
Recomendações da CNPD relativa a medidas organizativas e de segurança – 2ª parte
A CNPD emitiu orientações para as organizações sobre medidas de segurança que devem ser adotadas para minimizar as consequências para os direitos das pessoas quando há ataques a sistemas de informação.
Neste sentido, a CNPD aprovou a Diretriz/2023/1, de 10 de janeiro, sobre medidas organizativas e de segurança destinadas aos responsáveis pelos tratamentos e aos subcontratantes, pretendendo sensibilizá-los para as suas obrigações legais no domínio da segurança dos tratamentos e para a necessidade de realizarem um maior investimento nesta área.
Tendo em conta os crescentes ataques a sistemas de informação, verificados no último ano, que afetaram na sua grande maioria dados pessoais. Estes incidentes de segurança revelaram que se as organizações estivessem dotadas de medidas de segurança adequadas, os riscos teriam sido menores e o impacto nos direitos dos titulares dos dados mais reduzidos.
A CNPD elencou, então um conjunto de medidas organizativas e de medidas técnicas que devem ser consideradas pelas organizações nos seus planos de prevenção e de minimização dos riscos.
Como tal a equipa da MyDataPrivacy, vai proceder à publicação das respetivas recomendações, em seis partes, continuamos com a publicação acerca das informações referidas na diretriz acerca das Medidas técnicas e organizativas a adotar pelo responsável pelo tratamento e pelo subcontratante:
- Em conformidade com as exigências previstas no artigo 32.º, n.ºs 1 e 2, do RGPD, incumbe ao responsável pelo tratamento avaliar e aplicar as medidas técnicas e organizativas necessárias para conferir ao tratamento dos dados pessoais um nível de segurança adequado ao risco, incluindo a capacidade para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência dos sistemas e serviços de tratamento.
- Nesse sentido, e consoante o que for adequado às características e sensibilidade de cada tratamento de dados pessoais efetuado e às especificidades da concreta organização, devem ser consideradas as seguintes medidas de segurança:
- Organizativas
- Definir e exercitar regularmente o plano de resposta a incidentes e recuperação do desastre, prevendo os mecanismos necessários para garantir a segurança da informação e a resiliência dos sistemas e serviços, bem como assegurar que a disponibilidade dos dados é restabelecida atempadamente após um incidente;
- Classificar a informação de acordo com o nível de confidencialidade e sensibilidade e adotar as medidas organizativas e técnicas adequadas à classificação;
- Documentar as políticas de segurança;
- Adotar procedimentos de análise para a monitorização dos fluxos de tráfego na rede;
- Definir políticas de gestão de palavras-passe seguras, impondo requisitos para o tamanho, a composição, o armazenamento e a frequência com que uma palavra-passe precisa de ser alterada;
- Criar uma política de gestão de ciclo de vida dos utilizadores, para garantir que cada trabalhador tem acesso apenas aos dados necessários para executar as suas funções e rever com frequência as permissões dos vários perfis de utilizadores, se possível, bem como a desativação/revogação de perfis inativos
- Adotar alarmística que permita identificar situações de acesso, tentativas ou utilização indevida;
- Definir, numa fase inicial, as melhores práticas de segurança de informação a adotar, quer em fase de desenvolvimento de software, quer em fase de testes de aceitação, considerando em particular:
os princípios de proteção de dados desde a conceção e por defeito, análises de risco do tratamento e do ciclo de vida dos dados, métodos de pseudonimização e anonimização dos dados –mesmo quando o sistema é desenvolvido e mantido por subcontratante(s);
- Realizar auditorias de segurança de Tecnologias de Informação e avaliações de vulnerabilidade (testes de penetração) sistemáticos, para que os utilizadores possam ter conhecimento das próprias fragilidades e para que as organizações consigam monitorizar os alvos mais frágeis e invistam em formação com conteúdo específico e direcionado, de acordo com as vulnerabilidades detetadas;
- Verificar se as medidas de segurança definidas estão em prática, garantindo que são eficazes e atualizando-as regularmente, especialmente quando o processamento ou as circunstâncias se alteram, incluindo as que são implementadas pelos subcontratantes nos tratamentos de dados;
- Documentar e corrigir as vulnerabilidades de segurança detetadas sem demora;
- Tomar as medidas necessárias para garantir o pleno cumprimento do artigo 33.º do RGPD, em particular no que diz respeito ao desenvolvimento de uma política interna para lidar e documentar eventuais violações de dados pessoais;
- Fomentar junto dos colaboradores uma cultura de privacidade e segurança da informação, para que cada colaborador esteja capacitado para reconhecer potenciais ameaças e agir em conformidade, e como forma de reduzir a ocorrência e o impacto do erro humano;
- Dar a conhecer aos trabalhadores o dever de confidencialidade a que estão sujeitos pelo facto de tratarem dados pessoais;
- Avaliar periodicamente as medidas de segurança, técnicas e organizativas, internas e proceder à sua atualização e revisão sempre que necessário.
Para mais detalhe em relação a termos relacionados com o RGPD click aqui e contate-nos.
Iremos continuar a proceder à publicação de artigos sobre a temática das medidas técnicas e organizativas.
Está disponível uma oferta complementar de E-Learning para “Implementação e Gestão do RGPD” criada por Especialistas em Privacidade certificados pelo IAPP e com dezenas de implementações realizadas. Este curso combinam a elevada qualidade com um preço extremamente competitivo (a partir de 250€ por pessoa ao seu ritmo ) que pode consultar em https://mydataprivacy.eu/formacao-rgpd-curso-completo-de-implementacao-e-gestao/ e Para consultar mais informação sobre a privacidade e RGPD, aceda ao nosso blog Blog MyDataPrivacy sobre Proteção de Dados (RGPD)2