symbol Notícias
2
novembro 2017

RGPD

Será do conhecimento da maioria dos leitores deste artigo que no dia 4 de maio de 2016 a União Europeia publicou no seu jornal oficial um novo regulamento para a protecção de dados dos cidadãos da comunidade europeia (CE). Este regulamento entrou em vigor 20 dias depois, com um período de transição de dois anos, para que organismos e organizações se ajustem às suas exigências, entrando em cumprimento no dia 25 de maio de 2018.

O tema não é novo, existem leis de protecção de dados nos países da CE, mas o simples facto de 28 legislações diferentes concorrerem entre si num contexto de ecossistema europeu, não contribui para o desenvolvimento de um standard de negócio nem para a possibilidade de exercício dos direitos dos titulares dos dados.

Assim, havendo mudanças sensíveis face à legislação existente, estas são mais críticas para quem esteja a tomar contacto com o Regulamento Geral de Protecção de Dados (RGPD) desconhecendo as directrizes da actual (e em vigor) Lei de Protecção de Dados (67/98). Muitas das obrigações que a lei de Protecção de Dados impõe mantêm-se no RGPD, mas há tópicos novos que trazem a necessidade de acção urgente. Mais ainda porque o novo regulamento ePrivacy (complementa o RGPD com foco nas comunicações electrónicas) reforça as directrizes mestras do seu “irmão” mais mediático.

Como certamente já terão conhecimento das principais obrigações do RGPD, foco-me em três das medidas regulamentares para fazer a ponte para os benefícios colaterais do regulamento:

  • Segurança dos dados pessoais. O regulamento obriga a que, quer o responsável pelo tratamento (Data Controller) quer o subcontratante (Data Processor) apliquem medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado. As medidas vão desde o uso de pseudonimização e encriptação de dados, à demonstração da capacidade de assegurar os 4 princípios da segurança de informação: Confidencialidade, Integridade e Disponibilidade + Resiliência.
  • Processos que permitam ao responsável tratamento e subcontratante(s) testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.
  • Subcontratantes (uma das pedras de toque do RGPD) terão obrigações e responsabilidade directas, o que significa que podem ser directamente responsabilizados por quaisquer violações de dados. A responsabilidade fica contratualizada (entre subcontratante e responsável pelo tratamento), documentando o objeto e duração do tratamento, a natureza e finalidade, os tipos de dados pessoais e categorias dos titulares, as obrigações e direitos do responsável pelo tratamento.

(NdA: forma de corresponsabilizar os intervenientes do ecossistema, nomeadamente o industrial/empresarial no cumprimento do RGPD).

Olhando de forma holística para os 99 artigos do RGPD, o seu foco recai sobre um princípio: Accountability ou Responsabilização.

Podemos sentir-nos tentados a perguntar: após mais de 30 anos de uma inexorável caminhada da tecnologia, partindo do papel caneta e caves de dossiers, até à adopção da Cloud, Big Data e IoT, será que podemos garantir conhecimento dos dados que recolhemos, produzimos e processamos nas nossas organizações (pessoais, negócio, financeiros, etc.)? Sabemos a responder a:

  1. Que dados pessoais recolhemos e guardamos na nossa organização?
  2. Porque precisamos deles?
  3. Durante quanto tempo necessitamos de os ter na nossa posse?
  4. Onde estão guardados? Em que locais (incluindo backups, ambientes teste e desenvolvimento)?
  5. Quem tem acesso a estes dados? Todos precisam de ter acesso?

As respostas levam necessariamente a um conjunto colateral de dúvidas cujo esclarecimento serve de ponto de partida para as iniciativas necessárias à obtenção da conformidade regulamentar. Sendo um exercício potencialmente doloroso, é sem dúvida fundamental face aos desafios, e nenhuma tecnologia o pode fazer (no limite pode ajudar). No entanto, as boas notícias chegam quando analisamos os resultados, nomeadamente pela identificação de:

  • dados pessoais que já não necessitamos;
  • “shadow IT”, equipamentos e mesmo soluções completas que subsistem e que foram criadas no passado para responder a necessidades ocasionais, que foram depois descontinuadas ou nunca chegaram a cumprir a sua função, mas que armazenam dados (pessoais e de negócio);
  • que colaboradores têm efectivamente necessidade de acesso a dados pessoais, e quais os respectivos processos de processamento;
  • ineficiências no licenciamento de software;
  • ineficiência na utilização de armazenamento de dados face às reais necessidades (vai de acordo ao novo princípio da minimização dados);
  • equipamentos vulneráveis “invisíveis” aos administradores de TI;

Novas oportunidades de negócio trazem consigo mudanças, muitas vezes associadas à incorporação de novas tecnologias (logo novos riscos de Cibersegurança), que não sendo devidamente acautelados, tornam-se alvo de ciberameaças como a Ransomware ou espionagem industrial (ex. por Advanced Persistent Threats residentes). Assim, a adopção de frameworks de boas práticas de IT empresarial e de segurança de informação são cada vez mais um valor acrescentado.

Mas afinal o que tem a Cibersegurança a ver com o RGPD?

Como comecei por referir no início do artigo, entre outros impactos. A rentabilização destas medidas na consultoria novos processos, educação/treino dos colaboradores e também em tecnologia (q.b.) levará a mudanças na cultura empresarial, à responsabilização de cada um dos colaboradores para a sua missão e à conquista de oportunidades, que como escreveu Sun Tzu na sua obra épica, Art of War, ”In the midst of chaos there Is also opportunity”.

Assim, apenas para citar algumas:

1. Compliance is the new sexy

A conformidade regulamentar será naturalmente um factor de alavanca para novos negócios, parcerias e investimentos com organizações igualmente conformes, que só admitirão a colaboração interpares. A privacidade de dados é já critério diferenciador das atividades online em todos os verticais de negócio, não só no e-commerce. Haverá cada vez menos espaço para a colaboração com organizações menos transparentes e menos resilientes, sobretudo as que se mostrarem negligentes;


2. Harmonização organizacional, a destituiçãodas típicas “quintas” departamentais

O exercício de análise e identificação, dos dados actuais e dos seus fluxos nas organizações, permitir identificar o papel de cada interveniente nos diversos processos (RACI). A conformidade com o RGPD contribuirá para a dissolução destas barreiras invisíveis e catalisando a transparência, partilha de conhecimento e sinergias necessárias para responder aos desafios crescentes da competitividade e eficiência, ie, promovendo sinergias entre departamentos;

3. Diminuição e extinção de fluxos de dados maliciosos dentro da organização

O conhecimento e a documentação dos fluxos internos de dados, mapeados nos respectivos processos de negócio, permitem alertar para atividades suspeitas de dados na organização e especialmente para fora de portas (ex. DLPs). A melhoria da segurança dos sistemas de informação das organizações, da maturidade dos colaboradores, do conhecimento dos processos habituais, faz com que se torne muito mais complicado um atacante (interno ou externo) não ser detetado a comprometer (qualquer um dos atributos C.I.A + R) os dados da entidade (incluindo pessoais).

4. Risco, análise de risco e mitigação do Risco

Os diversos passos do processo de conformidade permitem conhecer a realidade dos dados nas organizações (localização, controlos, fluxos) o que permite a sua gestão efectiva. Quando temos na nossa posse os diversos fluxos de dados pessoais que processamos na organização (e/ou dados PII – dados pessoais identificáveis), as categorias de dados em que se enquadram, as medidas técnicas e organizativas a que estão sujeitos para a sua salvaguarda, temos os elementos necessários para a identificação do Risco. Definido o contexto, analisado e avaliado o Risco do processamento, podemos tratá-lo. Trata-se de um requisito fundamental para o Governance dos stakeholders.
Está nas nossas mãos potenciar oportunidade. E lembre-se do provérbio africano: “Se é religioso reze. Mas mexa os pés”.

Autor: Ricardo Pinto, profissional de informação empresarial, engenheiro de Electrónica e Telecomunicações de formação, pós-graduado em Gestão da Segurança da Informação com certificação europeia em Privacidade de Dados Pessoais (Data Protection Officer). Apaixonado pelos desafios da Cibersegurança e da Privacidade Digital na sociedade moderna. 

Neste texto
não foram aplicadas as regras do acordo ortográfico.