controlgal_RGPD_data_protection

RGPD: Guia para a segurança dos dados pessoais

Precauções e ações básicas para implementar e garantir um nível mínimo de segurança dos dados pessoais da sua organização

A proteção dos dados pessoais exige a adoção de medidas técnicas e organizativas adequadas para assegurar um nível de segurança adaptado ao risco.

Essa abordagem permite uma tomada de decisão objetiva e a determinação de medidas estritamente necessárias e adaptadas ao contexto. No entanto, às vezes é difícil, quando não se está familiarizado com esses métodos, implementar essa abordagem e garantir que o mínimo tenha sido implementado.

Para ajudar os profissionais na conformidade com o Regulamento Geral de Proteção de Dados (RGPD), reunimos neste documento algumas das precauções básicas que devem ser implementadas sistematicamente.

Este guia poderá ser usado como parte da gestão de risco, mesmo mínimo, consistindo em quatro etapas.

Mapear os dados pessoais ​​e o media em que se baseiam:

  • hardware (exemplo: servidores, computadores portáteis, discos rígidos);
  • software (exemplo: sistema operativos, software de gestão ERP, CRM);
  • canais de comunicação (exemplo: Internet);
  • suporte em papel (exemplo: documento impresso, fotocópia).

Avaliar os riscos gerados por cada tratamento:

  1. Identificar os impactos potenciais sobre os direitos e liberdades dos titulares afetados, para os seguintes três eventos:
    • acesso ilegítimo aos dados (exemplo: roubo de identidade resultante da divulgação das folhas de pagamento de salários dos funcionários de uma empresa);
    • modificação indesejada de dados (exemplo: acusação indevida de uma pessoa após a modificação de logs de acesso);
    • desaparecimento de dados (exemplo: a não deteção de um diagnóstico devido à impossibilidade de aceder ao registo de um doente).
  1. Identificar as fontes de risco (quem ou o que poderia estar na origem de cada evento?) – Levando em consideração fontes humanas internas e externas (exemplo: técnico de TI, utilizador, acesso externo indevido) e origens externas (exemplo: água, materiais perigosos, vírus informáticos).
  1. Identificar ameaças viáveis (o que poderia permitir que cada evento de ameaça ocorra?). Essas ameaças são realizadas através dos suportes de dados automatizados e não automatizados (exemplo: hardware, software, canais de comunicação, suporte de papel, etc.), que podem ser:
    1. mal utilizado (exemplo: abuso de direitos, erro de manipulação);
    2. modificado (exemplo: instalação de software malicioso);
    3. perdido (exemplo: roubo de um computador portátil, perda de uma pen USB);
    4. observado (exemplo: screenshot);
    5. deteriorado (exemplo: degradação de um suporte lógico devido ao desgaste);
    6. sobrecarregado (exemplo: disco rígido cheio).
  1. Determinar medidas existentes ou planeadas que abordem cada risco (exemplo: controle de acesso, backups, rastreabilidade, segurança das instalações, criptografia, anonimização).
  1. Estimar a gravidade e a probabilidade dos riscos, com base nos elementos precedentes (exemplo: criar uma graduação para usar na estimativa).
  1. Implementar e verificar as medidas planeadas. Se as medidas existentes e previstas forem consideradas apropriadas, deve ser assegurado que elas sejam aplicadas e monitoradas.
  1. Realizar auditorias de segurança periódicas.Cada auditoria deve resultar num plano de ação que deve ser implementado.

Carlos Silva

Certified Data Protection Officer

Membro da  APDPO – PORTUGAL – Associação dos Profissionais de Proteção e de Segurança de Dados

RGPD - Accountability

RGPD – Prova e Evidência de Cumprimento (Accountability)

RGPD / GDPR – Prova e Evidência de Cumprimento (Accountability)

O regulamento exige que os responsáveis pelo tratamento apliquem medidas adequadas para assegurar e comprovar

Um cliente perguntou-me: “Accountability é para fazer o quê?” – Pois, é…muito trabalhinho! O Regulamento Geral de Proteção de Dados (RGPD) exige que seja implementado um programa de conformidade capaz de monitorizar a conformidade em toda a organização e demonstrar às autoridades de proteção de dados e aos titulares dos dados que todos os dados pessoais estão em segurança. Identifiquei 39 artigos sob o RGPD que exigem a evidência de uma medida técnica ou organizacional para demonstrar a conformidade. Daqui podem ser mapeadas

55 atividades que, se implementadas, podem produzir documentação que ajudará a demonstrar o cumprimento contínuo com obrigações de conformidade. Até 25/05/2018 não vai ser fácil para as organizações!

Carlos Silva

A avaliação de impacto de risco pode comprovar a conformidade com o RGPD?

A avaliação de impacto de risco pode comprovar a conformidade com o RGPD?

O regulamento exige que os responsáveis pelo tratamento apliquem medidas adequadas para assegurar e comprovar a conformidade com o RGPD tendo em conta, entre outros, «os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis» (artigo 24.º, n.º 1).

A avaliação de impacto de risco (AIPD) ou Privacy Impact Assessment (PIA) deve ser realizada para os tratamentos que apresentem riscos de violação de privacidade face à sua natureza ou âmbito das atividades desenvolvidas, permitindo que as entidades encontrem problemas nas fases iniciais de qualquer projeto, reduzindo os custos associados e danos à reputação que podem acompanhar uma violação das leis e regulamentos de proteção de dados pessoais.

Aqui destaco a importância da obrigação recair sobre os responsáveis pelo tratamento, de realizarem uma AIPD, não sendo a mesma da responsabilidade do Encarregado da Proteção de Dados (EPD/DPO).

Uma única AIPD pode ser utilizada para avaliar múltiplas operações de tratamento que sejam semelhantes em termos de natureza, âmbito, contexto, finalidade e riscos e uma AIPD também pode ser útil para avaliar o impacto na proteção de dados de um produto tecnológico, como por exemplo um programa informático gestão de RH, tanto na fase de desenvolvimento como na fase de implementação.

Uma vez que a realização da AIPD implica a avaliação do impacto das operações de tratamento, tem também a vantagem de promover implicitamente o cumprimento do Código de Conduta estipulado no art.º 40 do RGPD.