
Recomendações da CNPD relativa a medidas organizativas e de segurança – 1ª parte
A CNPD emitiu orientações para as organizações sobre medidas de segurança que devem ser adotadas para minimizar as consequências para os direitos das pessoas quando há ataques a sistemas de informação.
Neste sentido, a CNPD aprovou a Diretriz/2023/1, de 10 de janeiro, sobre medidas organizativas e de segurança destinadas aos responsáveis pelos tratamentos e aos subcontratantes, pretendendo sensibilizá-los para as suas obrigações legais no domínio da segurança dos tratamentos e para a necessidade de realizarem um maior investimento nesta área.
Tendo em conta os crescentes ataques a sistemas de informação, verificados no último ano, que afetaram na sua grande maioria dados pessoais. Estes incidentes de segurança revelaram que se as organizações estivessem dotadas de medidas de segurança adequadas, os riscos teriam sido menores e o impacto nos direitos dos titulares dos dados mais reduzidos.
A CNPD elencou, então um conjunto de medidas organizativas e de medidas técnicas que devem ser consideradas pelas organizações nos seus planos de prevenção e de minimização dos riscos.
Como tal a equipa da MyDataPrivacy, vai proceder à publicação das respetivas recomendações, em seis partes, retomamos esta publicação acerca das informações referidas na diretriz acerca da notificação de violação de dados:
- Uma violação de dados pessoais é «uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento», conforme definição constante do artigo 4.º, alínea 12), do RGPD.
- O RGPD introduz a obrigação de que seja notificada a violação de dados pessoais à autoridade de controlo nacional competente, no caso a CNPD, sempre que possível, até 72 horas, após ter tido conhecimento da mesma, nas situações em que a violação seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares (Cf. artigo 33.º, n.º 1, do RGPD).
- Quanto a este prazo sempre se refere que, mesmo que inicialmente o responsável pelo tratamento não esteja na posse de todas as informações necessárias, deve notificar a autoridade de controlo sem demora, informando que posteriormente fornecerá o resultado da investigação. E sublinha-se que o prazo é contínuo, não se suspendendo aos sábados, domingos e feriados.
- De todo o modo, a informação necessária para notificar a autoridade de controlo pode ser fornecida por fases, como explicita o n.º 4 do artigo 33.º do RGPD.
- Mesmo que o responsável pelo tratamento considere que não é exigível a notificação à CNPD, está obrigado a documentar quaisquer violações de dados, nos termos do n.º 5 do artigo 33.º do RGPD.
- O responsável pelo tratamento está ainda obrigado a dar conhecimento aos titulares dos dados da ocorrência de uma violação de dados, se reunidos os requisitos legais e nas condições descritas no artigo 34.º do RGPD, ou seja, «quando a violação de dados for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares», e logo que seja razoavelmente possí O principal objetivo dessa notificação é prestar informações específicas acerca das medidas que devem tomar para se protegerem das consequências negativas da violação dos seus dados pessoais.
- Sendo certo que, desde 2018, cabe, em primeira linha, ao responsável pelo tratamento de dados pessoais assegurar o respeito pelos direitos e interesses dos titulares dos dados sobre ele recaindo o dever de verificar, antes de realizar um tratamento – bem como o dever de demonstrar –, se cumpre todas as regras de proteção de dados e se os concretos tratamentos de dados que realiza estão em conformidade com os princípios elencados no n.º 1 do artigo 5.º do RGPD.
- No quadro de uma evolução profunda da tecnologia e de uma economia e sociedade cada vez mais digitais, a realização desse objetivo depende de os responsáveis pelo tratamento adaptarem os seus modelos de negócio ou de gestão pública e os respetivos meios técnicos e organizativos para assegurar o efetivo cumprimento da lei e a devida proteção dos dados pessoais e da esfera de interesses, direitos e liberdades dos titulares dos mesmos.
- Essa adaptação não deve ser meramente superficial e formal (burocrática), devendo os responsáveis pelo tratamento acompanhar as alterações de um tempo que é, em si mesmo, disruptivo, através da regular avaliação substantiva e profunda das operações de tratamento e do impacto que as tecnologias implicam no funcionamento das suas organizações e, no caso dos dados pessoais, dos riscos para os direitos e liberdades das pessoas singulares.
- O recurso à subcontratação não altera o facto de o responsável pelo tratamento deter a responsabilidade global pela proteção dos dados pessoais. Os subcontratantes atuam apenas por conta do responsável, mediante as suas instruções (cf. artigo 4.º). No que diz respeito ao tratamento de dados pessoais, impõe o RGPD que a sua atuação resulte estritamente do que lhes for prescrito pelo responsável pelo tratamento (cf. artigo 28.º, n.º 3, alínea a), do RGPD). Isto sem prejuízo de, caso o responsável pelo tratamento dê instruções que violem o RGPD ou outras disposições do direito da União ou dos Estados-Membros, o subcontratante dever informar imediatamente o responsável pelo tratamento de tal facto (cf. artigo 28.º, n.º 3, alínea h), segundo parágrafo, do RGPD).
- Com efeito, independentemente das propostas feitas pelos subcontratantes, a decisão última sobre as operações de tratamento de dados compete ao responsável pelo tratamento, que não pode eximir-se de desempenhar o seu papel e de cumprir as suas obrigações legais, eventualmente diferindo para subcontratantes responsabilidades que são apenas suas.
- O responsável pelo tratamento deve ter em prática uma política interna que lhe permita detetar e gerir incidentes de segurança com impacto na proteção de dados pessoais e, quando o tratamento de dados for realizado por subcontratantes, ter mecanismos de controlo eficazes quanto à atuação dos subcontratantes, assegurando que aqueles não prejudicam o cumprimento das obrigações que recaem sobre o responsável neste domínio.
Para mais detalhe em relação a termos relacionados com o RGPD click aqui e contate-nos.
Iremos continuar a proceder à publicação de artigos sobre a temática das medidas técnicas e organizativas.
Está disponível uma oferta complementar de E-Learning para “Implementação e Gestão do RGPD” criada por Especialistas em Privacidade certificados pelo IAPP e com dezenas de implementações realizadas. Este curso combinam a elevada qualidade com um preço extremamente competitivo (a partir de 250€ por pessoa ao seu ritmo ) que pode consultar em https://mydataprivacy.eu/formacao-rgpd-curso-completo-de-implementacao-e-gestao/ e Para consultar mais informação sobre a privacidade e RGPD, aceda ao nosso blog Blog MyDataPrivacy sobre Proteção de Dados (RGPD)