A segurança no ciberespaço é um dos maiores desafios tecnológicos do século XXI devido à sua importância em todos os sectores da sociedade atual, sejam eles governamentais, empresariais ou ao nível do cidadão individual. Com todas as oportunidades que o ciberespaço apresenta vieram também fortes ameaças transfronteiriças ao nível de ciberataques e cibercrime.

A União Europeia (UE) tem acompanhado esta problemática e, principalmente, o potencial impacto ao nível económico e de privacidade que tais ameaças apresentam. Em 2013 a UE apresentou a sua Estratégia de Cibersegurança que visa uniformizar e priorizar as suas políticas ao nível interno e externo, servindo aquela como linha orientadora aos seus Estados Membros (EM) para que possam aumentar as suas capacidades de Cibersegurança, aumentar a cooperação entre EM e assegurar a gestão de risco em setores e infraestruturas críticas.

Num contexto similar, em 14 de Abril de 2016, foi aprovado pelo Parlamento Europeu uma nova regulamentação respeitante à proteção de dados, denominado Regulamento Geral de Proteção de Dados (RGPD), com aplicabilidade direta em 25 de Maio de 2018. Este novo regulamento vem uniformizar conceitos e políticas, estabelecendo uma única lei em toda a UE no que à proteção de dados diz respeito. Encontra-se também em fase final de revisão um novo regulamento denominado ePrivacy que, endereçando em específico transações e comércio eletrónico, está fortemente ligado à RGPD e vem, em complemento, reforçar a preocupação relativa à proteção dos Dados Pessoais.

Como uma empresa se deverá preparar para estar em conformidade com a RGPD?

A proteção da privacidade e dos dados pessoais deverá estar incorporada em todo o ciclo de desenvolvimento e de vida das tecnologias e serviços subjacentes, desde a fase inicial de projeto até à sua implantação, utilização e eliminação final. Assim, projetos em fase inicial ou já em execução deverão ser revistos levando em conta a nova regulamentação, aplicando os princípios do conceito de privacy by design.

PUB • CONTINUE A LER A SEGUIR

A obrigatoriedade de notificação à autoridade de controlo sobre eventuais violações de dados pessoais implica que as empresas tenham que ter políticas claras e procedimentos montados para que detetem e comuniquem atempadamente as ocorrências.

O responsável pelo tratamento e o subcontratante deverão designar um encarregado da proteção de dados que deverá ser envolvido em todas as questões relacionadas com a proteção de dados pessoais, tendo como funções, entre outras, controlar a conformidade com a RGPD e ser um ponto de contato para a autoridade de controlo sobre questões relacionadas com o tratamento e consulta dos dados.

As empresas, tenham elas o papel de responsáveis pelo tratamento ou subcontratantes, deverão ter capacidade de fazer prova da sua responsabilidade relativa ao tratamento de dados pessoais que estão a seu cargo. A prova deverá incluir, entre outros, os seguintes pontos: políticas internas que vão de encontro à regulamentação, apresentar uma cultura empresarial de monitorização, revisão e avaliação do tratamento de dados e práticas de minimização de tratamento e retenção de dados, assim como planos de formação para sensibilização dos colaboradores quanto às suas obrigações no que concerne à manipulação de dados pessoais.

O titular dos dados deverá ter acordado não só em ceder os seus dados como com as atividades de tratamento que serão executadas sobre eles. Uma revisão sobre todos os processos, documentos e formulários já utilizados deverá ser efetuada para garantir a conformidade com a RGPD. É da responsabilidade da empresa apresentar prova de consentimento por parte do titular dos dados.

A empresa deverá estar preparada para permitir que o titular dos dados exija o seu direito à portabilidade dos dados e o direito a ser “esquecido”. Salvo algumas exceções, os titulares de dados deverão ter direito a que os seus dados pessoais sejam apagados e deixem de ser objeto de tratamento se deixarem de ser necessários para a finalidade para a qual foram recolhidos ou tratados.

Sempre que dados pessoais atravessarem fronteiras fora do território da UE, aumenta o risco de que o titular dos dados não possa exercer os seus direitos à proteção de dados, nomeadamente para se proteger da utilização ilegal ou da divulgação dessas informações. As empresas deverão assim ir de encontro ao especificado sobre a transferência e o tratamento de dados fora da UE, incluindo transferência dentro do mesmo grupo empresarial, apresentando razões legítimas para a necessidade dessa transferência e/ou tratamento.

Embora se tenham resumido, de uma forma muito simplificada, alguns dos principais aspetos da RGPD nos parágrafos anteriores, esta poderá implicar alterações operacionais e processuais substanciais nas empresas que efetuam tratamento de dados pessoais de cidadãos da União Europeia, sejam elas donas dos dados ou um subcontratante utilizado para tratar e armazenar os dados.

Se por um lado, a conformidade com a RGPD poderá ser encarada como um custo, com o inerente esforço acrescido para uma empresa, poderá também ser encarada como uma oportunidade para implementar ou reforçar uma metodologia e respetivas boas práticas de Segurança de Informação que, necessariamente, deverão endereçar, entre outras áreas, a Proteção de Dados Pessoais.

Rafael Aranha é System Architect, IT Infrastructure & Cyber Security da Altran