"As empresas ou os serviços públicos têm 72 horas para notificar a CNPD, logo que saibam de uma situação de violação de dados pessoais.
Em alerta. É neste estado que se encontrarão várias empresas depois da sucessão recente de notícias que dão conta do ciberataque recente ao Facebook, que expôs informação de cerca de 50 milhões de utilizadores, ou do encerramento futuro da rede social Google +, envolta em polémica após um incidente de segurança não reportado no passado mês de Março, alegadamente pelo receio das perdas reputacionais associadas, o qual terá desprotegido até 500 mil contas pessoais.
Em situações destas, as empresas têm agora, ao abrigo do Regulamento Geral sobre a Protecção de Dados (ou RGPD), a obrigação de notificar a autoridade competente sempre que uma violação de dados pessoais origine um risco para os direitos e liberdades das pessoas singulares. Desta forma, procedeu aliás o Facebook, que notificou a Comissão de Protecção de Dados irlandesa, tendo esta dado imediatamente início a uma investigação sobre a adopção de medidas técnicas de segurança pelo gigante tecnológico. Caso esta entidade de controlo determine que o Facebook não fez tudo o que devia para prevenir o acesso por hackers às contas dos seus utilizadores, arrisca uma sanção que poderá chegar até 2% do seu volume de negócios anual a nível mundial.
Mas o que é uma violação de dados pessoais? Esta consiste num incidente de segurança que motive, de modo meramente acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados tratados por uma empresa ou um serviço público que permitam a identificação de pessoas singulares.
Imagine que envia um e-mail com conteúdo comum para centenas de destinatários e que, em vez de colocar os respectivos endereços em modo "BCC", estes são descritos em "Para" ou "CC", logo permitindo a sua visualização. Existe aqui um risco para a privacidade destes destinatários que pode motivar uma notificação à Comissão Nacional de Protecção de Dados (ou CNPD).
Acrescentemos agora que trabalha como profissional de saúde numa clínica ou num hospital. Ora, um e-mail inócuo que continha apenas informação sobre marcação de consultas permite, de repente, que todos os destinatários saibam quem frequenta uma determinada especialidade, por exemplo quem vai ao psicólogo. O risco para a privacidade acabou de aumentar exponencialmente, pelo que os próprios titulares dos dados pessoais utilizados devem ser notificados.
Existem regras a observar. Antes de mais, as empresas ou os serviços públicos têm um prazo de 72 horas para notificar a CNPD, a partir do momento em que tenham conhecimento da violação de dados pessoais. O formulário encontra-se disponível no respectivo sítio de Internet (www.cnpd.pt) e implica que descreva, entre outros aspectos, as medidas que irá adoptar para resolver a falha de segurança. Este prazo pode ser manifestamente curto, por exemplo quando o serviço de apoio ao cliente não é assegurado directamente pela clínica mas por uma entidade terceira, a qual ainda terá que avisar sobre o sucedido de modo a que a notificação possa ocorrer.
Já os destinatários do e-mail devem ser informados sem demora injustificada sobre o ponto de contacto que lhes permita obter mais esclarecimentos (o Encarregado da Protecção de Dados, sempre que exista), quais são consequências prováveis da violação de dados pessoais (como o carácter público das idas ao psicólogo) e as medidas que serão tomadas para reparar a violação de dados pessoais (qualquer contacto, a partir de agora, será efectuado de modo a proteger a sua esfera privada, v.g. por SMS).
Convém que qualquer entidade, como aquela em que trabalha, incorpore algumas preocupações na sua gestão diária. Mesmo que não disponha de um Encarregado da Protecção de Dados, deve ter uma pessoa responsável pela privacidade que se preocupe com estas temáticas.
Igualmente, deve desenvolver um registo, sempre actualizado, em que contenha todos os incidentes de segurança, mesmo os que não devam ser notificados, incluindo causas, efeitos e, muito importante, as acções de reparação tomadas.
Recorde-se, sobretudo, que é preciso saber agir com certeza e rapidez. Mal ocorra uma falha, é necessário que exista um processo instalado, o qual determine como é que esta falha de segurança surgiu, se envolveu ou não dados pessoais e, em caso afirmativo, perceber como mitigar sem demora as respectivas consequências, enquanto que as devidas notificações são efectuadas. Tal processo deve ser enquadrado numa política geral de protecção de dados e cibersegurança, com tarefas distribuídas aos diferentes colaboradores.
De algo pode estar certo: apenas será possível articular com sucesso tantos passos a dar se este procedimento estiver consolidado antes da primeira "data breach". Avise a sua organização para que meta mãos à obra."
Sem comentários:
Enviar um comentário
A opinião de um glorioso indefectível é sempre muito bem vinda.
Junte a sua voz à nossa. Pelo Benfica! Sempre!