O RGPD especifica que os responsáveis pelo tratamento de dados e os subcontratantes têm de aplicar medidas técnicas e organizativas adequadas para garantir um nível de segurança dos dados pessoais adequado ao risco.
As seguintes informações estabelecem as precauções básicas que devem ser tidas em conta pelas organizações que tratam dados pessoais (ou seja, os responsáveis pelo tratamento de dados e os subcontratantes). Não tem por objetivo fornecer uma lista completa das medidas que podem ser aplicadas para proteger os dados pessoais em todos os contextos. Os responsáveis pelo tratamento de dados e os subcontratantes têm de adaptar estas medidas ao contexto (tendo em conta o estado da técnica, o contexto do tratamento e o risco para as pessoas singulares).
Segurança: o que está em jogo?
As consequências da falta de segurança podem ser graves: as empresas podem ver a sua imagem degradada, perder a confiança dos seus consumidores, ter de pagar grandes somas de dinheiro para recuperar de um incidente de segurança (por exemplo, na sequência de uma violação de dados) ou ter a sua atividade interrompida. Os dados pessoais seguros são do interesse tanto das pessoas singulares como das organizações que tratam os dados.
A fim de avaliar os riscos gerados por cada operação de tratamento, é aconselhável, em primeiro lugar, identificar o potencial impacto nos direitos e liberdades das pessoas em causa. Embora as organizações tenham de proteger os seus dados (pessoais ou não) para o seu próprio interesse, as seguintes informações centram-se na proteção dos dados dos indivíduos.
A segurança dos dados tem três componentes principais: proteger a integridade, disponibilidade e confidencialidade dos dados. Portanto, as organizações devem avaliar os riscos para o seguinte:
- acesso não autorizado ou acidental aos dados — violação da confidencialidade (por exemplo, roubo de identidade após a divulgação das folhas de pagamento de todos os trabalhadores de uma empresa);
- alteração não autorizada ou acidental de dados — violação da integridade (por exemplo, acusar falsamente uma pessoa de uma infração ou crime em resultado da alteração dos registos de acesso);
- perda de dados ou perda de acesso aos dados — violação da disponibilidade (por exemplo, não deteção de uma interação medicamentosa devido à impossibilidade de aceder ao registo eletrónico do doente).
É igualmente aconselhável identificar as fontes de risco (ou seja, quem ou o que pode estar na origem de cada incidente de segurança), tendo em conta fontes humanas internas e externas (por exemplo, administrador informático, utilizador, atacante externo, concorrente) e fontes não humanas internas ou externas (por exemplo, danos causados à água, materiais perigosos, vírus informáticos não visados).
Esta identificação das fontes de risco permitir-lhe-á identificar as potenciais ameaças (ou seja, que circunstâncias podem permitir a ocorrência de um incidente de segurança) em ativos de apoio (por exemplo, hardware, software, canais de comunicação, papel, etc.), que podem ser:
- utilizados de forma inadequada (por exemplo, abuso de direitos, erro de manuseamento);
- modificados (por exemplo, aprisionamento de software ou hardware — keylogger, instalação de malware);
- perdidos (por exemplo, roubo de um computador portátil, perda de uma chave USB);
- observados (por exemplo, observação de um ecrã num comboio, geolocalização dos dispositivos);
- deteriorados (por exemplo, vandalismo, deterioração natural);
- sobrecarregados (por exemplo, unidade de armazenamento completa, ataque de negação de serviço).
- indisponível (por exemplo, no caso de um ransomware).
Também é aconselhável:
- determinar as medidas existentes ou previstas para fazer face a cada risco (por exemplo, controlo do acesso, cópias de segurança, rastreabilidade, segurança das instalações, cifragem);
- estimar a gravidade e a probabilidade dos riscos, com base nos elementos acima referidos (exemplo de uma escala que pode ser utilizada para a estimativa: negligenciável, moderado, significativo, máximo);
- aplicar e verificar as medidas planeadas, se as medidas existentes e planeadas forem consideradas adequadas, assegurar a sua execução e acompanhamento;
- realizar auditorias periódicas de segurança: cada auditoria deve resultar num plano de ação cuja execução deve ser acompanhada ao mais alto nível da organização.
O RGPD introduz a noção de «avaliação de impacto sobre a proteção de dados (AIPD)», que é obrigatória para qualquer tratamento de dados pessoais suscetível de resultar em elevado risco para as pessoas singulares. Uma AIPD deve conter as medidas previstas para fazer face aos riscos identificados, incluindo garantias, medidas de segurança e mecanismos para assegurar a proteção dos dados pessoais.
Na prática
- Para ter uma visão mais clara dos riscos de segurança, pode, por exemplo, criar uma folha de cálculo de gestão de riscos e mantê-la regularmente atualizada. Esta folha de cálculo pode incluir riscos materiais e humanos relacionados com servidores, computadores ou instalações. Os riscos suficientemente antecipados podem ajudar a atenuar as consequências em caso de incidente.
Medidas organizativas
Sensibilização dos utilizadores
É essencial sensibilizar os trabalhadores ou os utilizadores que tratam dados pessoais para os riscos relacionados com a privacidade, informá-los das medidas tomadas para fazer face aos riscos e das potenciais consequências em caso de falha.
Na prática
A sensibilização dos utilizadores pode assumir a forma de:
- sessões de sensibilização;
- atualizações periódicas dos procedimentos relevantes para as funções dos trabalhadores e de quem manuseia dados;
- comunicação interna, através de lembretes de correio eletrónico, etc.
Outra precaução consiste em documentar os procedimentos operacionais, mantê-los atualizados e disponibilizá-los facilmente a todos Aqueles que manuseiam os dados em causa. Em termos concretos, qualquer atividade de tratamento de dados pessoais, quer se trate de operações administrativas ou da simples utilização de um pedido, deve ser explicada numa linguagem clara e adaptada a cada categoria de pessoas que manuseiam os dados, em documentos a que possam fazer referência.
Definir uma política interna
A sensibilização interna de quem manuseia os dados pode assumir a forma de um documento, que deve ser vinculativo e integrado na regulamentação interna. A política interna deve incluir, em especial, uma descrição das regras de proteção de dados e de segurança.
Outras medidas organizativas
- Implementar uma política de classificação de informações que defina vários níveis e exija que se assinalem os documentos e mensagens de correio eletrónico que contêm dados confidenciais.
- Colocar uma marca visível e explícita em cada página de um documento em papel ou eletrónico que contenha dados sensíveis.
- Realizar sessões de formação e sensibilização em matéria de segurança da informação. Os lembretes periódicos podem ser fornecidos por correio eletrónico ou através de outras ferramentas de comunicação interna.
- Prever a assinatura de um acordo de confidencialidade ou incluir uma cláusula de confidencialidade específica relativa aos dados pessoais nos contratos com trabalhadores e com outras pessoas que manuseiem dados.
Medidas técnicas
Equipamento seguro
A confiança na fiabilidade dos seus sistemas de informação é uma questão fundamental, e a implementação de medidas de segurança adequadas, que o RGPD tornou obrigatória, é uma das formas de o conseguir.
Em especial, é aconselhável garantir:
- hardware (por exemplo, servidores, postos de trabalho, computadores portáteis, discos rígidos);
- software (por exemplo, sistema operativo, software empresarial);
- canais de comunicação (por exemplo, fibra ótica, Wi-Fi, Internet);
- documentos em papel (por exemplo, documentos impressos, cópias);
- instalações.
Postos de trabalho seguros
Para garantir postos de trabalho seguros, poderão ser consideradas as seguintes ações:
- fornecer um mecanismo automático de bloqueio da sessão quando o posto de trabalho não for utilizado durante um determinado período de tempo;
- instalar software de firewall e limitar a abertura de portas de comunicação às estritamente necessárias ao bom funcionamento das aplicações instaladas no posto de trabalho;
- utilizar software antivírus regularmente atualizado e dispor de uma política de atualização regular do software;
- configurar software para atualizar automaticamente a segurança sempre que possível;
- incentivar o armazenamento de dados dos utilizadores num espaço de armazenamento objeto regular de cópias de segurança, acessível através da rede da organização, e não em postos de trabalho. Se os dados forem armazenados localmente, fornecer aos utilizadores possibilidade de sincronização ou de cópias de segurança e dê-lhes formação sobre como deve utilizá-loslimitar a ligação dos suportes móveis (dispositivos USB, discos rígidos externos, etc.) ao essencial;
- desativar o autorun dos meios amovíveis.
O que não fazer
- utilizar sistemas operativos obsoletos;
- conceder direitos de administrador a utilizadores que não possuam competências em matéria de segurança informática.
Para ir mais longe
- proiíba a utilização de aplicações descarregadas que não provenham de fontes seguras;
- limite a utilização de aplicações que exijam a execução de direitos a nível do administrador;
- apague de forma segura os dados de um posto de trabalho antes de o reatribuir a outra pessoa;
- no caso de um posto de trabalho estar comprometido, procure a fonte e qualquer vestígio de intrusão no sistema de informação da organização, a fim de detetar se outros elementos foram comprometidos;
- efetue a monitorização da segurança do software e do hardware utilizados no sistema de informação da organização;
- atualize aplicações quando tiverem sido identificadas e corrigidas vulnerabilidades críticas;
- instale atualizações críticas do sistema operativo sem demora, programando uma verificação automática semanal;
- divulgue a todos os utilizadores a linha de ação adequada e a lista de pessoas a contactar em caso de incidente de segurança ou acontecimento invulgar que afete os sistemas de informação e comunicação da organização.
Na prática
- O seu escritório tem um conceito de espaço aberto e tem muitos trabalhadores, mas também muitos visitantes. Graças a um bloqueio de sessão automático, ninguém fora da empresa pode aceder ao computador de um trabalhador em pausa ou ver no que está a trabalhar. Além disso, uma firewall e um antivírus atualizado protegem a navegação na Internet dos seus trabalhadores e limita os riscos de intrusão nos seus servidores. Quanto mais medidas forem postas em prática, mais difícil se torna para as pessoas com intenções maliciosas ou para um trabalhador negligente causar danos.
Proteger as instalações da empresa
O acesso às instalações deve ser controlado para impedir ou retardar o acesso direto e não autorizado aos ficheiros em papel ou aos equipamentos informáticos, nomeadamente aos servidores.
O que fazer
- instale alarmes de intrusão e verifique-os periodicamente;
- instale detetores de fumo e equipamento de combate a incêndios e inspecione-os anualmente;
- proteja as chaves utilizadas para aceder às instalações e aos códigos de alarme;
- distinga as áreas dos edifícios em função do risco (por exemplo, proporcione um controlo específico do acesso à sala de computadores);
- mantenha uma lista de indivíduos ou categorias de indivíduos autorizados a entrar em cada área;
- estabeleça regras e meios para controlar o acesso dos visitantes, no mínimo, tendo os visitantes acompanhados por uma pessoa da organização quando estão fora das áreas públicas;
- proteja fisicamente o equipamento informático com meios específicos (sistema específico de combate a incêndios, elevação contra eventuais inundações, alimentação redundante e/ou ar condicionado, etc.).
O que não fazer
Subdimensionar ou negligenciar a manutenção do ambiente da sala do servidor (ar condicionado, UPS, etc.). Uma avaria nestas instalações resulta frequentemente no encerramento das máquinas ou na abertura de acesso às salas (circulação do ar), o que neutraliza de facto as medidas de segurança.
Para ir mais longe
Pode ser adequado manter um registo do acesso a salas ou escritórios que detenham material que contenha dados pessoais que possa ter um impacto negativo grave nos titulares dos dados. Informe as pessoas que manuseiam os dados da implementação desse sistema, após informar e consultar os representantes do pessoal.
Além disso, assegure que apenas o pessoal devidamente autorizado seja autorizado a circular em zonas restritas. Por exemplo:
- no interior das zonas restritas, exija que todas as pessoas utilizem um meio de identificação visível (cartão);
- os visitantes (pessoal de apoio técnico, etc.) devem ter acesso limitado. A data e hora da sua chegada e partida devem ser registadas;
- reveja e atualize regularmente as permissões de acesso para proteger certas áreas e remova-as sempre que necessário.
Na prática
- A sua empresa é especializada em comércio eletrónico. Detém dados pessoais de clientes alojados em servidores em instalações separadas. A fim de garantir o acesso a estes dados, a entrada para estas instalações é protegida por um leitor de cartão. No entanto, um curto-circuito dá origem a um incêndio. Graças a um detetor de fumo, o corpo de bombeiros foi rapidamente alertado e foi capaz de limitar a perda de dados.
Autenticar utilizadores
Para garantir que os utilizadores acedem apenas aos dados de que necessitam, devem dispor de um identificador único e autenticar-se antes de utilizarem os serviços informáticos.
Os mecanismos para obter autenticação individual são categorizados de acordo com:
- o que sabemos, por exemplo, uma palavra-passe;
- o que temos, por exemplo, um cartão inteligente;
- uma característica específica da pessoa, por exemplo, a forma como uma assinatura manuscrita é desenhada.
A escolha do mecanismo depende do contexto e de diferentes fatores. A autenticação de um utilizador é considerada forte quando utiliza uma combinação de, pelo menos, duas destas categorias.
Na prática
- Para aceder a uma sala segura que contém informações confidenciais, pode instalar um leitor de cartões («o que temos») juntamente com um código de acesso («o que sabemos»).
Gerir as autorizações
Devem ser aplicados níveis diferenciados de perfis de autorização em função das necessidades. Os utilizadores só devem ter acesso aos dados com base na necessidade de conhecer.
Boas práticas em matéria de autenticação e gestão das autorizações:
- definir um identificador único para cada utilizador e proibir contas partilhadas por vários utilizadores. No caso de a utilização de identificadores genéricos ou partilhados ser inevitável, exigir a validação interna e implementar meios para os rastrear (logs);
- impor a utilização de regras suficientemente fortes em matéria de complexidade da palavra-passe (por exemplo, pelo menos 8 carateres, maiúsculas e carateres especiais);
- guardar palavras-passe de forma segura;
- eliminar as autorizações de acesso obsoletas;
- proceder a uma revisão periódica (por exemplo, de seis em seis meses);
O que não fazer
- criar ou utilizar contas partilhadas por várias pessoas;
- conceder direitos de administrador aos utilizadores que não necessitem deles;
- conceder a um utilizador mais privilégios do que o necessário;
- esquecer de remover as autorizações temporárias concedidas a um utilizador (por exemplo, para uma substituição);
- esquecer de eliminar as contas de utilizador de pessoas que deixaram a organização ou mudaram de emprego.
Para ir mais longe
Estabeleça, documente e reveja regularmente qualquer política de controlo de acesso, no que se refere aos tratamentos efetuados pela organização, que deve incluir:
- os procedimentos a aplicar sistematicamente à chegada, partida ou alteração de tarefas de uma pessoa com acesso a dados pessoais;
- as consequências para as pessoas com acesso legítimo aos dados em caso de incumprimento das medidas de segurança;
- medidas para restringir e controlar a atribuição e a utilização do acesso ao tratamento.
Na prática
- Quando um novo trabalhador se junta à empresa, tem de criar uma nova conta de utilizador dedicada com uma palavra-passe forte. Os trabalhadores não devem partilhar as suas credenciais uns com os outros, especialmente se não tiverem a mesma acreditação. Caso mudem de posição, devem ser revistas as respetivas permissões de acesso a determinados ficheiros ou sistemas.
Pseudonimizar dados
A pseudonimização é o tratamento de dados pessoais de tal forma que já não é possível atribuir os dados pessoais a uma pessoa singular específica sem o uso de informações adicionais. Essas informações adicionais devem ser mantidas separadamente e sujeitas a medidas técnicas e organizativas.
Na prática, a pseudonimização consiste em substituir, num determinado conjunto de dados, os dados de identificação direta (nome, nome próprio, número pessoal, número de telefone, etc.) por dados de identificação indireta (alias, número sequencial, etc.). Permite tratar os dados dos indivíduos sem ser capaz de identificá-los de forma direta. No entanto, é possível rastrear a identidade destes indivíduos graças aos dados adicionais. Como tal, os dados pseudonimizados continuam a ser dados pessoais e estão sujeitos ao RGPD. A pseudonimização também é reversível, ao contrário da anonimização.
A pseudonimização é uma das medidas recomendadas pelo RGPD para limitar os riscos associados ao tratamento de dados pessoais.
Leia mais
Encriptar dados
A criptografia é um processo que consiste em converter as informações em um código, a fim de impedir o acesso não autorizado. Estas informações só podem ser lidas novamente utilizando a chave correta. A criptografia é usada para garantir a confidencialidade dos dados. Os dados encriptados continuam a ser dados pessoais. Como tal, a criptografia pode ser considerada como uma das técnicas de pseudonimização.
Além disso, as funções hash podem ser utilizadas para garantir a integridade dos dados. As assinaturas digitais não só garantem a integridade como também permitem verificar a origem da informação e a sua autenticidade.
Anonimizar os dados
Os dados pessoais podem ser tornados anónimos de tal forma que o indivíduo não seja ou deixe de ser identificável. A anonimização é um processo que consiste em utilizar um conjunto de técnicas para tornar os dados pessoais anónimos de tal forma que se torne impossível identificar a pessoa por qualquer meio que seja razoavelmente provável de ser utilizado.
A anonimização, quando implementada corretamente, pode permitir-lhe utilizar os dados de uma forma que respeite os direitos e liberdades dos indivíduos. Com efeito, a anonimização abre o potencial de reutilização de dados que inicialmente não é permitido devido à natureza pessoal dos dados, podendo assim permitir que as organizações utilizem os dados para fins adicionais sem interferir com a privacidade dos indivíduos. A anonimização também permite manter os dados além do período de conservação.
Quando a anonimização é executada corretamente, o RGPD deixa de se aplicar aos dados anonimizados. No entanto, é importante ter em conta que a anonimização dos dados pessoais na prática nem sempre é possível ou fácil de alcançar. Há que avaliar se a anonimização pode ser aplicada aos dados em causa e mantida com êxito, tendo em conta as circunstâncias específicas do tratamento dos dados pessoais. Muitas vezes, seriam necessários conhecimentos jurídicos ou técnicos adicionais para concretizar com êxito a anonimização em conformidade com o RGPD.
Como verificar a eficácia da anonimização?
As autoridades europeias de proteção de dados definem três critérios para garantir que um conjunto de dados é verdadeiramente anónimo:
- Individualização: não deve ser possível isolar informações sobre um indivíduo no conjunto de dados.
- Correlação: não deve ser possível ligar elementos de dados separados relativos ao mesmo indivíduo.
- Inferência: não deve ser possível deduzir, com quase certeza, informações sobre um indivíduo.
Na prática
- Individualização: numa base de dados de CV em que apenas o primeiro e o último nome de uma pessoa foram substituídos por um número (que corresponde apenas a essa pessoa), continua a ser possível individualizar uma determinada pessoa com base noutras características. Neste caso, os dados pessoais são considerados pseudonimizados e não anonimizados.
- Correlação: uma base de dados que contenha as moradas das pessoas não pode ser considerada anónima se outras bases de dados, existentes noutros locais, contiverem essas mesmas moradas com outros dados que permitam a identificação de pessoas.
- Inferência: se um conjunto de dados supostamente anónimo contiver informações sobre a responsabilidade fiscal dos respodentes a um questionário e todos os inquiridos do sexo masculino com idades compreendidas entre os 20 e os 25 anos não forem tributáveis, então pode inferir-se que um respondente específico é ou não tributável, quando a sua idade e género são conhecidos.
Leia mais
Situações específicas
Medidas de segurança para o teletrabalho
No contexto do teletrabalho, é necessário garantir a segurança dos dados tratados, respeitando simultaneamente a privacidade das pessoas.
O que fazer:
- Emita uma política de segurança do teletrabalho ou, pelo menos, um conjunto de regras mínimas a respeitar, e comunique este documento aos trabalhadores de acordo com a sua regulamentação interna;
- Se precisar de alterar as regras de negócio do seu sistema de informação para permitir o teletrabalho (por exemplo, alterar as regras de autorização, acesso remoto do administrador, etc.), tenha em conta os riscos envolvidos e, se necessário, tome medidas para manter o nível de segurança;
- Equipe todos os postos de trabalho dos seus trabalhadores com, pelo menos, uma firewall, software antivírus e uma ferramenta para bloquear o acesso a sites maliciosos. Se os empregados puderem utilizar o seu próprio equipamento, forneçar orientações para o proteger (ver «Medidas de segurança para o BYOD»);
- Configure uma VPN para evitar a exposição direta dos seus serviços à Internet sempre que possível. Ative a autenticação VPN de dois fatores, se possível;
- Forneça aos seus trabalhadores uma lista de comunicações e ferramentas de colaboração adequadas para o trabalho remoto, que garantam a confidencialidade dos intercâmbios e partilhas de dados.Escolha ferramentas que controle e assegure-se de que fornecem, pelo menos, autenticação de última geração e encriptação de comunicações e que os dados em trânsito não são reutilizados para outros fins (melhoria do produto, publicidade, etc.). Alguns softwares de consumo podem transmitir dados do utilizador a terceiros e, por conseguinte, são particularmente inadequados para utilização empresarial.
Medidas de segurança para BYOD (Traga o seu próprio dispositivo)
Com o desenvolvimento do BYOD, especialmente nas PME, a fronteira entre a vida profissional e a vida pessoal está a desaparecer. Mesmo que a BYOD não represente, por si só, um tratamento de dados pessoais, continua a ser necessário garantir a segurança dos dados.
O acrónimo «BYOD» significa «Bring Your Own Device» e refere-se ao uso de equipamento de computador pessoal em um contexto profissional. Um exemplo disto seria um trabalhador que utiliza equipamento pessoal, como um computador, tablet ou smartphone para se ligar à rede da empresa.
A possibilidade de utilizar ferramentas pessoais é, em primeiro lugar, uma questão de escolha do empregador e da legislação nacional. O RGPD exige que o nível de segurança dos dados pessoais tratados seja o mesmo, independentemente do equipamento utilizado. Os empregadores são responsáveis pela segurança dos dados pessoais da sua empresa, incluindo quando estes são armazenados em terminais sobre os quais não têm controlo físico ou legal, mas cuja utilização autorizaram a aceder aos recursos informáticos da empresa.
Os riscos contra os quais é essencial proteger a sua organização vão desde um ataque pontual à disponibilidade, integridade e confidencialidade dos dados até um compromisso geral do sistema de informação da empresa (intrusão, vírus, etc.).
Exemplo de lista de verificação
Um exemplo de como pode ser uma lista de verificação para melhorar o nível de segurança em vigor na sua organização:
- Informar e educar regularmente as pessoas que manuseiam os dados sobre os riscos relacionados com a privacidade.
- Estabelecer uma política interna e conferir-lhe força vinculativa
- Aplicar a proteção de dados desde a conceção e por defeito
- Certificar-se de que os dados tratados são adequados, pertinentes e limitados ao necessário (minimização dos dados)
- Aplicar uma política de classificação da informação para dados confidenciais
- Assinalar especificamente os documentos que contêm dados sensíveis
- Realizar sessões de formação e sensibilização em matéria de segurança da informação, juntamente com lembretes periódicos.
- Assinar um acordo de confidencialidade com os seus trabalhadores ou incluir nos contratos cláusulas de confidencialidade específicas
- Garantir bloqueio automático de sessão, firewall atualizada e antivírus, armazenamento de cópias de segurança para os utilizadores
- Limitar a ligação física (dispositivos USB, discos rígidos externos, etc.) ao essencial
- Proteger as instalações da empresa (por exemplo, alarmes de intrusão, detetores de fumo, chaves protegidas, sala distinta de acordo com o risco, autorizações de acesso a áreas específicas, sistema de combate a incêndios dedicado)
- Dar um identificador único a cada utilizador
- Exigir autenticação para aceder a serviços informáticos
- Gerir autorizações (por exemplo, perfis separados de acordo com as necessidades, identificador único, palavras-passe fortes)
- Emitir uma política de segurança no teletrabalho
- Remover permissões de acesso obsoletas
- Proceder a uma revisão periódica das autorizações
- Pseudonimizar ou anonimizar dados para limitar a reidentificação de indivíduos
- Encriptar dados para impedir o acesso não autorizado
- Instalar uma VPN para teletrabalho
- Certificar-se de que os dispositivos pessoais utilizados para o trabalho são seguros (BYOD)