Inicio Tags Novo RGPD

Tag: Novo RGPD

Novos desafios sobre a proteção de dados

Muitas dúvidas ainda pairam sobre as novas normas europeias que entraram em vigor a 25 de maio. Nomeadamente no que diz respeito à videovigilância e o Novo Regulamento de Proteção de Dados (RGPD), as normas são claras?

Em primeiro lugar importa referir que existe muita desinformação. Relativamente à videovigilância, ficou claro já não ser necessário pedir autorização e pagar qualquer taxa à Comissão Nacional de Proteção de Dados (CNPD) para implementar ou alterar um sistema de videovigilância. No entanto, uma entidade pública ou privada que o pretenda fazer tem agora de avaliar se está a cumprir o RGPD e ter capacidade de demonstrar que o cumpre. Ora, isso não é tarefa fácil sem orientação adequada. Também por essa razão, tal como defendi na minha dissertação de mestrado sobre esta temática, é premente a produção de uma lei geral sobre a utilização de sistemas de videovigilância em Portugal.

No âmbito do cumprimento do RGPD o que muda no tratamento de dados pessoais com recurso a sistemas de videovigilância, assim como sobre o controlo de acessos e de assiduidade com recurso ao tratamento de dados biométricos?

Em espaços privados, a videovigilância apenas pode ter como finalidade a proteção de pessoas e bens. Isso não mudou. Por outro lado, à partida, é proibido o tratamento de dados biométricos, visto que o RGPD passou a incluir estes dados nas categorias de dados especiais, ou seja, no denominado grupo de dados sensíveis. Este grupo engloba, por exemplo, dados relativos à saúde, como ainda, dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas. Como os dados são sensíveis, as regras são mais apertadas, mas já o eram anteriormente. No entanto, o RGPD prevê que os Estados-Membros possam legislar no sentido de autorizar o tratamento de dados biométricos, particularmente em contexto laboral. Falta a publicação da legislação que se encontra em fase de apreciação no parlamento e que indicia vontade de permitir o tratamento de dados biométricos com a finalidade de controlo de acessos e de assiduidade. Importa ainda não esquecer a clarificação dos limites a impor aos responsáveis pelo tratamento e, por outro lado, em contexto laboral, há que acautelar a impossibilidade de interconexão de dados biométricos com dados obtidos com recurso a sistemas de videovigilância.

O controlo no local de trabalho de diferentes formas, desde o GPS ao controlo de utilização das TIC, passando pela videovigilância e pela biometria estão entre o conjunto de motivos que levam os portugueses a reclamarem mais junto da Comissão Nacional de Proteção de Dados (CNPD), assim como a utilização indevida ou sem consentimento de dados pessoais. Que principais desafios enfrentam agora as empresas de segurança privada relativamente à videovigilância?

Tomar medidas para que não se justifique a apresentação de reclamações por parte dos titulares dos dados, sejam estes, clientes, trabalhadores ou outros, é um dos principais objetivos que estabeleço nas entidades onde desempenho funções de Consultor ou Encarregado da Proteção de Dados. Relativamente às empresas de segurança privada, para além das denominadas empresas instaladoras de sistemas de segurança, como é o caso da videovigilância, sendo entidades subcontratadas, passam a ter maior responsabilidade em caso de incumprimento do RGPD. É agora necessário estabelecer cláusulas contratuais específicas perante os seus clientes, vinculando estas entidades ao cumprimento das novas regras impostas pelo RGPD. Este passo, para além dos procedimentos que têm de ser adotados internamente para cumprir os contratos assumidos, constituem os principais desafios.

Nós, comuns cidadãos, o que precisamos de saber? A formação e informação é suficiente para todos (colaboradores das empresas e cidadãos)?

Há um longo caminho a percorrer. Precisamos todos de saber que temos direitos em matéria de proteção de dados pessoais. Cabe à CNPD divulgar informação de forma clara para todos entenderem as matérias em causa. Cabe igualmente aos responsáveis das entidades públicas ou privadas a formação dos seus trabalhadores, não só para demonstrar transparência como para evitar eventuais sanções por tratamentos ilícitos.

Na sua investigação, “Novos desafios sobre a proteção de dados”, faz referência à necessidade de existir um cuidado especial das entidades públicas e privadas na formação, informação e consciencialização dos colaboradores para o cumprimento rigoroso dos direitos dos titulares dos dados pessoais. Este é o ponto fulcral, a formação e preparação do humano?

Efetivamente, é esse o caminho. Se forem criados procedimentos internos, mas os trabalhadores que possam ter parte ativa nos diversos tratamentos de dados não receberem formação para os seguir e não os souberem interpretar adequadamente, esses procedimentos nunca serão cumpridos. Há ainda que informar e consciencializar, de forma contínua, para que os objetivos previamente estabelecidos sejam atingidos.

PERFIL | Jorge Martinez Batalha

Mestre em Segurança de Informação e Direito no Ciberespaço

Investigador do CICPRIS em Proteção de Dados Pessoais

Consultor-Formador

Encarregado da Proteção de Dados (DPO)

Uma visão integrada da gestão de segurança da informação

A PGM Consultores marca presença no mercado há cerca de 15 anos, sendo um importante player no âmbito da consultoria em diversos serviços. Desta forma, qual tem sido a evolução da marca ao longo destes 15 anos e quais as principais características da mesma que perpetuam uma dinâmica de confiança e satisfação perante o cliente?

A PGM tem uma história de 15 anos de trabalho em parceria com os clientes, numa relação de máxima confiança e com o propósito de ajudar o cliente a desenvolver competências internas, diferenciadoras das dos seus concorrentes, tendo sempre em consideração que cada cliente é único, seja pela atividade ou pela cultura interna. São estes valores que nos garantem a fidelização dos clientes e a solicitação e recomendação de novos serviços.

Que marcos no percurso da empresa podem ser destacados?

Os marcos da PGM são os dos seus clientes, sendo que esses são tão relevantes para a PGM como o são para cada cliente e que podem passar por conseguir a certificação de um Sistema de Gestão da Segurança da Informação (ISO 27001), num prazo de cinco meses.

A PGM destaca como marco relevante o reconhecimento pela PECB enquanto entidade formadora, o que lhe permite disponibilizar cursos de formação com reconhecimento internacional em áreas como sejam a da Segurança da Informação.

Apresentar uma visão integrada da gestão de segurança da informação, de sistemas de informação (SI) e da cibersegurança, é algo complicado em Portugal?

Sem dúvida. na maior parte das organizações ainda não são tratados estes três pilares de forma consistente e integrada. Sendo a segurança da informação mais abrangente, deviam as empresas iniciar a identificação da informação relevante e crítica para a organização e implementar os níveis de segurança e controlo no âmbito dos sistemas de informação e da Cibersegurança, na perspetiva de garantir a confidencialidade, a integridade e a disponibilidade da informação.

A nível nacional, como avaliam aquilo que está a ser feito a nível de Cibersegurança e do RGPD (Regulamento Geral de Proteção de Dados)? Acredita que a introdução do RGPD foi uma medida bem pensada e concretizada?

O RGPD veio alertar para a transmissão de dados pessoais e como podem estes ser um bem valioso para quem gere as bases de dados de contactos, sendo que os valores limites das coimas, ao contrário do que se passava na lei anterior, vieram fazer com que as empresas ficassem preocupadas e tomassem algumas medidas.

Em Portugal a medida está a ser atrasada pela falta da publicação da legislação de implementação do RGPD e pelo facto da CNPD ainda não ter sido formalmente nomeada “Autoridade de Controlo”. como tal, temos um vazio legal.

E sobre a cibersegurança? É importante aumentar o conhecimento e a utilização de boas práticas de todos em relação à cibersegurança?

Claro que sim. numa sociedade cada vez mais dependente dos meios de comunicação, da ligação à internet disponível 24h/dia, em que uma operação pode ser realizada em qualquer local, é muito importante todos termos uma noção do risco que corremos com esses comportamentos. Por muitas medidas técnicas que se implementem, todas elas são insuficientes se o comportamento humano, em termos de Segurança da Informação, falhar.

Simples regras como a não partilha de códigos de acesso e passwords, a utilização de passwords robustas e de as mudar com alguma frequência ainda não são práticas existentes nas organizações.

A Cibersegurança exige um forte investimento? Este pode ser o maior desafio para as organizações? Qual o papel da PGM no domínio da cibersegurança e do RGPD?

A Cibersegurança exige algum investimento, maior ou menor em função do nível de risco a que a organização está exposta e do nível de risco residual que está predisposta a aceitar.

A PGM continuará a dar apoio na implementação de sistemas de gestão de segurança da informação, onde se inclui Cibersegurança e RGPD, de modo as organizações poderem reduzir o risco para níveis aceitáveis, com o mínimo investimento possível.

60% das PME’S abrem falência após um ataque cibernético, há consciência de forma generalizada sobre isto?

Não há, nem estão recetivas a falar sobre o assunto, pois acham que nunca lhes vai acontecer. As empresas deveriam ter Planos de Continuidade de Negócio, onde são avaliados os riscos e definidas medidas de mitigação e de continuidade de fornecimento do produto ou serviço ao cliente, minimizando o risco de encerramento ou de perda dos clientes, em caso de algum ataque cibernético ou de outro tipo.

Quais são os principais desafios da PGM de futuro? O que podemos esperar da marca?

Continuar a crescer na consultoria e auditorias dos Sistemas de Segurança da Informação (ISO 27001) e Continuidade de Negócio (ISO 22301), sendo cada vez mais uma empresa de referência nesta área pelo nível de serviço prestado.

Novo RGPD: Mais direitos para as pessoas singulares

SAMSUNG CAMERA PICTURES

O que será alterado, especificamente, com o novo Regulamento Geral de Proteção de Dados (RGPD), aplicável diretamente a partir de 25 de maio de 2018, e que vem substituir a atual diretiva e lei de proteção de dados pessoais?

Com efeito, o Novo Regulamento Geral de Proteção de Dados terá aplicação obrigatória a partir de 25 de Maio de 2018 em todos os Estados Membro da União Europeia (UE), revogando em Portugal a Lei n.º 67/98, que transpõe para a ordem jurídica interna a anterior Diretiva 95/46/CE. O Novo RGPD visa assegurar a aplicação coerente e homogénea das regras de defesa dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais, em toda a União Europeia. Nessa medida, o RGPD aplica-se a todas as pessoas singulares e coletivas que efetuem tratamento de dados pessoais a residentes na União Europeia.

São previstos novos direitos para as pessoas singulares titulares de dados, designadamente o direito a solicitar a retificação, o apagamento, a limitação ou até o direito de se opor ao tratamento dos seus dados pessoais. O titular dos dados pessoais tem o “direito a ser esquecido” pela entidade responsável pelo tratamento dos dados, bem como o direito à portabilidade dos seus dados. Os dados pessoais podem ser transmitidos diretamente entre os responsáveis pelo tratamento, sempre que tal seja tecnicamente possível.

Dada a experiência da sociedade de advogados Pereira Mouta Mendes & Associados, que aspetos considera que são mais importantes a ter em conta neste novo regulamento?

Este novo Regulamento tem como objetivo assegurar uma maior proteção às pessoas singulares titulares de dados pessoais. Por exemplo, o titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito. O titular dos dados tem ainda o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma similar.

É possível antecipar a forma de como Portugal e as empresas portuguesas responderão a estas mudanças?

As empresas portuguesas, na qualidade de responsáveis pelo tratamento de dados pessoais devem aplicar as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o novo Regulamento. Por exemplo, nos casos em que o tratamento de dados é efetuado com base em consentimento dos titulares, é necessário confirmar que tal consentimento reúne os requisitos de clareza, concisão e inteligibilidade exigidos pelo Novo Regulamento. A linguagem utilizada deve ser clara e acessível aos cidadãos, de modo a que todo o processo de transmissão de dados pessoais assuma maior transparência.

O regulamento será aplicado a todos os Estados-membros e a dados que circulem na União Europeia. Será este o maior desafio para os vários Estados e as suas empresas?

É um grande desafio para os vários Estados Membros da União Europeia e para as suas empresas, porque é necessário assegurar que em Maio de 2018 estas estejam em condições de cumprir com as novas exigências. Por exemplo, o responsável pelo tratamento de dados só poderá subcontratar um terceiro, que esteja em condições técnicas de assegurar a defesa dos direitos do titular dos dados. Por outro lado, desaparece a obrigação de notificação/autorização à CNPD, sendo que, os responsáveis pelo tratamento de dados têm de ser capazes de, a qualquer momento, demonstrar o cumprimento das exigências previstas no RGPD, sob pena de lhes serem aplicadas coimas até 20 milhões de euros ou 4% da faturação (o que for maior).

O encarregado de proteção de dados é uma das novidades, quais serão as suas principais funções? Na sua opinião esta é uma figura imprescindível?

O Encarregado de Proteção de Dados é designado sempre que o responsável pelo tratamento dos dados seja uma autoridade ou organismo público ou em atividades que exijam um controlo de dados em grande escala. O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados. Na minha opinião, trata-se de uma figura imprescindível, na medida em que, informa e aconselha a entidade responsável pelo tratamento dos dados, controla a conformidade dos procedimentos com o Novo Regulamento e coopera com a Autoridade de Controlo.

Segundo a diretiva da Comissão Europeia existirá uma DPIA – Data Privacy Impact Assessment – (Avaliação de Impacto sobre Proteção de Dados) um processo destinado a descrever o processamento de dados. O que será avaliado e de que forma?

O DPIA (Data Privacy Impact Assessment – Avaliação de Impacto da Privacidade de Dados) é um processo destinado a avaliar a necessidade e a proporcionalidade de um processamento de dados pessoais, com identificação dos riscos relacionados com o tratamento, à sua avaliação em termos de origem, natureza, probabilidade e gravidade, bem como à identificação das melhores práticas para a atenuação dos riscos.

EMPRESAS