Quais as principais fundamentações para as coimas RGPD?

Analisámos as 50 sanções aplicadas pelas autoridades de controlo europeias e concluímos que o artigo 5º (Princípios relativos ao tratamento de dados pessoais) e o artigo 32º do RGPD (Segurança do tratamento) são as principais fontes de inconformidade. Outra conclusão que podemos retirar é sobre o valor médio das coimas que é relativamente reduzido. Tal parece demonstrar que o RGPD não é uma ação persecutória contra as grandes multinacionais americanas e que as pequenas e médias organizações devem procurar ativamente a conformidade.

A coima de 300 euros aplicada pela autoridade de controlo austríaca a uma pessoa individual por o sistema de videovigilância da sua viatura também apanhar a via pública exemplifica bem a aplicação de coimas de reduzido valor. Ainda que o artigo 2º do RGPD ponto 2, alínea c) refira que o regulamento não se aplica ao tratamento de dados pessoais efetuados por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas, a autoridade de supervisão seguiu a jurisprudência do Tribunal de Justiça da União Europeia (Acordão F. Rynes de 2014) que considera que a vigilância sobre o espaço público não pode ser considerada uma atividade pessoal ou doméstica.

Utilizámos como fonte o “GDPR Enforcement Tracker” (aqui) e expurgámos o caso CNIL/Google (coima de 50 milhões de euros) por ser um caso singular que enviesa a realidade retratada pelos restantes casos.

É importante sublinhar as limitações da nossa fonte de informação (“GDPR Enforcement Tracker”) designadamente devido ao facto de muitas sanções não serem tornadas publicas. Contudo, o “GDPR Enforcement Tracker” é, atualmente, a melhor fonte de informação. Por exemplo, conforme se pode ver aqui, na Alemanha ocorreram 100 coimas e no “GDPR Enforcement Tracker” contam-se 8 coimas alemãs.

Segundo o referido site as coimas alemãs tiveram o seguinte perfil:

Continue reading “Quais as principais fundamentações para as coimas RGPD?”

Checklist para Segurança da Informação

Avalie o nível de segurança dos dados pessoais na sua organização recorrendo à lista de verificação que a CNIL (autoridade para a proteção de dados pessoais de França) inseriu no seu Guia para a Segurança da Informação (aqui).††

LISTA DE VERIFICAÇÃO PARA A SEGURANÇA DA INFORMAÇÃO

1 – Sensibilização dos utilizadores

  • Informar e sensibilizar quem trata dados pessoais
  • Politica de segurança da informação escrita e sua aplicação devidamente imposta

2 – Autenticação

  • Um “login” (identificador) único para cada utilizador
  • Política de “passwords” conforme com as regras de segurança estabelecidas
  • Obrigação de alterar convenientemente a “password” sempre que o sistema impuser a sua alteração
  • Limitar o número de tentativas de acesso a um “login” de utilizador

3 – Gestão de Acessos

  • Definir perfis de acesso
  • Remover permissões de acesso obsoletas
  • Anualmente efectuar uma revisão geral aos acessos autorizados

4 – Registos de Acessos e Gestão de Incidentes

  • Implementar um sistema de “logging”
  • Informar os utilizadores da implementação do sistema de “logging”
  • Proteger o sistema de “logging” e a informação registada
  • Implementar os procedimentos de notificação de violação de dados pessoais

5 – Segurança das Estações de Trabalho

  • Implementar um procedimento de bloqueio automático da sessão
  • Utilização sistemática de software antivírus devidamente actualizado
  • Utilização sistemática de software firewall
  • Obtenha consentimento do utilizador antes de intervir na sua estação de trabalho

6 – Informação nos Dispositivos Móveis

  • Implementar medidas de encriptação para os dispositivos móveis
  • Sistematizar backups e sincronizações com periodicidade regular
  • Desbloqueamento de smartphones somente com informação confidencial

7 – Proteção da Rede Interna

  • Limitar o tráfego da rede interna ao estritamente necessário
  • Acesso dos dispositivos remotos somente através de VPN
  • Nas redes Wi-Fi implementar os protocolos WPA ou WPA2-PSK

8 – Segurança dos Servidores

  • Acesso a ferramentas e interfaces de administração de sistemas reservado a pessoas qualificadas
  • Instalar as actualizações criticas com a maior brevidade possível
  • Assegurar a disponibilidade dos dados

9 – Segurança dos Websites

  • Usar o protocolo TLS e verificar a sua implementação
  • Assegurar que nenhuma “password” ou identificador é transferido via “URLs”
  • Verificar que os inputs do utilizador correspondem ao que é esperado
  • Colocar um “banner” de consentimento correspondente aos “cookies” não requeridos pelo serviço

10 – Garantia de Continuidade

  • Execução regular de backups
  • Armazenagem segura dos suportes de backup
  • Implementar sistemas de transporte seguro para os backups
  • Implementar e testar com regularidade os sistemas que garantem a Continuidade da Actividade

11 – Segurança do Arquivo Histórico

  • Implemente procedimentos de acesso específicos para os dados que não são de uso corrente
  • Implemente procedimentos que garantam a destruição efectiva dos dados obsoletos

12 – Supervisão da Manutenção e da Destruição de Dados

  • Mantenha o registo das intervenções de manutenção
  • Identificação de uma pessoa responsável pela supervisão das intervenções realizadas por terceiros
  • Quando o retirar hardware de uso apague toda a informação

Continue reading “Checklist para Segurança da Informação”