
Recomendações da CNPD relativa a medidas organizativas e de segurança – 5ª parte
A CNPD emitiu orientações para as organizações sobre medidas de segurança que devem ser adotadas para minimizar as consequências para os direitos das pessoas quando há ataques a sistemas de informação.
Neste sentido, a CNPD aprovou a Diretriz/2023/1, de 10 de janeiro, sobre medidas organizativas e de segurança destinadas aos responsáveis pelos tratamentos e aos subcontratantes, pretendendo sensibilizá-los para as suas obrigações legais no domínio da segurança dos tratamentos e para a necessidade de realizarem um maior investimento nesta área.
Tendo em conta os crescentes ataques a sistemas de informação, verificados no último ano, que afetaram na sua grande maioria dados pessoais. Estes incidentes de segurança revelaram que se as organizações estivessem dotadas de medidas de segurança adequadas, os riscos teriam sido menores e o impacto nos direitos dos titulares dos dados mais reduzidos.
A CNPD elencou, então um conjunto de medidas organizativas e de medidas técnicas que devem ser consideradas pelas organizações nos seus planos de prevenção e de minimização dos riscos.
Como tal a equipa da MyDataPrivacy, vai proceder à publicação das respetivas recomendações, em seis partes, continuamos estas publicações acerca das informações referidas na diretriz acerca das Medidas técnicas e organizativas a adotar pelo responsável pelo tratamento e pelo subcontratante:
- Proteção contra malware
- Utilizar encriptação segura especialmente no caso de credenciais de acesso, de dados especiais, de dados de natureza altamente pessoal8 ou de dados financeiros;
- Criar um sistema de cópias de segurança (backup) atualizado, seguro e testado, totalmente separado das bases de dados principais e sem acessibilidade externa ( Grosso modo, os dados pessoais relacionados com condenações penais e infrações (cf. artigo 10.º do RGPD) ou com dimensões da vida privada e familiar).
- Reforçar o sistema com ferramentas antimalware que inclua a capacidade de o verificar e detetar, bem como o bloqueio em tempo real de ameaças do tipo ransomware.
- Utilização de equipamentos em ambiente externo
- Armazenar dados em sistemas internos, protegidos com medidas de segurança apropriadas, e acessíveis remotamente através mecanismos de acesso seguro (VPN);
- Permitir acessos apenas por VPN;
- Bloquear as contas após várias tentativas inválidas de login;
- Ativar a autenticação multifator para os utilizadores dos equipamentos;
- Aplicar cifragem dos dados no sistema operativo;
- Sempre que for aplicável, ativar a funcionalidade de “remote wipe” e “find my device”;
- Efetuar cópias de segurança automáticas das pastas de trabalho, quando o equipamento se encontra ligado à rede da entidade;
- Definir regras claras e adequadas para a utilização de equipamentos em ambiente externo.
- Armazenamento de documentos em papel que contenham dados pessoais
- Utilizar papel e impressão que seja durável;
- Conservar documentação em local com controlo de humidade e temperatura;
- Armazenar, devidamente organizados, os documentos que contêm dados pessoais sensíveis em local fechado, resistente ao fogo e inundação;
- Controlar os acessos, com registo das respetivas data e hora, de quem acede e do(s) específico(s) documento(s) acedido(s).
- Destruir os documentos através de equipamento específico que garanta a destruição “segura”;
- Transporte de informação que integre dados pessoais
- Adotar medidas para impedir que, no transporte de informação com dados pessoais, estes possam ser lidos, copiados, alterados ou eliminados de forma não autorizada;
- Utilizar encriptação segura no transporte, em dispositivos de massa ou arquivo potencialmente permanente (CD/DVD/PEN USB).
Para mais detalhe em relação a termos relacionados com o RGPD click aqui e contate-nos.
Iremos continuar a proceder à publicação de artigos sobre a temática das medidas técnicas e organizativas.
Está disponível uma oferta complementar de E-Learning para “Implementação e Gestão do RGPD” criada por Especialistas em Privacidade certificados pelo IAPP e com dezenas de implementações realizadas. Este curso combinam a elevada qualidade com um preço extremamente competitivo (a partir de 250€ por pessoa ao seu ritmo ) que pode consultar em https://mydataprivacy.eu/formacao-rgpd-curso-completo-de-implementacao-e-gestao/ e Para consultar mais informação sobre a privacidade e RGPD, aceda ao nosso blog Blog MyDataPrivacy sobre Proteção de Dados (RGPD)