Inicio Tags Proteção de dados

Tag: proteção de dados

“A informação é um dos bens mais preciosos que qualquer organização tem”

O Mês Europeu da Cibersegurança é comemorado durante o mês de outubro, pelo sexto ano consecutivo, com diversos eventos e atividades. A Redshift – Consulting irá promover, de alguma forma, o mês dedicado à cibersegurança?

Do ponto de vista empresarial temos participado em iniciativas com sessões de esclarecimento ou de motivação para questões relacionadas com a cibersegurança.

Temos algumas atividades em curso com algumas empresas que irão promover ações de motivação junto dos seus colaboradores e com a nossa colaboração junto de associações, com apresentações direcionadas a grupos de empresas de sectores como agroalimentar e industrial por exemplo. As questões relacionadas com a cibersegurança são transversais a todos os setores.

Hoje, mais do que nunca, empresas como a Redshift – Consulting, assumem um papel preponderante junto das empresas e do cidadão comum?

Trabalhamos para empresas e entidades e não tanto para o cidadão comum, muito embora contribuamos para o crescimento da empresa e, consequentemente, dos seus colaboradores, em questões relacionadas com a cibersegurança. Trabalhamos para que o tecido empresarial e o Estado tenham uma maior maturidade neste âmbito.

Alguns exemplos são ações de sensibilização que temos feito com especial enfoque na problemática do Phishing e do Roubo de Identidades.

“A cibersegurança é uma matéria de todos”, pelo que o objetivo é aumentar o conhecimento e a utilização de boas práticas de todos. Nós, utilizadores e colaboradores de organizações, sabemos “estar” no mundo da Internet?

A segurança de uma nação depende de todos. Todos contribuímos, quer como cidadãos, quer como empresários ou colaboradores, para a cibersegurança. Sendo o tecido empresarial o ponto de contacto da Redshift, contactamos com o cidadão comum quando prestamos sessões de esclarecimento ou a promoção da cibersegurança nas empresas, cultivando, o sentido de responsabilidade junto de todos.

É frequente constatarmos a resistência à adoção das políticas de segurança da empresa por parte dos colaboradores e as sessões de esclarecimento ilustradas com exemplos práticos são extremamente impactantes por evidenciarem a sofisticação e os recursos utilizados pelo cibercrime que em ações de engenharia social podem até utilizar os seus familiares.

No entanto, para o cidadão comum, essa responsabilidade cabe ainda muito mais ao Estado, quer seja o Ministério da Educação nas escolas, quer seja entidades como o Centro Nacional de Cibersegurança que promove atividades importantes para chegar à sociedade em geral.

Quais são os maiores perigos que podem surgir para as empresas quando a proteção de dados, em termos informáticos, é negligenciada?

Tudo isto é uma questão geracional. As pessoas que estão mais desprotegidas ou desligadas das questões relacionadas com a cibersegurança são as que estão incluídas na faixa etária dos 30-55, que, embora sejam cultas do ponto de vista de sistemas de informação, estão pouco motivadas para a questões referentes a proteção de dados. As gerações mais novas começam a ter mais sentido de responsabilização e preocupação em não se exporem demasiado na Internet. Mais uma vez, terá de ser o Estado a ter um papel mais próximo destas gerações, promovendo a sensibilização para estas questões e uma maior divulgação de informação. Negligenciar a proteção de dados pode ter para as empresas como consequência, para além das pesadas coimas, o dano na sua reputação e, com cada vez maior frequência, perdas financeiras, de facto, de elevado valor.

O processo de transformação digital em curso está a ser impulsionado por novas ofertas digitais. Na sua opinião, que desafios ainda estão por advir?

A transformação digital é ela própria um problema se não for bem liderada dentro das organizações, colocando desafios à organização se a mesma não estiver devidamente preparada. A transformação digital pode acarretar graves problemas, quer na proteção de dados, quer na segurança, implicando, por isso mesmo, uma estrutura rigorosa dentro da empresa relativamente ao acesso aos sistemas. Uma empresa deve conseguir saber, com precisão, quem acede aos sistemas e porquê. Esta é uma informação essencial para fazer cumprir os regulamentos da proteção de dados e para proteger a própria empresa. Qualquer um de nós, enquanto colaboradores de uma empresa, deve ter em atenção, não só a proteção dos interesses da organização, como também a proteção dos interesses dos clientes que tem os seus dados armazenados na empresa. Este é apenas um dos diversos desafios que a transformação digital acarreta, pois esta formação ou consciencialização para a proteção de dados não existe. As organizações têm, portanto, de fazer um forte investimento em tecnologias que permitam controlar a forma como a informação, que é um dos bens mais preciosos que qualquer organização tem, é produzida, manuseada e utilizada. O ponto fulcral é, sem dúvida, a formação do capital humano.

Nos últimos quatro anos, devido a grandes acontecimentos relacionados com a segurança e a perda de informação por parte de entidades impactantes no seio da sociedade, as empresas têm procurado a Redshift em forma de prevenção para melhorar os seus sistemas. Situações como a exposição do Facebook ou as eleições americanas trouxeram alguma consciencialização para problemas que já existiam, mas que não tinham a devida atenção dentro das empresas. A frase mais ouvida “isto acontece só aos outros” tem vindo a desmoronar, devido em muito pela atividade das empresas de cibersegurança no mercado, mas também pelo aumento da preocupação por parte do Estado em relação a esta matéria. No entanto, como costumo referir, em Portugal ainda estamos no início, falta fazer muito em questões de cibersegurança. Não temos um nível de maturidade razoável, quer no ponto de vista de cibersegurança, quer no ponto de vista de proteção de dados.

Portugal tem vindo a crescer nesta matéria. Vemos novas empresas de cibersegurança a surgir todos os dias, novas possibilidades e novas tecnologias que, aliadas ao esforço do Estado, têm melhorado em muito a ideia do que é a cibersegurança e a importância da proteção de dados dentro das organizações.

A Redshift tem vindo a trabalhar para melhorar o contexto de maturidade de segurança dentro de organizações do setor público e privado, para responder a dois vetores, fundamentalmente: o receio de que a entidade possa ser atacada ou porque já sofreu um ataque de cibersegurança. Infelizmente não raramente, quando entramos para ajudar e para implementar sistemas de proteção, acabamos por detetar ataques em curso ou passados, mais ou menos complexos, para os quais as entidades ainda não estão preparadas para perceber o impacto. Muitas não sabem que já estão a ser alvos de ataques. Só se apercebem do ataque quando este tem impacto, como a perda de informação ou da sua reputação.

E se os dados pessoais que a sua organização armazena forem mais valiosos do que o seu core business?

No início do mês de Agosto, os Hospitais CUF sofreram um ataque informático com ransomware. Este tipo de ataques é cada vez mais frequente e os possíveis danos causados são cada vez mais difíceis e custosos de resolver. Um ataque com ransomware significa um ataque em que todos os dados de uma

organização, ou parte deles, ficam encriptados e, só depois de pago um resgate, volta a ter total acesso aos mesmos. Há ainda casos em que, e mesmo depois de pago o resgate, as organizações continuam sem acesso aos dados, aumentado ainda mais as repercussões à organização

Podemos pensar que um ataque destes não tem grande implicação na reputação de uma organização, caso se consiga restaurar o acesso à informação, seja por efetuar o pagamento ou por contramedidas, no entanto não podemos esquecer que no caso de falha na recuperação dos dados, a reputação da organização poderá ser arruinada, e até mesmo sofrer repercussões legais devido ao RGPD, às novas regras e consequências que dele advêm.

De acordo com o regulamento, se e quanto ocorrer um ataque a uma organização, seja ele de que tipo, esta tem prazos e procedimentos que deve cumprir para informar as autoridades e os titulares de dados da ocorrência do ataque: o que está a ser feito para minimizar danos, a integridade dos dados e que dados foram comprometidos. Mesmo antes que ocorram ataques, há procedimentos e ações que devem ser implementadas com o intuito de proteger, ao máximo, os dados pessoais que a organização guarda e processa. As consequências não se ficam pelas coimas, há que ter em conta a reputação e posicionamento no mercado.

O RGPD e a Cibersegurança devem andar de mãos dadas, mas a implementação do Regulamento não se deve cingir ao departamento de |T de uma organização, deve ser abraçado por todos os departamentos e as medidas de proteção devem ser implantadas no dia-a-dia da organização, tal como devem ser as medidas e boas práticas de cibersegurança, porque o melhor ataque é sempre a prevenção e, até porque “estar compliant” com o RGPD não significa que não se poderá sofrer ataques, significa somente que os danos causados por um ataque poderão ser menores e que a organização estará melhor preparada e organizada para uma resposta inicial a qualquer incidente.

As organizações podem e devem fazer tudo ao seu alcance para se proteger.

Há muitas alterações e práticas que, ao serem adotadas no dia a dia operacional, acabam por minimizar as hipóteses que um ataque em grande escala aconteça e, acima de tudo, as organizações devem ter presente que todas estas práticas devem ser adotadas como um todo e não somente por um departamento ou por algumas pessoas de cada departamento.

Algumas soluções como a formação periódica em cibersegurança e RGPD dos colaboradores, a adoção de um manual de normas para a criação e manutenção de passwords, boas práticas na utilização do email, login e logoff de sessões, implementar um sistema de double factor authentication para logins, obter certificações de segurança, efetuar penetration tests periódicos para verificar a integridade do sistema, são algumas das muitas medidas que ajudam na prevenção e segurança da integridade da organização.

Desengane-se quem acha que os ataques ocorrem somente através de websites ou emails. Os pontos de acesso de uma organização não são sempre os mais óbvios ou comuns.

É por tudo isto que a Dayzero aposta em soluções integradas onde junta o know how e a tecnologia, bem como a formação da própria organização, para garantir o máximo de sucesso na segurança e integridade dos sistemas dos seus clientes.

E, neste sentido irá promover um Webinar Gratuito no próximo dia 18 de Setembro onde assuntos como a Cibersegurança, boas práticas e o RGPD serão abordados e onde apresentaremos os nossos mais recentes produtos e soluções.

 

Nuno Godinho, Managing Partner da Dayzero

Será a sua empresa ciber segura?

A CA4BC está no mercado desde 2013, é especializada em serviços de consultoria na área de segurança de informação, proteção de dados e continuidade de negócio e conta com consultores com uma vasta experiência.  Estivemos à conversa com Cecília Soares, CEO e Paulo Gonçalves, Sócio, que explicaram o trabalho que têm desenvolvido junto de PME’s e alguns organismos ou empresas de grande dimensão.

Na sequência da segurança de informação vem todo um conjunto de temas relacionados com a cibersegurança e com a proteção de dados.

Cibersegurança prevê que as empresas se preparem para ataques desta natureza. A confidencialidade é uma das características dos dados (um determinado dado pode ou não ser confidencial). Os dados pessoais são, pela sua natureza, confidenciais.

“Uma empresa nunca pode garantir que os ataques não aconteçam. O que têm de fazer é estar preparadas para que se acontecer estejam protegidas o mais possível para defender os seus ativos (pessoas, instalações, dados)”, comenta Cecília Soares, que acrescenta que “algumas estão bem preparadas como por exemplo os bancos. Aquelas que não têm obrigatoriedade legal ou regulação existe um pouco de tudo”.

Por isso o RGPD é visto como uma excelente oportunidade para as empresas que nunca se preocuparam com estas questões e para muitos empresários que se pautaram pela dificuldade em aceitar a mudança.

Paulo Gonçalves explica que “a análise do risco não é feita. Alguns empresários desvalorizam esta questão. Temos trabalhado bastante fora dos grandes centros e no interior do país onde existem muitas empresas dedicadas à produção e cujo objetivo é não parar a produção. Existem empresas que começaram os processos de certificação por exigências externas (clientes ou exportação) e que depois chegaram à conclusão de que toda a reestruturação lhes trouxe muitas vantagens e acordaram, assim, para alguns riscos que corriam sem todo aquele processo”.

Os custos são um obstáculo para o investimento em segurança

O não ter dinheiro para investir, aliado à descrença de que lhes pode acontecer, são as maiores razões que levam as empresas a negligenciarem a segurança. “Isto passa muito por mudar a cultura da empresa, por mais medidas técnicas que se implementem e que custam bastante ao nível do investimento financeiro. Na maioria das vezes, formar os funcionários é uma mudança essencial e que faz toda a diferença e que, além disso, acarreta menos custos. Se formos comparar os preços para implementar medidas técnicas com a formação que é necessária dar aos colaboradores, verificamos que não fica assim tão caro”, afirma a CEO da CA4BC.

“Estamos a sofrer uma mudança superinteressante no tecido empresarial português. Fora das grandes cidades, vemos um fenómeno extraordinário a acontecer: aqueles patrões, que criaram a empresa, algumas com cariz familiar, e que, por isso, têm uma ligação emocional muito forte e a nova geração que chega com ideias diferentes. Apesar do choque geracional, chegam a verificar que estas novas gerações, com outras qualificações, trazem ideias realmente inovadoras, e estas estão a receber o devido valor”, elucida Paulo Gonçalves.

Não é possível evitar um ataque mas há que preveni-lo para que as consequências sejam as menos nefastas. As organizações deverão assim estar cientes de que é apenas uma questão de tempo até sofrerem um ataque bem-sucedido. Depois de um ataque, aquilo que é medido e que garantirá a continuação do sucesso da organização é a capacidade de resposta, através da minimização do impacto no seu negócio.

“Há cerca de dez anos quando se falava em certificação de qualidade as pessoas consideravam irrelevante, não era prioritário. Hoje quando dizemos que somos certificados isso já é um carimbo de qualidade e por vezes normal”, refere Paulo Gonçalves.

Para muitos empresários a cibersegurança ainda é uma realidade distante. Outro fator distinto é o nível de digitalização de cada empresa. Quanto menos informatizados, maior o desinteresse. Porém, é pertinente que entendam que a segurança informática é importante porque sem ela todos sofrem consequências.

Cecília Soares alerta que qualquer empresa que sofra um ataque tem como consequência direta o abalo da sua reputação. Este é um peso que não é mensurável. Gera desconfiança em parceiros, clientes ou fornecedores. Por outro lado, e para avaliar o grau de impacto que uma empresa pode ter, é necessário analisar os processos de negócio, quais os mais críticos, que sistemas de informação é que estão associados, e qual a exposição de cada um ao mundo exterior.

Em caso de ataque, o que vem a seguir?

Na sequência de um ataque cibernético, as empresas preparadas deverão seguir os seus planos de resposta ao incidente, coordenado por um plano de gestão de crise da organização e complementado com a execução de planos de recuperação, dependendo dos danos sofridos.

O que fazer para se preparar?

É realizado um estudo que começa por avaliar os processos de negócio dentro de uma organização que são mais críticos – aqueles que sofram algum dano e que possam fazer parar a empresa, parar o negócio. São identificados os sistemas de informação que os suportam e são avaliados de forma a perceber, para cada um, qual o grau de exposição a ataques cibernéticos.

Tudo isto é avaliado, incluindo tempos de paragem, de reparação e quanto custa todo este tempo e outras consequências, como faturação que se perde ou que não se ganha, indeminizações que têm de ser pagas, legislação que não se cumpriu e penalizações – ou seja, tudo isto é traduzido de uma forma financeira.

“Explicar isto a uma empresa que está a crescer é muito complicado e exige delicadeza da nossa parte. A melhor forma é fazer analogias com exemplos do dia-a-dia para que eles absorvam o impacto que as consequências poderão ter”, refere Paulo.

“O interesse maior destas pessoas é continuar a trabalhar e por isso tirar tempo deles para formação ou mudança de procedimentos é difícil. Felizmente depois de lhes explicarmos eles entendem bem a necessidade”, completa Cecília.

Portugal vs Europa

“Portugal, assim como todos os outros países do sul da Europa são muito diferentes dos restantes, sendo que a Alemanha está particularmente à frente”, revela a CEO, que explica que “o sul da Europa é caracteristicamente mais resistente à mudança, mas por outro lado conseguem responder muito bem e de forma improvisada”.

O norte da europa caracteriza-se, portanto, como mais metódico e com estratégias muito bem definidas e estruturadas. “Estudam todos os cenários possíveis e por isso, caso aconteça alguma coisa, seguem os planos que têm preparados e são mais rápidos na resposta”, conclui Cecília.

Pouco ou muito informatizada, grande ou pequena, qualquer empresa pode ser alvo de um ataque. As consequências podem, no seu limite, terminar com o ciclo de vida das organizações e, por isso, vale a pena tentar perceber o que se pode fazer dentro das possibilidades.

Facebook: DECO vai a tribunal exigir indemnizações por uso de dados

© Lusa

“Vamos avançar com uma ação em tribunal contra o Facebook. O nosso objetivo é garantir que os portugueses com conta naquela rede social sejam indemnizados pelo uso massivo e indevido dos seus dados”, avança a DECO em comunicado.

A DECO sublinha que o fundador do Facebook, Mark Zuckerberg, prometeu às associações de consumidores de Portugal, Brasil, Bélgica, Espanha e Itália que iria avaliar a atribuição de uma compensação às pessoas cujos dados tenham sido abusivamente utilizados por outras aplicações que operam na rede social.

“Até agora não recebemos uma proposta, pelo que vamos avançar para tribunal”, afirma a associação.

Com o apoio da Universidade de Madrid, a DECO estimou o valor da indemnização que cada português deveria receber nestas situações, bastando para o cálculo indicar o ano de adesão ao Facebook.

Segundo os cálculos da associação, um consumidor que esteja registado no Facebook desde 2010 poderá ter direito a 200 euros de indemnização.

“Os consumidores devem ter o controlo dos seus dados, saber exatamente para que finalidade são usados e obter uma parte justa do valor criado pelas empresas que os utilizam”, defende a DECO.

Para a associação de defesa dos consumidores, o escândalo da Cambridge Analytica “parece ser apenas a ponta do icebergue de um modelo económico com base na partilha e mau uso de dados”.

Em 07 de abril, a Comissão Europeia anunciou que o Facebook admitiu que os dados de “até 2,7 milhões” de utilizadores daquela rede social a residir na União Europeia possam ter sido transmitidos de “maneira inapropriada” à empresa britânica Cambridge Analytica.

Três dias antes, Mark Zuckerberg tinha admitido que a consultora Cambridge usou os dados de mais de 87 milhões de perfis, a maioria nos Estados Unidos, sem a autorização dos visados.

De acordo com uma fonte oficial da rede social norte-americana, a consultora pode ter acedido a dados de cerca de 63.080 utilizadores do Facebook em Portugal.

LUSA

Novas regras de proteção de dados pessoais entram hoje em vigor

Regulamento Geral de Proteção de Dados (RGPD) reforça os direitos dos cidadãos e introduz sanções que podem ir, nos casos mais graves, até 20 milhões de euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.

Nos casos menos graves de violação dos dados pessoais, as coimas podem ir até dez milhões de euros ou 2% do volume de negócios anual a nível mundial.

Os cidadãos têm de dar consentimento explícito para que os seus dados pessoais sejam usados — e para que fim — e que saber que podem pedir para estes serem apagados a qualquer momento.

O regulamento europeu tem aplicação direta em Portugal e entra em vigor hoje, mesmo sem estar pronta a lei nacional que o regulamenta.

A aplicação do RGPD carece de legislação nacional que o adapte à realidade de cada país, e em Portugal a proposta de lei elaborada pelo Governo vai ainda ser discutida pelos deputados na especialidade.

A proposta do Governo português define uma isenção de multas para o setor público.

O Governo argumentou, na proposta de lei entregue ao parlamento, que o regulamento estava pensado para proteger os cidadãos europeus das multinacionais que fazem negócio com os dados pessoais.

O regulamento está em vigor há dois anos, mas começa a ser aplicado hoje.

LUSA

Contisystems: O seu Gestor de Comunicação com os clientes

Duarte Conceição, CEO da Contisystems há cerca de três meses, já exerce funções na empresa há mais de uma década. Por isso mesmo, as mudanças introduzidas no rumo deste projeto empresarial passaram por reforçar a visão e a missão recentes da Contisystems. “Queremos alcançar a excelência, a qual se consegue continuando a inovar, enquanto gestores da comunicação dos nossos clientes, com a garantia de que cumprimos o que nos comprometemos a fazer”, começa por realçar o nosso entrevistado. Os desafios são constantes e acarretam a necessidade de inovar continuamente. A equipa sabe que cada cliente tem uma ecossistema próprio e que isso  ajuda a crescer, aprender e inovar. “São cenários diferentes que nos fazem pensar diferente e fazer diferente. É com orgulho que partilhamos o sucesso das inovações com os nossos clientes”, refere.

Foi a pensar nesta necessidade de constante inovação que foi criada uma equipa de gestão intermédia. Constituída por cerca de dez pessoas de diferentes áreas, esta equipa de gestão permite à Contisystems dar uma resposta eficiente nos diferentes domínios. “A par da criação de divisões especializadas para cada uma das áreas de negócio, a constituição desta equipa de gestão é a mudança mais significativa que implementámos. Os resultados têm sido animadores, quer do ponto de vista de garantia de serviço aos nossos clientes, quer no domínio de processos internos e de criação de valor”, afirma Duarte Conceição.

DESAFIOS DA TRANSFORMAÇÃO DIGITAL

Os processos de transformação digital são transversais a todas as empresas dos diferentes setores.

Na Contisystems as mudanças que estão a ser introduzidas procuram ir ao encontro dos desafios da transformação digital, mas não só. Estas mudanças visam essencialmente corresponder às necessidades dos clientes, à missão e visão da empresa, bem como às novas práticas de gestão. “A transformação digital é, de facto, um driver que nos obriga a inovar e a desenvolver novos produtos e a repensar os modelos de negócio”, refere Duarte Conceição.

A Contisystems é mais do que uma empresa business-to-business, onde decorrem transações comerciais entre empresas. É, se assim se pode dizer, uma empresa “business-to-business-to-consumer” porque engloba as transações entre empresas e consumidor final. “Temos, por isso, a responsabilidade de comunicar com o consumidor final dos nossos clientes, atendendo aos seus canais preferenciais de comunicação”, acrescenta o nosso entrevistado.

O crescimento da empresa assenta quer na exploração de novos mercados no negócio tradicional, quer no desenvolvimento da área digital que já tem um contributo muito significativo no volume de negócios.

A Contisystems já se reinventou na sua história em três momentos: quando evoluiu de impressão gráfica offset de grande volume para a impressão de dados variáveis; no momento em que começou a personalizar cartões bancários; e, por fim, em 2015, com o lançamento de uma plataforma multicanal de gestão de comunicação com Clientes, onde se incluem serviços de desmaterialização de documentação, arquivo digital, criação de documentos dinâmicos, etc.

“A nossa equipa procura, agora, preparar uma empresa para os próximos 50 anos, deixando um conjunto de boas práticas de gestão e de inovação para continuar a crescer. Para isso, temos de nos transformar continuamente e adquirir a capacidade de nos adaptar às diferentes velocidades dos setores de negócio onde atuamos”, adianta Duarte Conceição.

LIDERANÇA E GESTÃO DE PESSOAS

A valorização do capital humano é algo que já faz parte do ADN da Contisystems. Contudo, atualmente, existe “uma maneira diferente de olhar para as pessoas”. A empresa preocupa-se com cada um dos seus colaboradores pelo que o foco da Contisystems tem sido a aposta na sua formação e na gestão de talento. Quando questionado sobre as características fundamentais que um gestor de equipa deve ter, Duarte Conceição não hesita: “o mais difícil não é gerir um processo ou garantir a execução do mesmo, mas sim garantir que a equipa funciona em sintonia. Temos de olhar para a equipa como um todo e garantir que há capacidade e vontade para fazer acontecer de forma articulada”.

CONNOSCO, A INFORMAÇÃO ESTÁ SEGURA

A proteção de dados, bem como o cumprimento das mais rigorosas práticas de segurança, é algo “natural” e que esteve sempre presente no percurso da Contisystems.

A Contisystems oferece flexibilidade e agilidade aos seus clientes na logística de entrega de comunicações com segurança ao consumidor final, através de canais físicos e digitais, e com a garantia de que o consumidor final encontrará sempre a mesma informação, apresentada de forma coerente e dirigida de forma personalizada. Isto porque a Contisystems sabe que cada mercado e cada empresa tem o seu cenário tecnológico e a sua estratégia de comunicação. “Temos soluções flexíveis que nos permitem ajustar a diferentes cenários tecnológicos, mercados e estratégias de comunicação”.

Para cumprir com as necessidades de suporte, bem como requisitos legais de armazenamento, os documentos gerados são guardados no data centre da Contisystems.

Quando questionado sobre o impacto do RGPD na Contisystems, Duarte Conceição mostra-se tranquilo “Naturalmente que estamos a ajustar alguns processos mas a proteção de dados sempre foi nossa preocupação, estamos preparados para suportar os nossos Clientes no cumprimento do regulamento”.

www.contisystems.pt

Organizações não estão preparadas para as novas regras de proteção de dados

As regras para proteção de dados pessoais vão mudar já no dia 25, mas tanto o Estado como a generalidade das empresas parecem estar mal preparados. Um simples envio de emails com contactos de terceiros será uma violação da lei. A mudança de hábitos é inevitável, até porque o valor das coimas assim o obriga. O Estado está isento de penalizações.

Operadoras atualizam políticas de privacidade devido à nova lei de dados

Questionadas pela Lusa, a Vodafone, a NOS e a Altice admitiram que o RGPD cria “novos desafios” às companhias, mas as operadoras que representam a maioria do mercado asseguram que já estão a adotar medidas para cumprir a nova legislação. A Lusa também contactou a Nowo, que não respondeu até ao momento.

Relativamente à Vodafone, a operadora disse à Lusa que “uma das principais mudanças que o regulamento traz prende-se com o reforço da informação que já hoje é disponibilizada aos clientes no que diz respeito à proteção dos seus dados pessoais e ao exercício dos seus direitos”, tendo levado a companhia a “adaptar o seu processo de recolha de permissões para a utilização dos dados”.

A empresa está, por isso, a aplicar um “plano abrangente que inclui os vários pontos de contacto” para dar conta alterações às políticas de privacidade, nomeadamente através da página da internet, de carta ou de mensagem de texto, indicou a empresa à Lusa.

Até agora, segundo a Vodafone, “o processo está a decorrer dentro da normalidade e não há registo de aumento de contactos relativamente ao tema”.

Por seu lado, a operadora NOS explicou que tem “desenvolvido todos os esforços necessários para garantir o respeito pelos direitos dos titulares dos dados pessoais e a conformidade dos produtos e serviços que presta”, razão pela qual tem estado a contactar (através de e-mail, carta e mensagem de texto) os clientes para os informar “de forma clara”, solicitando ainda permissões para aplicar as novas políticas de privacidade.

“Para melhor levarmos a cabo o nosso compromisso, as medidas, direitos e obrigações plasmados no RGPD […] estão a ser endereçadas pela empresa, através de uma equipa de trabalho alargada e multidisciplinar com o objetivo de assegurar o cabal cumprimento da legislação”, notou a companhia.

Já a Altice Portugal, dona da Meo, admitiu que o novo regulamento “acarreta novos desafios para a generalidade das empresas e em especial para as que operam no mercado das comunicações eletrónicas”.

Ainda assim, assegurou que “se encontra preparada para garantir que, no momento em que o regulamento se tornar plenamente aplicável, todos os tratamentos de dados que efetua (clientes/utilizadores/colaboradores/bem como os seus subcontratados) cumprirão os novos requisitos”.

Como exemplo de medidas já adotadas, a Altice aludiu às formações dadas aos colaboradores.

À semelhança das outras duas operadoras, a Altice disse estar a utilizar o seu ‘site’ para disponibilizar “informação sobre as novas cláusulas alteradas”, estando ainda a enviar “informação de enquadramento” na fatura de abril (eletrónica e em papel).

As três empresas apontaram à Lusa que, apesar da mudança, já tinham em prática medidas de proteção dos dados.

Em resposta enviada à Lusa, a Associação dos Operadores de Comunicações Eletrónicas (Apritel) observou que o RGPD “levanta desafios de grande relevo” ao setor, uma vez que são tratados “grandes volumes de dados e informações pessoais”.

Porém, segundo a Apritel, as companhias “estão empenhadas no cumprimento do RGPD e têm vindo a dedicar a maior atenção a este tema de forma transversal nas suas organizações, através de equipas multidisciplinares que têm endereçado e operacionalizado todas as questões que lhe estão associadas, e realizado os desenvolvimentos técnicos e de sistemas necessários”.

O RGPD, que entra em vigor em 25 de maio, vai exigir que as empresas da União Europeia que lidem com o tratamento ou armazenamento de dados pessoais prestem informação sobre o tratamento, conservação e transferência desses mesmos dados.

As regras europeias preveem multas até 20 milhões de euros ou 4% do volume de negócios a grandes empresas no caso de infrações à lei consideradas contraordenações muito graves.

LUSA

Primeira formação 100% dedicada à legislação de Proteção de Dados em Portugal

smart city and wireless communication network abstract image visual internet of things

A APDPO promove a primeira formação 100% dedicada à legislação de Proteção de Dados em Portugal e a adaptação do RGPD à legislação Portuguesa, com a especialista Drª. Inês Oliveira.

As inscrições estão abertas até 17 de novembro.

Veja o programa:

  1. Visão global da legislação europeia – continuidades e novidades do Pacote Proteção de Dados
  2. O RGPD – atores, obrigações, direitos e transferências de  dados
  3. As Orientações do GT do Art. 29 (setores que necessitam de DPO; DPO’s; portabilidade de dados; Autoridade de Controlo)
  4. Outros Regulamentos da União Europeia relacionados com a proteção de dados
  5. Diretivas relacionadas com a proteção de dados e privacidade
  6. O impacto da legislação europeia nas funções do DPO – Bases para um futuro Código Profissional

Para mais informações, sobre o programa e inscrições, consulte a página web da APDPO Portugal.

Facebook multado em Espanha

“A agência declara a existência de duas infrações graves e uma muito grave por incumprimento da lei de proteção de dados e impõe ao Facebook uma multa total de 1,2 milhões de euros”, de acordo com um comunicado da instituição à imprensa.

Os dados sobre ideologia, sexo, crenças religiosas, gostos pessoais ou navegação são recolhidos diretamente, mediante a interação com os serviços ou desde páginas de terceiros sem que o usuário seja informado sobre a utilização e finalidade que o Facebook vai dar aos mesmos, segundo a AEPD.

A agência sublinha que a empresa norte-americana não obtém um consentimento “inequívoco, específico e informado” dos utilizadores para tratar os seus dados e que a informação que oferece não é adequada.

Por outro lado, esses dados pessoais também não são cancelados na sua totalidade quando deixam de ser úteis para o fim para que foram recolhidos, nem quando os usuários solicitam explicitamente a sua eliminação.

A AEPD também constatou que a rede social trata dados “especialmente protegidos” com fins publicitários sem ter obtido o consentimento expresso dos utilizadores, assim como é exigido pelas normas de proteção de dados.

A rede social Facebook tem a partir de agora dois meses para recorrer da multa.

EMPRESAS