao nível da responsabilidade da gestão do estabelecimento escolar por não estar em conformidade com as obrigações do RGPD

·        Realizar ações de formação para que as pessoas entendam as mudanças dentro da escola

Nomear um Encarregado de Proteção de Dados (DPO), se necessário

O RGPD exige que as organizações nomeiem um Encarregado de Proteção de Dados (DPO) obrigatório somente em determinadas circunstâncias (artigo 37º).

Esta função pode ser desempenhada por um elemento interno da organização ou pode ser contratada a uma entidade externa.

Nas situações em que não seja mandatório nomear um DPO, na minha opinião, é sempre recomendável nomear um ponto de contato, alguém interno ou externo por subcontratação, que seja o responsável por informar e aconselhar a empresa sobre a conformidade da proteção de dados, aconselhar sobre a avaliação do impacto da proteção de dados, monitorizar a conformidade da proteção de dados, ministrar formação, realizar auditorias relacionadas com esta área e cooperar e atuar como ponto de contacto com os titulares dos dados e com as autoridades de controlo da proteção de dados.

Considere os dados que a escola possui e o que faz com esses dados

·        Realizar um mapeamento e inventariação dos dados pessoais que a escola atualmente possui, dos tratamentos e dos fluxos de dados pessoais para terceiros. É provável que isso implique uma auditoria completa de proteção de dados.

·        Rever a base jurídica para processar os dados pessoais que a escola possui. Por exemplo, a escola obteve o consentimento dos pais / funcionários ou o processamento necessário para que a escola cumpra suas obrigações legais?

Note que crianças menores de 16 anos não podem “consentir” o processamento de seus dados pessoais.

Rever procedimentos existentes

Rever como a escola procura, obtém e registra dados pessoais e o consentimento dos titulares dos dados.

Alguns pontos a considerar:

·        A escola possui sistemas adequados para corrigir ou apagar dados a pedido de um indivíduo?

·        Tem procedimento para responder a uma solicitação de acesso, oposição ou esquecimento?

·        Há políticas e procedimentos que permitam avaliar e gerir os riscos?

·        Existe procedimentos para tratamento de dados pessoais não automatizados?

·        Os sistemas garantem a confidencialidade, integridade e disponibilidade dos dados?

·        Consegue-se detetar qualquer violação de dados logo que ocorra e comunicá-la em 72 horas?

Por fim, não basta fazer, há que demonstrar:

·        Conseguimos recolher evidências e demonstrar que cumprimos com o RGPD?

O ponto de partida para esta missão é garantir que as escolas tenham as técnicas e as medidas organizacionais de que precisam para ser seguras e produtivas no nosso mundo digitalmente transformador e que cumpram as obrigações do novo regime do RGPD.

 

RGPD: Compreendendo o alcance – Passado, Presente e Futuro

“Who controls the past controls the future. Who controls the present controls the past.” George Orwell, 1984

Nos processos de implementação do Sistema de Gestão Privacidade de Dados(SGPD) para conformidade ao RGPD, tenho identificado que as empresas geralmente se concentram exclusivamente no conjunto de dados e nos tratamentos de dados pessoais que realizam atualmente. Nem sempre consideram as implicações de compartilhar ou receber dados pessoais de terceiros. E sistematicamente os dados do passado não são identificados como relevantes para o processo de conformidade RGPD. Só durante as discussões com a equipa do cliente descubro a existência de dados pessoais e tratamentos que não foram considerados. Ao lidar com dados pessoais, é preciso considerar os estados passados, presentes e futuros desses dados.