A Comissão Nacional de Proteção de Dados (doravante CNPD) é a Autoridade de Controlo nacional em matéria de proteção de dados, por força das suas atribuições conferidas pelo Regulamento Geral de Proteção de Dados e pela Lei 58/2019, de 8 de agosto.
Devido aos crescentes ataques a sistemas de informação que têm vindo a afetar dados pessoais, especialmente no ano de 2022, a CNPD entendeu sensibilizar os responsáveis pelo tratamento, e os subcontratantes, para as suas obrigações no domínio da segurança do tratamento de dados pessoais, através da Diretriz 2023/1.
Foi apurado que os principais vetores de ataque têm sido a exploração das vulnerabilidades das infraestruturas e a falta de formação dos utilizadores para detetarem campanhas de phishing, o que por sua vez permite a distribuição de malware. Mas não apenas estes. A maior vulnerabilidade é a ausência de consciencialização dos responsáveis pelo tratamento para a necessidade de investir em mecanismos de segurança que evitem e protejam deste tipo de situações.
Em conformidade com o que foi apurado, a CNPD elencou algumas medidas técnicas e organizativas a adotar no tratamento de dados pessoais, que refere expressamente não serem taxativas, mas que aqui partilhamos pois que as consideramos mais relevantes.
Em primeiro lugar, no que se refere às medidas organizativas, destacamos:
– Definir e exercitar-se regularmente o plano de resposta a incidentes e recuperação de desastres, prevendo os mecanismos necessários para garantir a segurança da informação e a resiliência dos sistemas e serviços.
– Classificar a informação de acordo com o respetivo nível de confidencialidade e sensibilidade e adotar as medidas organizativas e técnicas adequadas à classificação.
A maior vulnerabilidade é a ausência de consciencialização dos responsáveis pelo tratamento para a necessidade de investir em mecanismos de segurança
– Documentar as políticas de segurança.
– Definir políticas de gestão e palavras-passe seguras, impondo requisitos para o tamanho, a composição e o armazenamento.
– Criar uma política de gestão de ciclo de vida dos utilizadores, para garantir que cada trabalhador só acede aos dados de que precisa para exercer as suas funções e que quando deixa a organização é desativado o seu perfil de acesso.
Em segundo lugar, e agora no que se refere às medidas técnicas, podemos dividi-las em:
-Autenticação;
-Infraestrutura e sistemas;
-Ferramenta de correio eletrónico;
-Proteção contra malware;
-Utilização de equipamentos em ambiente externo;
-Armazenamento de documentos em papel que contenham dados pessoais;
-Transporte de informação que integre dados pessoais.
Para cada uma destas categorias existem medidas sugeridas pela CNPD que devem ser aplicadas nas organizações, por forma a reforçar a segurança do tratamento de dados que efetuam. A evolução é permanente, pelo que a revisão destas medidas organizativas e técnicas também deve ter carácter regular, com vista a minimizar o risco para o tratamento de dados.
Em suma, as organizações devem rever as medidas técnicas e organizativas que aplicam por forma a minimizar o risco de uma qualquer violação de dados e, consequentemente, virem a ser sujeitas de um possível processo contraordenacional pela CNPD, minimizando em simultâneo o risco pelo pagamento de coimas que todos sabemos serem avultadas e suscetíveis de impactarem relevantemente a saúde financeira de estruturas empresariais menos robustas.
JOÃO PINTO DOS REIS
Advogado da JPAB – José Pedro Aguiar Branco Advogados
Especialista em Proteção de dados e Cibersegurança
