O Regulamento Geral da Proteção de Dados (RGPD) pretende reforçar os direitos dos cidadãos e estará em vigor no próximo dia 25 de maio. Certamente, já terá recebido dezenas de mensagens a solicitar a aceitação de novas políticas de proteção de dados que reforçam direitos do cidadão que, até agora, estavam de alguma forma por clarificar, como por exemplo o direito de portabilidade dos dados (o cidadão, perante uma mudança contratual, por exemplo, pode exigir a um prestador de serviços que envie os seus dados para outra entidade).
O RGPD é um dos grandes avanços dos últimos tempos na área da proteção de dados, porque além de atualizar a política anterior e reforçar os direitos do cidadão, também inclui a proteção a dados digitais (a diretiva anterior não contemplava dados disponíveis na Internet).
O facto das organizações precisarem de garantir a conformidade entre o seu negócio e o novo regulamento, faz com que seja imprescindível identificar todas as situações em que são recolhidos e utilizados dados pessoais para que possam ser protegidos e salvaguardados todos os direitos dos cidadãos.
A maior parte das comunicações que nos chegam sobre o RGPD focam-se essencialmente nas mudanças para o cidadão, nas multas elevadas para as empresas que estejam em incumprimento ou no facto das empresas não estarem preparados para lidar com o RGPD (apenas 2,5% dos decisores de empresas portuguesas consideram que estão preparadas).
Nem sempre é mencionado que o regulamento prevê que as organizações tenham um processo para avaliar o risco do acesso indevido aos dados e quais as medidas a tomar para impedi-lo e, em caso de indecentes físicos ou técnicos, como é possível restaurar os sistemas e cumprir as regras de notificação de violação de dados. Esta nova imposição tem um impacto importante na organização que obriga, muitas vezes, à reestruturação de processos.
A partir de 25 de maio, será necessário que cada organização prove, efetivamente, que existem formas de recuperar dados em caso de fugas de dados e avaliem as medidas de segurança que definiram regularmente para garantir que ainda prevalecem eficazes.
Como cumprir esta obrigação imposta pelo RGPD? Aconselhamos que passe cada uma destas etapas para garantir que a sua organização está em conformidade com o regulamento.
1. Faça uma análise exaustiva aos dados que recolhe/detém: comece por identificar quais os dados que está a recolher, onde são guardados e em que formato. Qualquer dado que possa ser associado a um cidadão tem de ser considerado e incluído num plano de segurança contra acessos indevidos.
2. Desenvolva um plano de recuperação de dados: defina quais as áreas que poderão ser alvo de potenciais falhas de segurança e violações ao RGPD. Depois, estabeleça um procedimento para notificar os visados e a Comissão Nacional de Proteção de Dados em tempo útil (normalmente dentro de 72 horas, no máximo).
3. Invista em medidas de segurança: medidas como a pseudonimização (tratamento de dados pessoais sem que seja possível fazer a correspondência a um cidadão específico) ou encriptação de dados pessoais permitem que, mesmo em caso de falhas, os dados pessoais não possam ser identificados facilmente.
4. Reveja o seu plano de recuperação de sistemas: em caso de fuga de dados, por exemplo, o plano da sua organização pode não prever o que fazer em caso de acesso a dados pessoais. De facto, o plano até pode não estar de acordo com as novas regras do RGPD.
5. Defina a forma de recuperação da informação: defina e documente os procedimentos a efetuar em caso de acesso indevido aos dados. Em conjunto com a equipa técnica, estabeleça quais os prazos razoáveis para a reposição do sistema e dos dados.
6. Simule, simule, simule: é importante que teste o seu plano de recuperação de dados e de sistemas. Deste modo, é mais fácil identificar situações que poderão não estar cobertas pelo plano ou falhas que precisam de ser eliminadas.
Deve ter ainda atenção que, segundo o RGPD, é necessário avaliar regularmente a eficácia das medidas de segurança, por isso não é suficiente provar a conformidade uma única vez. As medidas de para o combate aos acessos indevidos e que permitem a reposição de sistemas após uma falha de segurança devem, por isso, ser encaradas como um processo contínuo que deve ser analisado frequentemente.