×
  • 28 Janeiro, 2020

Desvendar mitos: O RGPD e a Tecnologia

As empresas de Tecnologia e o RGPD

É para nós importante perceber como é que as empresas de Tecnologias de Informação receberam toda a informação relativamente ao Regulamento Geral da Proteção de Dados (RGPD) em Maio de 2018. Este regulamento, a proteção de informação e a privacidade já existiam desde 1995, por isso, para a Uniksystem, o assunto não era uma novidade.

Contudo, O RGPD trouxe algumas modificações às quais nós, empresas de tecnologia, tivemos de olhar de uma forma mais holística. Foi preciso olhar não só para a nossa tecnologia, mas também para os nossos procedimentos internos e a forma de os comunicar. Em Maio de 2018 o regulamento estabeleceu penalizações e coimas elevadas e surgiu um sentimento geral de preocupação em relação à proteção dos dados dos utilizadores.

Na Uniksystem já tínhamos essa preocupação uma vez que já há muitos anos desenvolvíamos sistemas na área da Banca e Seguros, uma área muito regulamentada e muito focada na segurança da informação. Desde muito cedo que a Uniksystem procurava transformar uma lei  ou um artigo num requisito. Uma legislação numa tecnologia. Tratava-se, acima de tudo, de estabelecer um conjunto de padrões para os quais teríamos garantia de que, se fossem cumpridos, a entidade estaria em conformidade, e preparada para qualquer processo de auditoria.

Ao longo de todos estes anos e culminando com o RGPD, foi o que construímos: além das regras e das boas práticas que já mantínhamos, construímos uma matriz, uma checklist para cumprir o RGPD.  E assim tornou-se simples construir uma tecnologia que agilizasse este cumprimento. Fizemos um trabalho global que sustenta os nossos 3 pilares: Pessoas, Processos e Tecnologia.

Pessoas: a tecnologia como espelho do seu trabalho

Todas as pessoas são portadoras de dados e também portadoras de dados de outros. E são estas pessoas que diariamente seguem determinado procedimento que deve garantir a segurança destes dados.

Neste sentido é essencial que a gestão tenha uma visão holística da sua organização para garantir a proteção dos seus dados. Devem estabelecer políticas de segurança da informação e ações de sensibilização e formação aos recursos humanos implicados nas operações de tratamento de dados como forma de estabelecer compromisso com a gestão de topo, colaboradores e parceiros, com o objetivo de assegurar a sua conformidade e promover a melhoria contínua. É desta forma que conseguimos passar a mensagem de que todos nós somos responsáveis pela segurança da informação e todos temos a responsabilidade de proteger os nossos dados e os que nos são confiados.

Cabe depois ao responsável pelo tratamento dos dados aplicar as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o RGPD. Cabe-lhe também  determinar as finalidades, os meios de tratamento dos dados pessoais bem como os riscos para os direitos e liberdades das pessoas singulares.

Processos simplificados

É necessário que as organizações analisem e ajustem toda a sua estrutura de processos com o objetivo de simplificaram a arquitetura e estrutura da organização e dos seus procedimentos para que se tornem mais eficientes.

Neste sentido é fundamental que as organizações possuam os mecanismos para provar por evidências que os tratamentos dos dados decorrem de acordo com o planeado assegurando cumprimento dos princípios de tratamento dos dados. Devem ter conhecimento de quais os tratamentos que são efetuados, e sobre que dados, uma vez que o seu tratamento deve ser adequado, relevante, transparente e legal.

O responsável pelo seu tratamento de dados deve também garantir que a recolha dos mesmos é feita num contexto específico e legítimo para as finalidades do tratamento e que os dados são consultados, atualizados e mantidos em segurança. Este deve aplicar as mediadas técnicas e organizativas que asseguram a integridade e confidencialidade dos dados.

O responsável pelo tratamento deve também garantir os requisitos de Privacidade por Desenho e por Padrão.

Privacidade por Padrão “Privacy by Default”:

O responsável pelo tratamento deve criar e reforçar as configurações de privacidade para se aplicarem automaticamente quando um novo projeto ou serviço faça uso de dados pessoais.

Estas medidas devem ser impostas desde a sua utilização, armazenamento, transferência e apagamento  dos dados pessoais  pelo tempo necessário no ciclo de vida  do produto ou serviço.

Privacidade por Desenho “Privacy by Design”:

O responsável pelo tratamento deve criar e reforçar a segurança e privacidade da tecnologia ao longo de todo o ciclo de vida do desenvolvimento ou processo de tratamento de dados pessoais.

As organizações devem implementar o princípio da proteção na fase inicial de conceção de um novo projeto ou serviço que faça uso de dados pessoais e no uso da tecnologia desde o desenvolvimento, instalação, utilização, eliminação e ser assegurado o correto acesso à informação. Estas medidas podem ser impostas através de técnicas de pseudonimização ou encriptação dos dados.

Nas empresas de Tecnologia de Informação que desenvolvem software, é constante esta preocupação pela segurança dos dados, durante o seu ciclo de vida, desde o seu processamento, armazenamento e transmissão.

Tecnologia: que funcionalidades deve ter uma plataforma de compliance com o RGPD?

Depois das pessoas e dos processos é necessário que as organizações analisem e ajustem toda a sua estrutura de Tecnologias de Informação, no sentido de implementarem arquiteturas de segurança informática e de tratamento de dados muito mais eficientes.

Toda a anterior redefinição dos processos tem em vista o controlo, monitorização e segurança dos dados. Mas é fundamental a utilização de uma tecnologia de suporte que garanta a conformidade com o RGPD e que permita demonstrar que o tratamento dos dados é realizado de acordo com o regulamento.

Na prática, uma boa plataforma de compliance com o RGPD tem de conseguir transpor 99 artigos e 173 considerandos em tecnologia de suporte aos procedimentos já definidos e simplificados.

No entanto podemos considerar que esta tecnologia deverá priorizar os “Princípios de Tratamento dos Dados” – (art 5º).

Licitude, lealdade e transparência

Direito à Transparência (Art. 12º), Direito de Acesso (Art. 15º), Licitude do tratamento e condições aplicáveis – (Art. 6º e 7º).

Ter mecanismos no Sistema/Software para alocar o consentimento quando é necessário para o tratamento dos dados demostrar que o titular deu consentimento de livre vontade.

Assegurar que possui funcionalidades que permitam dar acesso ao titular aos seus dados e fornecer uma cópia dos dados pessoais em fase de tratamento. Se o titular dos dados apresentar o pedido por meios eletrónicos, e salvo pedido em contrário do titular dos dados, a informação é fornecida num formato eletrónico de uso corrente.

Limitação das finalidades

Registo das atividades de tratamento (Art. 30º).

São recolhidos para determinadas finalidades: o detalhe dos contactos, as finalidades do tratamento dos dados, a descrição das categorias de titulares e das categorias de dados, as categorias de destinatários a quem os dados foram ou serão divulgados e, se possível, os prazos de apagamento e descrição das medidas de segurança.

Minimização dos dados

Os dados são adequados, pertinentes e limitados.

É preciso ter processos para garantir que os dados pessoais recolhidos são usados para fins determinados, explícitos e legítimos e não serão tratados de forma incompatível com esses limites.

Exatidão

Direito de Apagamento (Art. 17º), Direito de Retificação (Ar.t16º), Direito à Notificação (Art. 19º).

Os dados são exatos, atualizados, apagados ou retificados sem demora.

É preciso ter mecanismos para assegurar o Direito ao Esquecimento ou Apagamento: desenvolver procedimento que permita registar o pedido de eliminação imediata dos dados pessoais e quando não for possível por parte da entidade eliminação dos mesmos, permite inserir uma justificação, por exemplo por imposição legal.

Limitação da conservação

Direito à Limitação do Tratamento (Art. 18º).

Afixar o prazo de conservação dos dados.

Há que garantir a Confidencialidade dos Dados, assegurando a sua confidencialidade, integridade e disponibilidade.

Integridade e confidencialidade

Os dados têm de ser conservados de uma forma que garanta a sua segurança e confidencialidade:

– É preciso assegurar e certificar a confidencialidade e integridade dos sistemas de tratamento contra os ataques de hackers;
– Deve ser implementado sistema de deteção de intrusões, e devem ser auditadas as vulnerabilidades do acesso à Base Dados e a robustez do código;
– Identificar os utilizadores que acedem às aplicações pela segregação da função e responsabilidade;
– Verificar onde os utilizadores estão fisicamente localizados e definir políticas de autorização e controle de acesso às aplicações e as bases de dados;
– Auferir se os Dados Pessoais são encriptados em ficheiros, especialmente se o sistema possui dados sensíveis.

Cumprir o Direito à Portabilidade dos dados (Art. 20º).

A plataforma escolhida deve ter uma funcionalidade permita emitir um ficheiro em formato estruturado, de uso corrente e de leitura automática com dados pessoais dos titulares, com o objetivo de serem transmitidos a outra entidade.

Responsabilidade Demonstrada

É necessário que a tecnologia tenha a capacidade de restaurar os dados pessoais no caso de um incidente de segurança ou questão técnica em tempo útil.

Para tal torna-se fundamental estabelecer um processo para testes regulares de segurança e avaliação da eficácia das práticas e soluções de segurança implementadas. As organizações devem praticar o princípio de backup encriptados e remover todos os dados que não são mais necessários.

As sinergias entre o RGPD e a tecnologia

É preciso desmistificar a frequente conclusão de que o RGPD é demasiado complexo para que seja possível ser transposto em tecnologia. A sua complexidade deve à partida ser “quebrada” quando se simplificam os processos na sua organização. É preciso olhar para esses processos e recolher os inputs das diferentes pessoas que têm diferentes funções. A tecnologia centraliza esses inputs e torna o processo mais linear e controlável.

 

Célia Barata, RegTech & GDPR Business Manager

 

Saiba mais aqui sobre a solução tecnológica da Uniksystem para cumprir o RGPD.

Partilhar: