Segurança

Conheça o Regulamento Europeu de Proteção de Dados

Julho 27, 2016

Já foi publicado o Regulamento Europeu de Proteção de Dados, que traz novas exigências para as empresas a operar na Europa e coimas mais elevadas para quem não as cumprir.

Depois de vários anos de negociações, o novo regulamento foi publicado no passado dia 4 de maio de 2016, pela União Europeia. Este regulamento prevê um período de 2 anos de adaptação, até lá, os setores e organizações com menor maturidade ao nível da segurança terão de acelerar os processos e adotar novas tecnologias de forma a conseguir cumprir as novas normas.

Porque são necessárias estas alterações?

Atualmente todos os países da União Europeia têm leis de proteção de dados implementadas, porém estas leis variam de país para país e durante vários anos não houve qualquer alteração destes regulamentos. Com o objetivo de enfrentar os grandes desenvolvimentos tecnológicos, a UE impulsionou os esforços para modernizar e homogeneizar as leis, criando assim um regulamento único para todos os países pertencentes.

Este regulamento tem como objetivo fortalecer os direitos de privacidade dos cidadãos da UE, restaurar a confiança nas atividades online e proteger melhor os dados dos clientes, exigindo que as empresas adotem novos métodos de tratamento de dados de pessoas singulares.

Quem é afetado pelo novo regulamento?

Todas as empresas que tratem de dados pessoais, ou seja, que realizem operações que envolvam dados de pessoas singulares. Estas alterações afetam também todas as empresas que façam o seu negócio com cidadãos da UE, mesmo que a empresa esteja sediada fora da união.

Principais novidades do regulamento.

  • As empresas são agora obrigadas a realizar uma avaliação do impacto sobre a proteção, antes de iniciar o tratamento de dados, no caso de “um tipo de tratamento, em particular que utilize novas tecnologias, e tendo em conta a sua natureza, âmbito, contexto e finalidades, seja suscetível de resultar num elevado risco para os direitos e liberdades das pessoas singulares” (Artigo 27º, secção 1);
  • O regulamento obriga que as empresas implementem medidas de segurança adequadas para a proteção de dados pessoais, como por exemplo, mecanismos de encriptação que “garantam a confidencialidade, integridade, disponibilidade e resiliência permanente dos sistemas e serviços de processamento de dados” (Artigo 32º, secção 2);
  • “Em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo competente (comissão nacional de proteção de dados), sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma” (Artigo 33º, secção 2);
  • Os titulares devem ser informados da intrusão sempre que a falha de segurança possa representar um alto risco para os direitos e liberdades individuais (Artigo 32º, secção 2);
  • A introdução do direito à eliminação dos dados pessoais (o “direito a ser esquecido”) (Artigo 17º, secção 3);
  • A introdução do direito à portabilidade, que significa que “O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento” (Artigo 20º, secção 3);
  • As empresas deverão designar um “encarregado para a proteção de dados” que estará envolvido em todas as “questões relacionadas com a proteção de dados pessoais” (Artigo 32º, secção 3), este deverá ser designado sempre que:
    • O tratamento de dados seja efetuado por uma autoridade ou um organismo publico;
    • A organização regule e monitorize sistematicamente indivíduos em larga escala;
    • A organização processe dados sensíveis em larga escala.
  • Caso a empresa não cumpra o regulamento podem ser sancionados com “coimas até 20 000 000 EUR ou, até 4 % do seu volume de negócios anual a nível mundial” (Artigo 83º, secção 3);

Resumidamente, se as empresas não adotarem políticas corretas para proteger os dados pessoais que estejam em sua posse, terão que enfrentar custos elevados, danos na reputação e na confiança dos clientes.

Novos termos de segurança:

  • Privacy by design: Privacidade desde a conceção, significa que a cada novo processo de negócios ou serviço que use dados pessoais, deve-se ter em conta a proteção desses mesmos dados. Na prática, significa que o departamento TI tem de dar importância à privacidade durante todo o ciclo de vida do desenvolvimento ou processos de tratamento de dados pessoais
  • Privacy by default:Significa que as configurações de privacidade aplicam-se automaticamente quando um cliente adquire um novo produto ou serviço. Noutras palavras, não deverá ser necessária qualquer alteração manual para que as configurações de privacidade sejam aplicadas a todos os novos titulares de dados pessoais de um determinado sistema.
  • Accountability: Exige que seja implementado um programa de conformidade capaz de monitorizar a conformidade em toda a organização e demonstrar às autoridades de proteção de dados e aos titulares dos dados que toda esta informação pessoal está em segurança.
  • Oposição ao profiling: Os titulares dos dados têm direito a opor-se ao uso de profiling, ou seja,qualquer forma automatizada de processamento de informação pessoal, com o objetivo de avaliar e tipificar indivíduos com base nos seus dados pessoais.
  • Privacy impact assessments: Permite que a organização encontre problemas nas fases iniciais de qualquer projeto, reduzindo os custos associados e danos à reputação que poderiam acompanhar uma violação das leis e regulamentos de proteção de dados.

Como obedecer ao novo regulamento?

Para muitas empresas que necessitem de cumprir o novo regulamento, a melhor forma de se prepararem é implementando uma estratégia de proteção de dados.

Apesar do regulamento não fazer referência a nenhuma tecnologia específica, faz diversas alusões à encriptação como forma de proteger os dados críticos e torná-los inutilizáveis a pessoas não autorizados.

Saiba tudo sobre o novo regulamento geral de proteção de dados com o Ebook "RGPD - O Guia Essencial".

Escrito por:
Openlimits

Agosto 12, 2016 - 12:05:57

Excelente posição da União Europeia que ao proteger os seus cidadãos visa já as grandes multinacionais americanas como a google, facebooks e afins com uma multa de até 4% do seu volume total de negócios mundial no actual total desrespeito e devassa dos dados dos europeus. Parece-me uma excelente posição de defesa dos interesses nacionais.

Escrito por:
João Silva

Diga-nos o que pensa

Enviar

Categorias

Segurança
Notícias
Media
Technical Posts
Produtos
Casos de Sucesso
Gestão
Inovação e Tecnologia

Destaques

Dezembro 23, 2016
Inovação e Tecnologia
square

Analítica de Dados: Uma Necessidade

Analítica de Dados: Uma Necessidade

Conheça a importância da analítica de dados na economia digital.

Saiba mais >
Junho 21, 2016
Inovação e Tecnologia
square

A Tecnologia como Potenciadora da Ação do Líder

A Tecnologia como Potenciadora da Ação do Líder

Descubra como a tecnologia poderá melhorar a performance da sua equipa e ajudá-lo a ser um bom líder.

Saiba mais >
Julho 06, 2016
Segurança
square

Como impedir que um vírus acabe com o seu negócio

Como impedir que um vírus acabe com o seu negócio

Saiba como prevenir a sua empresa de ataques de cryptolockers.

Saiba mais >
Julho 27, 2016
square

Infográfico: Como implementar o Regulamento Europeu de Proteção de Dados

Infográfico: Como implementar o Regulamento Europeu de Proteção de Dados

Siga estes 8 passos e comece já a preparar a sua empresa para o novo Regulamento Europeu.

Saiba mais >