Um caso de coima relativa ao artigo 14 do RGPD

Poderá o princípio da proporcionalidade ser um pretexto para a arbitrariedade?

Que argumentação, que justificações, que perguntas são razoáveis para testar o princípio da proporcionalidade? E, sobretudo, que método utilizar para testar o princípio da proporcionalidade?

A autoridade polaca para a proteção de dados pessoais (UODO), aplicou uma coima (comunicado da UODO aqui) que suscita uma questão interessante sobre a aplicação do princípio da proporcionalidade no que respeita ao direito de o titular dos dados ser informado quando os seus dados pessoais não são recolhidos junto de si. Tivesse a UODO explicado de forma completa a fundamentação da coima, poderíamos ter um caso de estudo, assim, teremos que aguardar pela decisão do tribunal. De qualquer forma importa reter as linhas vermelhas traçadas pela UODO.

Continue reading “Um caso de coima relativa ao artigo 14 do RGPD”

BIA – Business Impact Analysis

A análise do impacto é um processo central para a definição do risco, para a definição das prioridades, para as medidas de mitigação do risco, para os planos de DRP (Disaster and Recovery Plans) e para os BCP (Business Continuity Plans).

O profissional de proteção de dados não pode limitar-se às Avaliações de Impacto sobre Proteção de Dados. Pelo menos, no que respeita à segurança da informação, tem que lidar com o conceito mais alargado de BIA – Business Impact Analysis, isto é, com a análise de impacto que não diz diretamente respeito à proteção de dados. Mas, o planeamento e gestão da comunicação associados à resposta a uma violação de dados também pode beneficiar de uma análise de impacto.

As BlAs são usadas para avaliar os processos críticos (e as soluções informáticas que os apoiam) e são a base para determinar prazos, prioridades, recursos e interdependências. As auditorias à Proteção de Dados não podem deixar de proceder a uma adequada avaliação dos BIAs, concretamente os que dizem respeito à segurança da informação em geral e, em particular, os que se referem aos planos de disaster-recovey e aos planos de continuidade de negócios.

O auditor de proteção de dados tem que saber quais as questões fundamentais a considerar na elaboração de um BIA e procurar evidências de que um determinado BIA foi conduzido de forma apropriada.

Os incidentes e as crises têm uma natureza dinâmica. Alteram-se ao longo do tempo e conforme as circunstâncias, evoluindo, por vezes, de forma rápida e imprevisível. Também por isso, a sua gestão deve ser dinâmica, proativa e bem documentada.  

Este caracter dinâmico dos incidentes e das crises dificultam a utilização de soluções padronizadas pelo que deve ser colocado um grande esforço no método e nos instrumentos dessa metodologia. A BIA é um desses instrumentos.

Uma BIA criteriosa e rigorosa é um elemento crucial para toda a Gestão de Incidentes e Resposta a Incidentes, nas suas diversas fases: Planeamento e preparação; Deteção; Inicio; Registo/documentação (Recording); Avaliação; Contenção (limitar o alcance do incidente); Erradicação; Escalada; Resposta; Restauração; Fecho; Reporting; Revisão pós-incidente; Lições aprendidas. Mas, também é importante, que a Gestão de Incidentes e a Resposta aos Incidentes gerem informação e alimentem a base de conhecimento que melhor de forma continua as BIAs.

Todas estas fases, para serem devidamente executadas, pressupõem trabalho prévio e orientações claras por parte da organização. Um correto planeamento e preparação deve permitir que o incidente encaixe nas classificações estabelecidas e que por essa via seja fácil responder a perguntas como “Quem resolve?”, “Qual o impacto e urgência”? “Qual a prioridade”? “Quais os SLAs?”, “Quais os protocolos, quais os procedimentos a usar?”.

Para cada tipo de incidente (que pode agrupar ameaças, vulnerabilidades e riscos) teremos que realizar uma BIA especifica que poderá ter fases de resposta a incidentes próprias ou genéricas.

Continue reading “BIA – Business Impact Analysis”

Alemanha tenta justificar-se

Em Setembro de 2018 foi anunciado que 1,8 milhões de registos foram roubados da Knuddels. O resultado final foi uma coima de 20.000 euros e um investimento em segurança de 6 dígitos.

O Knuddels.de é um serviço online baseado na Web que consiste numa plataforma de flirty chat para pessoas com mais de 14 anos de idade. Knuddels serve, sobretudo, uma comunidade de jovens adultos de língua alemã.

No comunicado de imprensa da autoridade de controlo alemã do Estado (Bundesländer) Baden-Wuerttemberg (LfDI) (aqui) percebe-se bem a necessidade de justificação da coima ser incompreensivelmente baixa o que deixa uma grande interrogação sobre a desejável uniformidade de critérios das várias autoridades de controlo da União Europeia.

Em julho deste ano, a plataforma de flirty chat  sofreu uma violação de dados e as informações roubadas dos seus servidores foram publicadas on-line. Um membro da equipe disse, na altura, que o incidente afetou todos os utilizadores que tinham uma conta na plataforma em 20 de julho de 2018 o que corresponde a 808.000 emails e 1,8 milhões de nomes de utilizadores e passwords.

Continue reading “Alemanha tenta justificar-se”