
Recomendações da CNPD relativa a medidas organizativas e de segurança – 6ª parte
A CNPD emitiu orientações para as organizações sobre medidas de segurança que devem ser adotadas para minimizar as consequências para os direitos das pessoas quando há ataques a sistemas de informação.
Neste sentido, a CNPD aprovou a Diretriz/2023/1, de 10 de janeiro, sobre medidas organizativas e de segurança destinadas aos responsáveis pelos tratamentos e aos subcontratantes, pretendendo sensibilizá-los para as suas obrigações legais no domínio da segurança dos tratamentos e para a necessidade de realizarem um maior investimento nesta área.
Tendo em conta os crescentes ataques a sistemas de informação, verificados no último ano, que afetaram na sua grande maioria dados pessoais. Estes incidentes de segurança revelaram que se as organizações estivessem dotadas de medidas de segurança adequadas, os riscos teriam sido menores e o impacto nos direitos dos titulares dos dados mais reduzidos.
A CNPD elencou, então um conjunto de medidas organizativas e de medidas técnicas que devem ser consideradas pelas organizações nos seus planos de prevenção e de minimização dos riscos.
Como tal a equipa da MyDataPrivacy, finaliza a publicação das respetivas recomendações, com as conclusões apresentadas:
- Os responsáveis pelo tratamento e os subcontratantes são incentivados a definir antecipadamente e a colocar em prática planos de prevenção, para que possam proteger os seus sistemas e infraestrutura e ter mecanismos prontos a detetar uma violação de dados pessoais e mitigar rapidamente os efeitos negativos sobre os direitos dos respetivos titulares. Esse plano de resposta a incidentes deve incluir uma avaliação do risco para estas pessoas singulares, que permita ao responsável pelo tratamento concluir se deve notificar a violação de dados, quer à autoridade de controlo, quer aos titulares dos dados afetados.
- A informação necessária para notificar a autoridade de controlo pode ser fornecida por fases, mas isso não exclui a obrigação de o responsável pelo tratamento agir em tempo útil para dar resposta à violação de dados pessoais.
- Assim, ao abrigo do artigo 57.º, n.º 1, alínea d), do RGPD, a CNPD recomenda ao responsável pelo tratamento, bem como ao subcontratante (com as devidas adaptações), que adote medidas de segurança elencadas na presente diretriz, consoante o que for adequado às características e sensibilidade dos tratamentos de dados pessoais efetuados e às especificidades da sua organização, com vista a dar cumprimento às obrigações previstas no artigo 32.º, n.ºs 1 e 2, do RGPD, quanto à segurança do tratamento de dados pessoais.
Para mais detalhe em relação a termos relacionados com o RGPD click aqui e contate-nos.
Iremos continuar a proceder à publicação de artigos sobre a temática das medidas técnicas e organizativas.
Está disponível uma oferta complementar de E-Learning para “Implementação e Gestão do RGPD” criada por Especialistas em Privacidade certificados pelo IAPP e com dezenas de implementações realizadas. Este curso combinam a elevada qualidade com um preço extremamente competitivo (a partir de 250€ por pessoa ao seu ritmo ) que pode consultar em https://mydataprivacy.eu/formacao-rgpd-curso-completo-de-implementacao-e-gestao/ e Para consultar mais informação sobre a privacidade e RGPD, aceda ao nosso blog Blog MyDataPrivacy sobre Proteção de Dados (RGPD)