Avançar para o conteúdo
Recomendacoes da CNPD_Parte4_Diretris012023_MedTecOrg

Recomendações da CNPD relativa a medidas organizativas e de segurança – 4ª parte 

A CNPD emitiu orientações para as organizações sobre medidas de segurança que devem ser adotadas para minimizar as consequências para os direitos das pessoas quando há ataques a sistemas de informação.

Neste sentido, a CNPD aprovou a Diretriz/2023/1, de 10 de janeiro, sobre medidas organizativas e de segurança destinadas aos responsáveis pelos tratamentos e aos subcontratantes, pretendendo sensibilizá-los para as suas obrigações legais no domínio da segurança dos tratamentos e para a necessidade de realizarem um maior investimento nesta área.

Tendo em conta os crescentes ataques a sistemas de informação, verificados no último ano, que afetaram na sua grande maioria dados pessoais. Estes incidentes de segurança revelaram que se as organizações estivessem dotadas de medidas de segurança adequadas, os riscos teriam sido menores e o impacto nos direitos dos titulares dos dados mais reduzidos.

A CNPD elencou, então um conjunto de medidas organizativas e de medidas técnicas que devem ser consideradas pelas organizações nos seus planos de prevenção e de minimização dos riscos.

Como tal a equipa da MyDataPrivacy, vai proceder à publicação das respetivas recomendações, em seis partes, continuamos estas publicações acerca das informações referidas na diretriz acerca das Medidas técnicas e organizativas a adotar pelo responsável pelo tratamento e pelo subcontratante:

 

  • Ferramenta de correio eletrónico
  • Definir de forma clara e inequívoca políticas e procedimentos internos sobre o específico envio de mensagens de correio eletrónico contendo dados pessoais, que introduzam as verificações adicionais necessárias, no sentido de:
    • garantir a inserção dos endereços de correio eletrónico dos destinatários no campo ‘Bcc:’, nos casos de múltiplos destinatários;
    • prevenir erros na introdução manual de endereços de correio eletrónico;
    • assegurar que os ficheiros enviados em anexo contêm apenas os dados pessoais que se pretendem comunicar;
  • Equacionar a criação de listas de distribuição ou grupos de contacto, com o objetivo de prevenir a divulgação dos endereços dos destinatários em operações de envio massivo de mensagens de correio eletrónico;
  • Equacionar a criação de regras com o objetivo de adiar/atrasar a entrega de mensagens de correio eletrónico contendo dados pessoais, mantendo-as na ‘Caixa de Saída’ por um tempo determinado, permitindo verificações de conformidade, após clique em ‘Enviar’;
  • Encriptar com código, ao qual só o destinatário tenha acesso, os emails e/ou anexos enviados que contenham dados pessoais;
  • Confirmar com o destinatário, antes de envio de e-mail contendo dados pessoais, o endereço de e-mail preferencial para contacto;
  • Realizar ações de formação no sentido de capacitar os trabalhadores a operar os mecanismos de envio de mensagens de correio eletrónico de acordo com os procedimentos definidos, sensibilizando-os para os erros mais comuns, potencialmente suscetíveis de originar violações de dados pessoais e incentivando-os à dupla verificação;
  • Reforçar o sistema de alerta da ferramenta de alarmística utilizada pela entidade, para assegurar visibilidade imediata sobre a criação por utilizadores de regras de encaminhamento automático de e-mails para contas externas;
  • Reforçar o sistema com ferramentas antiphishing e antispam, que permitam bloquear ligações e/ou anexos com código malicioso;
  • Adotar controlos de segurança que permitam classificar e proteger as mensagens de correio eletrónico sensíveis.

 

Para mais detalhe em relação a termos relacionados com o RGPD click aqui e contate-nos.

Iremos continuar a proceder à publicação de artigos sobre a temática das medidas técnicas e organizativas.

Está disponível uma oferta complementar de E-Learning para “Implementação e Gestão do RGPD” criada por Especialistas em Privacidade certificados pelo IAPP e com dezenas de implementações realizadas. Este curso combinam a elevada qualidade com um preço extremamente competitivo (a partir de 250€ por pessoa ao seu ritmo ) que pode consultar em https://mydataprivacy.eu/formacao-rgpd-curso-completo-de-implementacao-e-gestao/ e Para consultar mais informação sobre a privacidade e RGPD, aceda ao nosso blog Blog MyDataPrivacy sobre Proteção de Dados (RGPD)

error: Content is protected !!