A Comissão Nacional de Proteção de Dados (CNPD) emitiu orientações às empresas sobre medidas de segurança a adotar para minimizar consequências para os direitos das pessoas de ciberataques, lembrando a comissão serem “muitas” os ataques no último ano.

A diretiva, aprovada em reunião da CNPD em 10 de janeiro, elenca medidas organizativas e técnicas a considerar pelas organizações (responsáveis por tratamentos de dados e subcontratantes) nos seus planos de prevenção e de minimização dos riscos aplicáveis aos tratamentos de dados pessoais, e que são obrigações legais no domínio da segurança dos tratamentos.

No documento, disponível na sua página de internet, a CNPD alerta as organizações para a necessidade de realizarem “um maior investimento” nesta área, constatando que os “crescentes ataques” a sistemas de informação, verificados no último ano, afetaram na sua grande maioria dados pessoais.

Crimes informáticos voltam a aumentar em Portugal. “Phishing” é o crime mais comum

PUB • CONTINUE A LER A SEGUIR

“Tais incidentes de segurança revelaram que se as organizações estivessem dotadas de medidas de segurança adequadas, os riscos teriam sido menores e o impacto nos direitos dos titulares dos dados mais reduzidos”, alerta a comissão.

A diretriz reforça que responsáveis pelo tratamento de dados, e os subcontratantes, são incentivados a definir antecipadamente e a colocar em prática planos de prevenção, para que possam proteger os seus sistemas e infraestrutura e “ter mecanismos prontos a detetar uma violação de dados pessoais e mitigar rapidamente” os efeitos negativos sobre os direitos dos respetivos titulares.

“Esse plano de resposta a incidentes deve incluir uma avaliação do risco para estas pessoas singulares, que permita ao responsável pelo tratamento concluir se deve notificar a violação de dados, quer à autoridade de controlo, quer aos titulares dos dados afetados”, conclui ainda a comissão.

Por fim, recorda que a informação necessária para notificar a autoridade de controlo pode ser fornecida por fases, “mas isso não exclui a obrigação de o responsável pelo tratamento agir em tempo útil” para dar resposta à violação de dados pessoais.

“A CNPD recomenda ao responsável pelo tratamento, bem como ao subcontratante (com as devidas adaptações), que adote medidas de segurança elencadas na presente diretriz, consoante o que for adequado às características e sensibilidade dos tratamentos de dados pessoais efetuados e às especificidades da sua organização”, conclui na diretriz.