controlgal_RGPD_data_protection

RGPD: Guia para a segurança dos dados pessoais

Precau√ß√Ķes e a√ß√Ķes b√°sicas para implementar e garantir um n√≠vel m√≠nimo de seguran√ßa dos dados pessoais da sua organiza√ß√£o

A proteção dos dados pessoais exige a adoção de medidas técnicas e organizativas adequadas para assegurar um nível de segurança adaptado ao risco.

Essa abordagem permite uma tomada de decisão objetiva e a determinação de medidas estritamente necessárias e adaptadas ao contexto. No entanto, às vezes é difícil, quando não se está familiarizado com esses métodos, implementar essa abordagem e garantir que o mínimo tenha sido implementado.

Para ajudar os profissionais na conformidade com o Regulamento Geral de Prote√ß√£o de Dados (RGPD), reunimos neste documento algumas das precau√ß√Ķes b√°sicas que devem ser implementadas sistematicamente.

Este guia poderá ser usado como parte da gestão de risco, mesmo mínimo, consistindo em quatro etapas.

Mapear os dados pessoais ‚Äč‚Äče o media em que se baseiam:

  • hardware (exemplo: servidores, computadores port√°teis, discos r√≠gidos);
  • software (exemplo: sistema operativos, software de gest√£o ERP, CRM);
  • canais de comunica√ß√£o (exemplo: Internet);
  • suporte em papel (exemplo: documento impresso, fotoc√≥pia).

Avaliar os riscos gerados por cada tratamento:

  1. Identificar os impactos potenciais sobre os direitos e liberdades dos titulares afetados, para os seguintes três eventos:
    • acesso ileg√≠timo aos dados (exemplo: roubo de identidade resultante da divulga√ß√£o das folhas de pagamento de sal√°rios dos funcion√°rios de uma empresa);
    • modifica√ß√£o indesejada de dados (exemplo: acusa√ß√£o indevida de uma pessoa ap√≥s a modifica√ß√£o de logs de acesso);
    • desaparecimento de dados (exemplo: a n√£o dete√ß√£o de um diagn√≥stico devido √† impossibilidade de aceder ao registo de um doente).
  1. Identificar as fontes de risco (quem ou o que poderia estar na origem de cada evento?) РLevando em consideração fontes humanas internas e externas (exemplo: técnico de TI, utilizador, acesso externo indevido) e origens externas (exemplo: água, materiais perigosos, vírus informáticos).
  1. Identificar ameaças viáveis (o que poderia permitir que cada evento de ameaça ocorra?). Essas ameaças são realizadas através dos suportes de dados automatizados e não automatizados (exemplo: hardware, software, canais de comunicação, suporte de papel, etc.), que podem ser:
    1. mal utilizado (exemplo: abuso de direitos, erro de manipulação);
    2. modificado (exemplo: instalação de software malicioso);
    3. perdido (exemplo: roubo de um computador port√°til, perda de uma pen USB);
    4. observado (exemplo: screenshot);
    5. deteriorado (exemplo: degradação de um suporte lógico devido ao desgaste);
    6. sobrecarregado (exemplo: disco rígido cheio).
  1. Determinar medidas existentes ou planeadas que abordem cada risco (exemplo: controle de acesso, backups, rastreabilidade, seguran√ßa das instala√ß√Ķes, criptografia, anonimiza√ß√£o).
  1. Estimar a gravidade e a probabilidade dos riscos, com base nos elementos precedentes (exemplo: criar uma graduação para usar na estimativa).
  1. Implementar e verificar as medidas planeadas. Se as medidas existentes e previstas forem consideradas apropriadas, deve ser assegurado que elas sejam aplicadas e monitoradas.
  1. Realizar auditorias de segurança periódicas.Cada auditoria deve resultar num plano de ação que deve ser implementado.

Carlos Silva

Certified Data Protection Officer

Membro da  APDPO ‚Äď PORTUGAL ‚Äď Associa√ß√£o dos Profissionais de Prote√ß√£o e de Seguran√ßa de Dados