RGPD: como preparar a certificação do nosso sistema de Proteção de Dados?

O Artigo 42¬ļ do Regulamento sobre Prote√ß√£o de Dados (RGPD) preconiza que os Estados Membros, as Autoridades de Controlo, o Comit√© e a Comiss√£o encorajar√£o o estabelecimento de mecanismos de certifica√ß√£o de prote√ß√£o de dados, bem como selos e marcas de prote√ß√£o de dados, para efeitos de comprova√ß√£o da conformidade das opera√ß√Ķes de tratamento de Respons√°veis pelo tratamento e Subcontratantes com o RGPD e que dever√£o ser tidas em conta as necessidades espec√≠ficas das micro, pequenas e m√©dias empresas, com o objetivo de demonstrar o cumprimento do RGPD nas opera√ß√Ķes de processamento de dados pessoais por parte de controladores e processadores (Respons√°veis pelo Tratamento e Subcontratantes).

Tanto o Autoridade de Controlo nacional (CNPD) quanto Autoridade Europeia para a Proteção de Dados (AEPD) ainda não explicaram os detalhes sobre a aplicação deste artigo, nem existe qualquer indicação.

Ent√£o quais s√£o as a√ß√Ķes de padroniza√ß√£o para cumprir o artigo¬†42¬ļ do Regulamento da UE 679/2016 (RGPD)?

Ninguém sabe o que vai acontecer, mas o melhor é estar preparado para poder demonstrar o compromisso com o RGPD.

Um sistema de gest√£o de conformidade ao RGPD poder√° ser suportado pela implementa√ß√£o da norma ISO/IEC 27001 ‚Äď Sistema de Gest√£o de Seguran√ßa da Informa√ß√£o (SGSI), que n√£o sendo um requisito do RGPD tem, no entanto, sido referenciado por v√°rios especialistas como a melhor abordagem ao RGPD, pois oferece a garantia de continuidade e consolida√ß√£o de um Sistema de Gest√£o de Seguran√ßa da Informa√ß√£o (SGSI). Para apoiar a implanta√ß√£o do SGSI pode ser utilizado o padr√£o ISO/IEC 27002, que fornece um guia completo de controles a serem estabelecidos. Este processo pode ser utilizado em qualquer tipo de organiza√ß√£o, p√ļblica ou privada, de pequeno ou grande porte, com ou sem fins lucrativos e n√£o apenas em empresas de tecnologia.

Também de forma a operacionalizar um conjunto de princípios fundamentais para a gestão da privacidade, que o RGPD preconiza, as normas ISO/IEC DIS 27552 e ISO/IEC 29151 funcionam como uma extensão certificável com requisitos adicionais para o ISO/IEC 27001, devendo ser utilizadas no Sistema de Gestão para a Proteção de Dados (SGPD),  funcionando neste sistema de conformidade ao RGPD como uma lista de verificação de um conjunto de controles de privacidade e segurança para processamento de Dados pessoais.

Para alguns dos controles j√° fornecidos pela ISO / IEC 27002, a norma ISO / IEC 29151 ‚ÄúTecnologia da Informa√ß√£o – T√©cnicas de Seguran√ßa – C√≥digo de Pr√°ticas para Prote√ß√£o de Informa√ß√Ķes Pessoais Identific√°veis‚ÄĚ ou ‚ÄúTecnologia da Informa√ß√£o – T√©cnicas de Seguran√ßa – C√≥digo de Pr√°ticas para a Prote√ß√£o de Informa√ß√Ķes Pessoais‚ÄĚ especifica mais instru√ß√Ķes para implementa√ß√£o em Prote√ß√£o de Dados pessoais.

Especificamente, as diretrizes baseadas na ISO / IEC 27002 levam em conta os requisitos para o processamento de dados pessoais que podem ser aplic√°veis ‚Äč‚Äčno contexto do ambiente de risco de informa√ß√Ķes de uma organiza√ß√£o.

A ISO / IEC 29151 define objetivos de controle e diretrizes para a implementa√ß√£o de controles para atender aos requisitos identificados por uma avalia√ß√£o de risco e avalia√ß√£o de impacto relacionada √† prote√ß√£o de ‚Äúinforma√ß√Ķes pessoais identific√°veis‚ÄĚ (PII). Aplica-se a todos os tipos e tamanhos de organiza√ß√Ķes que atuam com responsabilidades de controlador e / ou processador de dados pessoais (PII conforme definido na norma ISO / IEC 29100 que fornece uma estrutura para a prote√ß√£o de informa√ß√Ķes pessoais identific√°veis), incluindo empresas p√ļblicas e privadas. entidades e organiza√ß√Ķes sem fins lucrativos que lidam com dados pessoais.

Mas não termina aqui, também deverá ser utilizado a norma ISO / IEC 27552, que expande os controles do ISO / IEC 27001 para sistemas que sejam dedicados à proteção de dados pessoais. No entanto, deve salientar-se que determinados requisitos do RGPD não são diretamente abrangidos por esta norma (como o direito de ser informado, o direito de apagamento e o direito à portabilidade de dados).

Para uma abordagem definitiva √† conformidade ao RGPD, todas estas normas poder√£o ser usadas pelas organiza√ß√Ķes como uma extens√£o da sua Declara√ß√£o de Aplicabilidade e poder√° levar a certifica√ß√Ķes de sistemas de gest√£o para conformidade ao RGPD com base nas verifica√ß√Ķes fornecidas pela ISO / IEC 27001, ISO/IEC 27002, ISO/IEC 27552 e ISO / IEC 29151.

Na expectativa de indica√ß√Ķes das Autoridades de Controlo e dos Supervisores, j√° temos material para preparar a certifica√ß√£o do nosso Sistema de Gest√£o para Prote√ß√£o de Dados (SGPD).

Deve salientar-se que a ado√ß√£o da certifica√ß√£o – que n√£o √© obrigat√≥ria – n√£o reduz a responsabilidade do respons√°vel pelo tratamento ou do subcontratante (Controller ou Processor) pelo cumprimento do RGPD e n√£o prejudica as obriga√ß√Ķes e poderes das autoridades de supervis√£o. No entanto a implementa√ß√£o de um Sistema de Gest√£o para Prote√ß√£o de Dados (SGPD) que siga as diretrizes de normas e padr√Ķes, pode apoiar significativamente o controlador e / ou o processador no cumprimento do novo paradigma criado pelo RGPD, ou seja, a responsabilidade dos envolvidos na cadeia de tratamento de dados pessoais, ¬†com √™nfase especial na avalia√ß√£o de impacto na ¬†privacidade by design e by default, e ser√£o considerados como atos de dilig√™ncia pelas partes interessadas para a ado√ß√£o volunt√°ria de um sistema de an√°lise e verifica√ß√£o dos princ√≠pios, leis e regulamentos aplic√°veis √† Prote√ß√£o de Dados pessoais.

RGPD, o DPO e o risco IT: reduzir o risco criando uma cultura de segurança e conformidade….

Embora seja uma d√ļvida que se tem colocado, nos termos do RGPD √© claro que uma das compet√™ncias do DPO est√° relacionada com gest√£o TI, infraestrutura de TI e auditorias de SI, e s√≥ um profissional experiente nestas mat√©rias poder√° estar em posi√ß√£o de desempenhar as fun√ß√Ķes de DPO, baseada obrigatoriamente numa ampla experi√™ncia nesta √°rea de especializa√ß√£o.

 

Abordando o tema risco / TI, o considerando 77 e os artigos 39¬ļ-2 e 35¬ļ-2 exigem que o DPO forne√ßa orienta√ß√Ķes sobre avalia√ß√Ķes de risco, contramedidas e avalia√ß√Ķes de impacto de prote√ß√£o de dados. Assim, o DPO deve ter experi√™ncia significativa em avalia√ß√£o de riscos de privacidade de dados, seguran√ßa da informa√ß√£o e mitiga√ß√£o, incluindo experi√™ncia pr√°tica significativa em avalia√ß√Ķes de privacidade, certifica√ß√Ķes de privacidade e certifica√ß√Ķes de padr√Ķes de seguran√ßa de informa√ß√£o.

O artigo 32 do RGPD define os requisitos para a seguran√ßa do processamento. Em contraste com o quadro legal em vigor at√© 25 de maio de 2018, o sistema para determinar as condi√ß√Ķes t√©cnicas e medidas organizacionais √© agora explicitamente baseada numa avalia√ß√£o dos riscos identificados. Uma avalia√ß√£o e a ado√ß√£o de medidas baseadas nos riscos n√£o √© novidade para as empresas, por exemplo, muitas j√° possuem um sistema de gest√£o de risco para mapear riscos de seguran√ßa da informa√ß√£o.

O n.¬ļ 1 do artigo 32.¬ļ do RGPD exige que o respons√°vel pelo tratamento e o processador assegurem que s√£o tomadas as salvaguardas para proteger os dados pessoais.

Em princípio, os processos relacionados ao risco são muito semelhantes. Um procedimento de risco de proteção de dados pode ser o seguinte:

  1. ‚ÄúCriar o contexto‚ÄĚ ou ‚Äúdefinir o √Ęmbito‚ÄĚ
  2. Identificar riscos
  3. Analisar riscos
  4. Avaliação de riscos
  5. Gest√£o de riscos
  6. Monitorização de riscos

Estes seis passos da gest√£o de risco podem ser implementados de forma muito diferente na pr√°tica, dependendo no √Ęmbito e m√©todo utilizado. O RGPD n√£o prescreve um m√©todo para an√°lise de risco e ser√£o m√©todos quantitativos, qualitativos ou mesmo formas mistas que devem ser usados para determinar as medidas para garantir um n√≠vel adequado de seguran√ßa da informa√ß√£o.

Esta √© uma das etapas do processo Risk Assessment & Data Protection Impact Assessment relacionada com a seguran√ßa dos sistemas de informa√ß√£o e √© um tema que em breve irei desenvolver com mais detalhe nas minhas a√ß√Ķes de forma√ß√£o.

Neste artigo e no cap√≠tulo da seguran√ßa, destaco um dos focos do DPO, que deve estar voltado para o ‚Äúelo mais fraco‚ÄĚ na cadeia da prote√ß√£o de dados: os colaboradores das organiza√ß√Ķes.

 

Um dos fatores com maior peso na proteção da infraestrutura e na segurança da informação passa por criar uma cultura de segurança na organização. E neste aspeto de alteração de comportamentos, o DPO tem igualmente um papel fundamental ao ser responsável pela formação dos colaboradores em boas práticas de modo que estes estejam cientes das responsabilidades na confidencialidade, integridade e segurança dos dados.

O estado da ciberseguran√ßa das organiza√ß√Ķes √© tudo menos est√°tico e as novas tecnologias alcan√ßam todos os colaboradores. Por aus√™ncia ou desconhecimento de normativos internos ou por m√° aplica√ß√£o dos mesmos, o erro humano representa uma percentagem muito significativa nos incidentes e nas viola√ß√Ķes de dados ocorridos nas organiza√ß√Ķes. A forma de endere√ßar este aspeto, √© o DPO definir programas de sensibiliza√ß√£o e forma√ß√£o para a generalidade dos colaboradores, de forma a adequar comportamentos, fomentar a consci√™ncia e aumentar o conhecimento de todos os colaboradores nas mat√©rias relacionadas com prote√ß√£o de dados pessoais.

Para terminar, um bom principio para todos: ligue-se a sítios com URL https://

RGPD e COBIT: implementando conformidade ao RGPD e os princípios do COBIT5

Para as empresas já com uma estrutura de governança sólida, a batalha de conformidade já está meia ganha. Para aqueles sem uma estrutura formal, o RGPD pode-se tornar um grande impulsionador para adotar uma governança TI.

Os frameworks de governança, e numa linguagem comum, são estruturas de boas práticas projetadas para serem adaptáveis para um ambiente específico em que operam e geralmente suportam o teste do tempo, isto é, são aplicáveis independentemente do ambiente externo em mudança e das mudanças em tecnologias, podendo assim ajudar a responder a requisitos regulamentares e de conformidade, fornecendo métodos repetitivos.

Estes frameworks de governança estão focados em fornecer valor, garantindo a entrega de benefícios, otimizando riscos e recursos.

Embora existam in√ļmeras estruturas no mercado aplic√°veis na implementa√ß√£o de um processo de conformidade ao RGPD, destaca-se uma ferramenta apropriada e √ļtil: COBIT.

Esta estrutura simplesmente conhecida como COBIT tem as suas origens baseadas na confidencialidade, integridade, disponibilidade e garantia de informa√ß√£o que corresponde exatamente com o requisito referido no considerando 49 do RGPD: ‚Äú(‚Ķ) disponibilidade, a autenticidade, a integridade e a confidencialidade dos dados pessoais (‚Ķ)‚ÄĚ

A mais recente vers√£o COBIT 5 concentra-se nos princ√≠pios de governan√ßa e gest√£o TI e √© sem d√ļvida uma ferramenta fundamental na ado√ß√£o de boas pr√°ticas para a realiza√ß√£o de benef√≠cios, otimiza√ß√£o de riscos e otimiza√ß√£o de recursos, bem como, fornecer uma estrutura para governar e gerir o programa de implementa√ß√£o de conformidade ao RGPD.

Há que pensar RGPD como uma oportunidade. Embora manter a conformidade seja oneroso, é claramente a abordagem correta, porque a razão pela qual as empresas existem é para criar valor para as partes interessadas, e bem aplicado, o RGPD será um importante contributo para aumentar valor.

RGPD: Compreendendo o alcance – Passado, Presente e Futuro

‚ÄúWho controls the past controls the future. Who controls the present controls the past.‚ÄĚ George Orwell, 1984

Nos processos de implementa√ß√£o do Sistema de Gest√£o Privacidade de Dados(SGPD) para conformidade ao RGPD, tenho identificado que as empresas geralmente se concentram exclusivamente no conjunto de dados e nos tratamentos de dados pessoais que realizam atualmente. Nem sempre consideram as implica√ß√Ķes de compartilhar ou receber dados pessoais de terceiros. E sistematicamente os dados do passado n√£o s√£o identificados como relevantes para o processo de conformidade RGPD. S√≥ durante as discuss√Ķes com a equipa do cliente descubro a exist√™ncia de dados pessoais e tratamentos que n√£o foram considerados. Ao lidar com dados pessoais, √© preciso considerar os estados passados, presentes e futuros desses dados.

 

O RGPD e as nossas escolas

No seguimento das sess√Ķes de forma√ß√£o de sensibiliza√ß√£o e de consultoria na implementa√ß√£o do Sistema Gest√£o de Privacidade da Dados (SGPD), focando as obriga√ß√Ķes e a forma de obter a conformidade ao Regulamento Geral de Prote√ß√£o de Dados da UE (RGPD), que tenho ministrado em escolas, decidi neste artigo referir alguns dos novos desafios que se colocam aos estabelecimentos escolares.

O RGPD traz novos direitos para que os residentes europeus tenham controle sobre seus dados pessoais. O RGPD re√ļne o melhor destas leis individuais e cria uma √ļnica regulamenta√ß√£o pan-europeia que cria consist√™ncia para os indiv√≠duos na prote√ß√£o e controle de seus dados pessoais e pode ser facilmente implementada em toda a UE pelos fornecedores de servi√ßos e bens. Al√©m disso, √© uma oportunidade para todas as organiza√ß√Ķes melhorarem a seguran√ßa da informa√ß√£o pela qual s√£o respons√°veis, seja informa√ß√£o empresarial, de neg√≥cio, dados pessoais ou de qualquer outra natureza administrativa/financeira e assim tamb√©m aproveitar a oportunidade para tomar novas medidas para garantir a seguran√ßa de toda a informa√ß√£o. De referir que a digitaliza√ß√£o de processos, da informa√ß√£o e dos neg√≥cios, a seguran√ßa passa a ter um n√≠vel de exig√™ncia sem precedentes.

Os nossos filhos s√£o talvez a comunidade mais importante para a qual este novo regulamento ajuda a fornecer novas prote√ß√Ķes. √Ä medida que as crian√ßas usam cada vez mais aplicativos online, e como nossas escolas est√£o usando novas tecnologias inovadoras online na sala de aula, essas novas prote√ß√Ķes dos dados pessoais s√£o bem-vindas.

O tratamento de dados pessoais dos nossos filhos tem que ser realizado de forma confiável. O fundamento dessa confiança é construído em torno dos princípios do RGPD.

Qualquer estabelecimento escolar que pretenda coletar e tratar dados dos alunos deve fornecer uma base jurídica para essa ação. Se o consentimento for usado como base legal para o processamento de dados, o consentimento deve ser fornecido por uma pessoa com responsabilidade parental se a criança tiver menos de 13 anos. De notar que o aviso de consentimento e privacidade deve ser escrito em linguagem simples que possa ser entendida por crianças e por quem tem a responsabilidade parental.

Para as escolas que usam serviços online na sala de aula, serviços de e-mail, redes sociais, colaboração de documentos e material didático online, será necessária uma atenção especial para garantir que os serviços utilizados sejam totalmente compatíveis com o RGPD.

Alguns passos importantes:

Sensibilizar

¬∑        Certificar que os pessoais docentes e n√£o docentes dentro da escola est√£o cientes das novas regras de prote√ß√£o de dados pessoais ao abrigo do RGPD

¬∑        Estar ciente das implica√ß√Ķes ao n√≠vel da responsabilidade da gest√£o do estabelecimento escolar por n√£o estar em conformidade com as obriga√ß√Ķes do RGPD

¬∑        Realizar a√ß√Ķes de forma√ß√£o para que as pessoas entendam as mudan√ßas dentro da escola

Nomear um Encarregado de Proteção de Dados (DPO), se necessário

O RGPD exige que as organiza√ß√Ķes nomeiem um Encarregado de Prote√ß√£o de Dados (DPO) obrigat√≥rio somente em determinadas circunst√Ęncias (artigo 37¬ļ).

Esta função pode ser desempenhada por um elemento interno da organização ou pode ser contratada a uma entidade externa.

Nas situa√ß√Ķes em que n√£o seja mandat√≥rio nomear um DPO, na minha opini√£o, √© sempre recomend√°vel nomear um ponto de contato, algu√©m interno ou externo por subcontrata√ß√£o, que seja o respons√°vel por informar e aconselhar a empresa sobre a conformidade da prote√ß√£o de dados, aconselhar sobre a avalia√ß√£o do impacto da prote√ß√£o de dados, monitorizar a conformidade da prote√ß√£o de dados, ministrar forma√ß√£o, realizar auditorias relacionadas com esta √°rea e cooperar e atuar como ponto de contacto com os titulares dos dados e com as autoridades de controlo da prote√ß√£o de dados.

Considere os dados que a escola possui e o que faz com esses dados

¬∑        Realizar um mapeamento e inventaria√ß√£o dos dados pessoais que a escola atualmente possui, dos tratamentos e dos fluxos de dados pessoais para terceiros. √Č prov√°vel que isso implique uma auditoria completa de prote√ß√£o de dados.

¬∑        Rever a base jur√≠dica para processar os dados pessoais que a escola possui. Por exemplo, a escola obteve o consentimento dos pais / funcion√°rios ou o processamento necess√°rio para que a escola cumpra suas obriga√ß√Ķes legais?

Note que crian√ßas menores de 16 anos n√£o podem “consentir” o processamento de seus dados pessoais.

Rever procedimentos existentes

Rever como a escola procura, obtém e registra dados pessoais e o consentimento dos titulares dos dados.

Alguns pontos a considerar:

¬∑        A escola possui sistemas adequados para corrigir ou apagar dados a pedido de um indiv√≠duo?

¬∑        Tem procedimento para responder a uma solicita√ß√£o de acesso, oposi√ß√£o ou esquecimento?

¬∑        H√° pol√≠ticas e procedimentos que permitam avaliar e gerir os riscos?

¬∑        Existe procedimentos para tratamento de dados pessoais n√£o automatizados?

¬∑        Os sistemas garantem a confidencialidade, integridade e disponibilidade dos dados?

¬∑        Consegue-se detetar qualquer viola√ß√£o de dados logo que ocorra e comunic√°-la em 72 horas?

Por fim, n√£o basta fazer, h√° que demonstrar:

¬∑        Conseguimos recolher evid√™ncias e demonstrar que cumprimos com o RGPD?

O ponto de partida para esta miss√£o √© garantir que as escolas tenham as t√©cnicas e as medidas organizacionais de que precisam para ser seguras e produtivas no nosso mundo digitalmente transformador e que cumpram as obriga√ß√Ķes do novo regime do RGPD.