Selo Digital ‚Äď Ciberseguran√ßa

Fonte: Disponível em <https://selosmaturidadedigital.incm.pt/SMD/>

Existem quatro Selos de Maturidade Digital e um Selo Global que refletem a certificação em três níveis distintos: Bronze, Prata e Ouro. Cada selo apresenta a dimensão da certificação e o respetivo nível alcançado pela organização.

Fonte: Disponível em <https://selosmaturidadedigital.incm.pt/SMD/>

O Selo digital da Ciberseguran√ßa sela o compromisso de todas as organiza√ß√Ķes com a ado√ß√£o de um gui√£o para o processo de transi√ß√£o digital, num mundo e tempo marcados pela cada vez maior depend√™ncia das tecnologias de informa√ß√£o e comunica√ß√£o (TIC).

O certificado Selo Digital Cibersegurança tem por objetivo testemunhar o compromisso da organização certificada com a cibersegurança e um referencial na cultura da organização.

A transforma√ß√£o digital √© uma realidade inevit√°vel e o certificado Selo Digital Ciberseguran√ßa pode ser adquirido por organiza√ß√Ķes de todas as dimens√Ķes, sejam do setor privado ou setor p√ļblico, representando uma oportunidade para as organiza√ß√Ķes se tornarem mais competitivas no mercado e mais eficazes.

√Č uma iniciativa desenvolvida em parceria com o Instituto Portugu√™s de Acredita√ß√£o e o Instituto Portugu√™s da Qualidade, as entidades certificadoras e a Imprensa Nacional Casa da Moeda.

O certificado Selo Digital Ciberseguran√ßa compreende tr√™s n√≠veis de garantia ‚ÄstBronze, Prata e Ouro, que permitem √† organiza√ß√£o selecionar o n√≠vel de garantia mais adequado √†s suas necessidades de ciberseguran√ßa e √†s necessidades do contexto em que se inserem.

A Controgal Consulting √© especializada na implementa√ß√£o da norma “Maturidade Digital – Selo Digital – Ciberseguran√ßa” e presta servi√ßos de consultoria a fim de garantir que os seus clientes est√£o em conformidade com as medidas e as boas pr√°ticas exigidas pela norma.

 

RGPD / GDPR – Direito ao apagamento dos dados (‚Äúdireito de ser esquecido‚ÄĚ)

RGPD / GDPR – Direito ao apagamento dos¬†dados (‚Äúdireito de ser¬†esquecido‚ÄĚ)

A nova lei está em vigor desde 27/04/2016 e será aplicável a partir de 25/05/2018. As empresas têm que preparar-se para estarem em conformidade com a nova lei sob pena de sofrerem pesadas coimas. Este espaço temporal de 2 anos, entre a entrada em vigor e a aplicabilidade, é um período de transição concedido às empresas para detalhar e implementar todos os processos de conformidade com o RGPD. Estes passos serão fundamentais para poder cumprir as novas exigências na recolha e tratamento de dados pessoais.

Hoje destaco o direito ao “esquecimento” , ou seja, quando um cidad√£o solicita que a sua informa√ß√£o de dados pessoais seja removida ou apagada. A organiza√ß√£o tem um prazo de um m√™s para apagar os dados pessoais de todos os suportes automatizados e n√£o automatizados.

Como fazer? E na quest√£o laboral, como resolver esta quest√£o? Vou apagar todos os dados do trabalhador? E ent√£o, os testes psicot√©cnicos s√£o dados de sa√ļde, com tratamento especial e com coimas mais elevadas por n√£o conformidade no tratamento? E estatisticamente fico sem esta informa√ß√£o dos trabalhadores? E os trabalhadores que manuseiam estes dados t√™m que ter forma√ß√£o obrigat√≥ria? E vou apagar os dados nos backups? (…)

Pois √©, a conformidade com este direito tem gerado grandes desafios nas empresas onde tenho prestado servi√ßos de forma√ß√£o RGPD ou servi√ßos de implementa√ß√£o RGPD. Porqu√™? Porque n√£o se cinge a quest√Ķes legais e IT, mas √† gest√£o de processos de neg√≥cio. Eu posso ajudar neste caminho rumo √† conformidade plena com o RGPD.

Carlos Silva

A avaliação de impacto de risco pode comprovar a conformidade com o RGPD?

A avaliação de impacto de risco pode comprovar a conformidade com o RGPD?

O regulamento exige que os respons√°veis pelo tratamento apliquem medidas adequadas para assegurar e comprovar a conformidade com o RGPD tendo em conta, entre outros, ¬ęos riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser vari√°veis¬Ľ (artigo 24.¬ļ, n.¬ļ 1).

A avalia√ß√£o de impacto de risco (AIPD) ou Privacy Impact Assessment (PIA) deve ser realizada para os tratamentos que apresentem riscos de viola√ß√£o de privacidade face √† sua natureza ou √Ęmbito das atividades desenvolvidas, permitindo que as entidades encontrem problemas nas fases iniciais de qualquer projeto, reduzindo os custos associados e danos √† reputa√ß√£o que podem acompanhar uma viola√ß√£o das leis e regulamentos de prote√ß√£o de dados pessoais.

Aqui destaco a import√Ęncia da obriga√ß√£o recair sobre os respons√°veis pelo tratamento, de realizarem uma AIPD, n√£o sendo a mesma da responsabilidade do Encarregado da Prote√ß√£o de Dados (EPD/DPO).

Uma √ļnica AIPD pode ser utilizada para avaliar m√ļltiplas opera√ß√Ķes de tratamento que sejam semelhantes em termos de natureza, √Ęmbito, contexto, finalidade e riscos e uma AIPD tamb√©m pode ser √ļtil para avaliar o impacto na prote√ß√£o de dados de um produto tecnol√≥gico, como por exemplo um programa inform√°tico gest√£o de RH, tanto na fase de desenvolvimento como na fase de implementa√ß√£o.

Uma vez que a realiza√ß√£o da AIPD implica a avalia√ß√£o do impacto das opera√ß√Ķes de tratamento, tem tamb√©m a vantagem de promover implicitamente o cumprimento do C√≥digo de Conduta estipulado no art.¬ļ 40 do RGPD.

RGPD / GDPR ‚Äď Data Controller VS Data Processor ‚Äď Quais as diferen√ßas e quais as responsabilidades?

RGPD / GDPR ‚Äď Data Controller VS Data Processor ‚Äď Quais as diferen√ßas e quais as responsabilidades?

Uma das quest√Ķes que tem gerado d√ļvidas nas organiza√ß√Ķes com as quais eu tenho trabalhado na implementa√ß√£o do novo Regulamento Geral de Prote√ß√£o de Dados (RGPD) √© a responsabilidade em rela√ß√£o aos dados pessoais que a ‚Äúnossa organiza√ß√£o armazena, mas que s√£o processados pelos nossos clientes‚ÄĚ. No √Ęmbito do novo RGPD, levanta-se a quest√£o, quais as responsabilidades dessas organiza√ß√Ķes?

O novo regulamento (RGPD) será aplicado diretamente em cada país da União Europeia (EU) e a países não pertencentes à UE que armazenem dados pessoais dos cidadãos de países UE, permitindo assim consistência das regras entre os países sobre os direitos da privacidade dos cidadãos.

Data controller¬† e¬† Data processor ‚Äď O que significa?

De acordo com o artigo 4¬ļ do RGPD diferentes fun√ß√Ķes s√£o identificadas do seguinte modo:

  • Data controller (Controlador) – Qualquer organiza√ß√£o que decide como e porque √© que os dados s√£o processados. Considera-se a pessoa f√≠sica ou jur√≠dica, a autoridade p√ļblica, a ag√™ncia ou outro √≥rg√£o que, isoladamente ou em conjunto com outros, determina os prop√≥sitos e meios de processamento de dados pessoais.
  • Data Processor (Processador) – A pessoa singular ou coletiva, a autoridade p√ļblica, a ag√™ncia ou qualquer outro organismo que trate os dados pessoais por conta do respons√°vel pelo tratamento destes (subcontratante). Significa pessoa f√≠sica ou jur√≠dica, autoridade p√ļblica, ag√™ncia ou outro √≥rg√£o que processa dados pessoais em nome do controlador.

Assim, as organiza√ß√Ķes que determinam os meios de processamento de dados pessoais s√£o controladores, independentemente de recolherem diretamente os dados das pessoas em quest√£o. Por exemplo, um banco (controlador) recolhe os dados de seus clientes quando eles abrem uma conta, mas √© outra organiza√ß√£o (processador) que armazena, digitaliza e cataloga todas as informa√ß√Ķes produzidas pela entidade banc√°ria. Essas empresas podem ser Datacenters ou empresas de gest√£o e cust√≥dia de documentos. De acordo com RGPD, ambas as organiza√ß√Ķes (controlador e processador) s√£o respons√°veis ‚Äč‚Äčpelo tratamento dos dados pessoais desses clientes.

Quais s√£o as responsabilidades dos controladores?

De acordo com o artigo 5¬ļ do RGPD, o controlador deve ser respons√°vel e poder demonstrar o cumprimento dos princ√≠pios relativos ao tratamento de dados pessoais, sistematizando: legalidade, equidade, transpar√™ncia, minimiza√ß√£o de dados, precis√£o, limita√ß√£o de armazenamento, integridade, e confidencialidade.

Quais s√£o as responsabilidades dos processadores?

De acordo com o artigo 28.¬ļ do RGPD, o tratamento pode ser efetuado em nome de um controlador, mas este s√≥ deve subcontratar apenas os processadores que forne√ßam garantias suficientes de cumprimento do RGPD, isto √©, processadores que tenham evid√™ncias da implementa√ß√£o das medidas t√©cnicas e organizacionais adequadas de tal forma que o processamento satisfa√ßa os requisitos do regulamento.

Isto significa que, qualquer empresa da UE ou de fora da UE, como controlador ou processador, terá de implementar os controlos necessários para garantir que estes estejam em conformidade com o RGPD, porque a responsabilidade é de ambos e as multas podem ser aplicadas a ambos, aos controladores e processadores.

De acordo com o artigo 83.¬ļ, ser√£o aplicadas multas em rela√ß√£o ao “grau de responsabilidade do controlador ou do processador, levando em considera√ß√£o as medidas t√©cnicas e organizacionais implementadas por eles”.

RGPD / GDPR РPassagem de um regime de Hetero regulação para um regime de Autorregulação

RGPD / GDPR РPassagem de um regime de Hetero regulação para um regime de Autorregulação

No √Ęmbito da aplica√ß√£o do novo Regulamento Geral de Prote√ß√£o de Dados (RGPD) a partir de 25.05.2018 e no novo modo de relacionamento das empresas com a autoridade nacional de supervis√£o competente ‚Äď CNPD Comiss√£o Nacional Prote√ß√£o de Dados, podemos falar naquilo que chamamos uma mudan√ßa de paradigma. Iremos passar de um modelo de hetero regula√ß√£o para um modelo de autorregula√ß√£o.

Esta mudan√ßa coloca a todas as entidades, sejam elas organismos p√ļblicos ou empresas do setor privado, um novo de desafio na responsabilidade e na conformidade da prote√ß√£o e na privacidade dos dados pessoais das pessoas singulares.

Pela Lei de Proteção de Dados 67/98, em vigor até à aplicação do novo Regulamento, temos o modelo da heteroregulação, o que quer dizer que se uma empresa decidir fazer a recolha e o tratamento de dados pessoais tem como obrigação notificar a CNPD antes dessa recolha e respetivo tratamento, utilizando para isso os respetivos formulários disponíveis no site da autoridade.

Estamos a falar de situa√ß√Ķes como o caso da instala√ß√£o de sistemas de videovigil√Ęncia, ou controle dados biom√©tricos nos sistemas de controlo de acessos e nos sistemas de controlo de assiduidade, assim como num conjunto de outras situa√ß√Ķes, como por exemplo a geolocaliza√ß√£o, no controlo do uso da internet pelos colaboradores. Esta notifica√ß√£o tamb√©m abrange qualquer altera√ß√£o que ocorrer nesse tratamento.

Com o novo Regulamento √© eliminada essa obrigatoriedade de notifica√ß√£o. Por um lado podemos dizer que h√° um eliminar de uma fase burocr√°tica e administrativa, por outro lado, representa uma maior responsabilidade das organiza√ß√Ķes que realizam tratamentos de dados pessoais.

Ao fazer esta notifica√ß√£o √† CNPD, a empresa estava a conseguir uma decis√£o de conformidade ao dar as garantias dessa recolha e tratamento de dados por uma entidade externa, que ela mesma instalava e fiscalizava o sistema de coleta e tratamento dos dados. E se essa entidade fornecedora do sistema dizia que estava conforme, ent√£o as organiza√ß√Ķes estavam em conformidade e tranquilas a partir do momento que notificavam a CNPD.

Pelo novo Regulamento, s√£o as organiza√ß√Ķes que ter√£o assegurar, e demonstrar, que est√£o em conformidade com o RGPD. Portanto, h√° aqui um novo conjunto de obriga√ß√Ķes que ter√£o que ser asseguradas pelos respons√°veis pelo tratamento e pelos subcontratantes.

O Regulamento exige que os respons√°veis pelo tratamento apliquem medidas adequadas para assegurar e comprovar a conformidade com o RGPD tendo em conta, entre outros, ¬ęos riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser vari√°veis¬Ľ (artigo 24.¬ļ, n.¬ļ 1).

Neste sentido, o documento Privacy Impact Assessment (PIA) apresenta-se como o elemento principal para a conformidade com esta nova responsabilidade. Nesta avalia√ß√£o a organiza√ß√Ķes dever√£o descrever com detalhe, por exemplo, todas as opera√ß√Ķes de tratamento de dados pessoais. E este estudo tem que estar dispon√≠vel, porque num √Ęmbito de uma inspe√ß√£o, a CNPD vai solicitar esse reposit√≥rio. Nesta situa√ß√£o, a inexist√™ncia deste documento apresenta-se como uma agravante para a aplica√ß√£o de san√ß√Ķes.

Estamos assim a falar de um novo modelo de autorregulação e numa inversão do ónus da prova. Ou seja, antes teria que ser uma pessoa a comprovar que determinada entidade não cumpria a legislação da proteção de dados pessoais, com o novo modelo do Regulamento, terá que ser a organização a demonstrar e provar que cumpre o Regulamento e que nada fez de errado e que o tratamento está em conformidade. Daí se falar numa responsabilidade demonstrada.

Saiba como poder√° ajudar a sua organiza√ß√£o a dar o salto para a conformidade. Para uma avalia√ß√£o prim√°ria da situa√ß√£o atual face ao RGPD, an√°lise processual e tecnol√≥gica da empresa ou para assistir √†s pr√≥ximas sess√Ķes de forma√ß√£o e sensibiliza√ß√£o RGPD.

controlgal_RGPD_data_protection

RGPD: Guia para a segurança dos dados pessoais

Precau√ß√Ķes e a√ß√Ķes b√°sicas para implementar e garantir um n√≠vel m√≠nimo de seguran√ßa dos dados pessoais da sua organiza√ß√£o

A proteção dos dados pessoais exige a adoção de medidas técnicas e organizativas adequadas para assegurar um nível de segurança adaptado ao risco.

Essa abordagem permite uma tomada de decisão objetiva e a determinação de medidas estritamente necessárias e adaptadas ao contexto. No entanto, às vezes é difícil, quando não se está familiarizado com esses métodos, implementar essa abordagem e garantir que o mínimo tenha sido implementado.

Para ajudar os profissionais na conformidade com o Regulamento Geral de Prote√ß√£o de Dados (RGPD), reunimos neste documento algumas das precau√ß√Ķes b√°sicas que devem ser implementadas sistematicamente.

Este guia poderá ser usado como parte da gestão de risco, mesmo mínimo, consistindo em quatro etapas.

Mapear os dados pessoais ‚Äč‚Äče o media em que se baseiam:

  • hardware (exemplo: servidores, computadores port√°teis, discos r√≠gidos);
  • software (exemplo: sistema operativos, software de gest√£o ERP, CRM);
  • canais de comunica√ß√£o (exemplo: Internet);
  • suporte em papel (exemplo: documento impresso, fotoc√≥pia).

Avaliar os riscos gerados por cada tratamento:

  1. Identificar os impactos potenciais sobre os direitos e liberdades dos titulares afetados, para os seguintes três eventos:
    • acesso ileg√≠timo aos dados (exemplo: roubo de identidade resultante da divulga√ß√£o das folhas de pagamento de sal√°rios dos funcion√°rios de uma empresa);
    • modifica√ß√£o indesejada de dados (exemplo: acusa√ß√£o indevida de uma pessoa ap√≥s a modifica√ß√£o de logs de acesso);
    • desaparecimento de dados (exemplo: a n√£o dete√ß√£o de um diagn√≥stico devido √† impossibilidade de aceder ao registo de um doente).
  1. Identificar as fontes de risco (quem ou o que poderia estar na origem de cada evento?) РLevando em consideração fontes humanas internas e externas (exemplo: técnico de TI, utilizador, acesso externo indevido) e origens externas (exemplo: água, materiais perigosos, vírus informáticos).
  1. Identificar ameaças viáveis (o que poderia permitir que cada evento de ameaça ocorra?). Essas ameaças são realizadas através dos suportes de dados automatizados e não automatizados (exemplo: hardware, software, canais de comunicação, suporte de papel, etc.), que podem ser:
    1. mal utilizado (exemplo: abuso de direitos, erro de manipulação);
    2. modificado (exemplo: instalação de software malicioso);
    3. perdido (exemplo: roubo de um computador port√°til, perda de uma pen USB);
    4. observado (exemplo: screenshot);
    5. deteriorado (exemplo: degradação de um suporte lógico devido ao desgaste);
    6. sobrecarregado (exemplo: disco rígido cheio).
  1. Determinar medidas existentes ou planeadas que abordem cada risco (exemplo: controle de acesso, backups, rastreabilidade, seguran√ßa das instala√ß√Ķes, criptografia, anonimiza√ß√£o).
  1. Estimar a gravidade e a probabilidade dos riscos, com base nos elementos precedentes (exemplo: criar uma graduação para usar na estimativa).
  1. Implementar e verificar as medidas planeadas. Se as medidas existentes e previstas forem consideradas apropriadas, deve ser assegurado que elas sejam aplicadas e monitoradas.
  1. Realizar auditorias de segurança periódicas.Cada auditoria deve resultar num plano de ação que deve ser implementado.

Carlos Silva

Certified Data Protection Officer

Membro da  APDPO ‚Äď PORTUGAL ‚Äď Associa√ß√£o dos Profissionais de Prote√ß√£o e de Seguran√ßa de Dados

RGPD - Accountability

RGPD РProva e Evidência de Cumprimento (Accountability)

RGPD / GDPR РProva e Evidência de Cumprimento (Accountability)

O regulamento exige que os respons√°veis pelo tratamento apliquem medidas adequadas para assegurar e comprovar

Um cliente perguntou-me: ‚ÄúAccountability √© para fazer o qu√™?‚ÄĚ ‚Äď Pois, √©‚Ķmuito trabalhinho! O Regulamento Geral de Prote√ß√£o de Dados (RGPD) exige que seja implementado um programa de conformidade capaz de monitorizar a conformidade em toda a organiza√ß√£o e demonstrar √†s autoridades de prote√ß√£o de dados e aos titulares dos dados que todos os dados pessoais est√£o em seguran√ßa. Identifiquei 39 artigos sob o RGPD que exigem a evid√™ncia de uma medida t√©cnica ou organizacional para demonstrar a conformidade. Daqui podem ser mapeadas

55 atividades que, se implementadas, podem produzir documenta√ß√£o que ajudar√° a demonstrar o cumprimento cont√≠nuo com obriga√ß√Ķes de conformidade. At√© 25/05/2018 n√£o vai ser f√°cil para as organiza√ß√Ķes!

Carlos Silva