
Recomendações da CNPD relativa a medidas organizativas e de segurança – Introdução
A CNPD emitiu orientações para as organizações sobre medidas de segurança que devem ser adotadas para minimizar as consequências para os direitos das pessoas quando há ataques a sistemas de informação.
Neste sentido, a CNPD aprovou a Diretriz/2023/1, de 10 de janeiro, sobre medidas organizativas e de segurança destinadas aos responsáveis pelos tratamentos e aos subcontratantes, pretendendo sensibilizá-los para as suas obrigações legais no domínio da segurança dos tratamentos e para a necessidade de realizarem um maior investimento nesta área.
Tendo em conta os crescentes ataques a sistemas de informação, verificados no último ano, que afetaram na sua grande maioria dados pessoais. Estes incidentes de segurança revelaram que se as organizações estivessem dotadas de medidas de segurança adequadas, os riscos teriam sido menores e o impacto nos direitos dos titulares dos dados mais reduzidos.
A CNPD elencou, então um conjunto de medidas organizativas e de medidas técnicas que devem ser consideradas pelas organizações nos seus planos de prevenção e de minimização dos riscos.
Como tal a equipa da MyDataPrivacy, vai proceder à publicação das respetivas recomendações, em seis partes, iniciamos estas publicações acerca das informações referidas na diretriz acerca dos motivos que levaram a CNPD a emitir esta diretriz.
- Os ataques a sistemas de informação que têm ocorrido em número crescente, em especial no ano de 2022, alguns dos quais de grande dimensão e complexidade, afetaram, na sua grande maioria, dados pessoais.
- Verifica-se que os principais vetores de ataque têm sido a exploração das vulnerabilidades das infraestruturas, a falta de formação dos utilizadores para detetarem campanhas de phishing que permitem depois a distribuição de malware, com especial relevância para os ataques de ransomware, a ausência de consciencialização dos responsáveis pelos tratamentos quanto aos riscos para os direitos dos titulares dos dados que a falta de investimento em mecanismos de segurança acarreta.
- Na verdade, na maior parte dos ataques a que se assistiu, as consequências para os direitos dos titulares dos dados poderiam ter sido senão evitadas, pelo menos substancialmente reduzidas.
- Assim, a Comissão Nacional de Proteção de Dados, enquanto autoridade de controlo nacional, na prossecução da atribuição definida na alínea d) do n.º 1 do artigo 57.º do Regulamento Geral sobre a Proteção de Dados (RGPD), em conjugação com o artigo 3.º da Lei n.º 58/2019, de 8 de agosto, entende oportuno sensibilizar os responsáveis pelos tratamentos e os subcontratantes para as suas obrigações no domínio da segurança dos tratamentos de dados pessoais.
- Alerta-se para o facto de as medidas de segurança do tratamento de dados pessoais que em seguida se elencam não terem caráter exaustivo e serem forçosamente dinâmicas, pela sua direta dependência do desenvolvimento tecnológico, estando, por isso, sujeitas a atualização sempre que se revelar necessário.
Definição por parte da CNPD de alguns do termos utilizados (Para mais detalhe acerca deste tema click aqui):
- Phishing é um tipo de ataque que tem como objetivo capturar informação sensível de uma vítima, tentando enganá-la de modo que esta forneça informação sensível, seja por clicar em anexos ou links maliciosos no correio eletrónico, seja por partilhar dados em páginas fraudulentas.
- Malware refere-se a qualquer tipo de programa ou código malicioso criado para invadir, danificar ou incapacitar computadores e outros dispositivos, sistemas ou redes, ou até para roubar, encriptar ou apagar dados.
- Ransomware é um tipo específico de malware que encripta os ficheiros armazenados em servidores ou computadores, tornando-os inacessíveis, e exigindo um pagamento para a sua desencriptação. Alguns tipos de ransomware também extraem dados dos computadores afetados, enviando-os para os atacantes.
Para mais detalhe em relação a termos relacionados com o RGPD click aqui e contate-nos.
Iremos continuar a proceder à publicação de artigos sobre a temática das medidas técnicas e organizativas.
Está disponível uma oferta complementar de E-Learning para “Implementação e Gestão do RGPD” criada por Especialistas em Privacidade certificados pelo IAPP e com dezenas de implementações realizadas. Este curso combinam a elevada qualidade com um preço extremamente competitivo (a partir de 250€ por pessoa ao seu ritmo ) que pode consultar em https://mydataprivacy.eu/formacao-rgpd-curso-completo-de-implementacao-e-gestao/ e Para consultar mais informação sobre a privacidade e RGPD, aceda ao nosso blog Blog MyDataPrivacy sobre Proteção de Dados (RGPD)