2017-11-06
Os dados pessoais estão na ordem do dia, à medida que começa a contagem decrescente para a aplicação legal do novo Regulamento Geral de Proteção de Dados (RGPD). A privacidade está agora no centro da recolha e do tratamento da informação referente a cidadãos europeus
A partir de 25 de maio de 2018, o novo Regulamento Geral de Proteção de Dados (RGPD) da União Europeia (UE), que substitui a atual diretiva e lei de proteção de dados pessoais, começará a ser aplicado. Esta é a data a partir da qual as empresas têm de olhar para a informação pessoal de uma forma completamente diferente, passando a deter sobre ela novas responsabilidades, quer do ponto de vista do seu tratamento e utilização quer do ponto de vista da proteção. O cumprimento deste novo quadro legal, porém, está longe de ser um processo com princípio, meio e fim. Da esquerda para a direita: Nuno Martins (Ingecom), Rui Barata Ribeiro (IBM), Cristina Francisco (Sage), Renato Paço (Claranet) e Daniel Reis (PLMJ TMT)
"As empresas devem esperar regras muito restritivas sobre dados pessoais”, começou por ressalvar Daniel Reis, sócio e coordenador da PLMJ TMT. “Em Portugal há um nível de incumprimento enorme e um grau de maturidade baixo para o tema”, realçou o advogado. “Ao contrário do que muitas pessoas julgam, as regras são restritivas”. Porque, como sublinhou Renato Paço, consulting services lead na Claranet, este não é um tema de segurança. “O RGPD tem impacto sobre os sistemas, mas a sua origem são as liberdades e os direitos”. Com o novo Regulamento, a UE reconhece que “o mundo evoluiu num sentido perigoso”, do ponto de vista dos dados e da liberdade dos direitos, e que os proprietários são os indivíduos. “As empresas são fiéis depositários desses dados. O RPGD recentra todo o exercício dos direitos nos titulares”. Implicações para os negócios São dois os aspetos previstos no RGPD que prometem ter enorme impacto sobre a atividade das empresas. O primeiro diz respeito ao valor máximo das coimas, que passa de 30 mil para 20 milhões de euros, ou 4% do volume de negócios. Não por acaso, as empresas com muita exposição ao consumidor final, como as do retalho, estão a preparar- se rapidamente para o novo Regulamento – à medida que os cidadãos ficam mais educados sobre os direitos contemplados no RGPD, as queixas à Comissão Nacional de Proteção de Dados (CNPD)tenderão a aumentar. “Uma fatia muito importante das potenciais multas não virá da auditoria, mas dos utilizadores”, defendeu Rui Barata Ribeiro, IBM Security Services Lead. O risco que advém das queixas dos proprietários dos dados, porém, não está circunscrito à fronteira de cada país. O responsável da IBM lembrou que, se a empresa detiver e manipular dados de um cidadão de outros estados membro da UE, terá de prestar contas não ao regulador português, à CNPD, mas ao do seu país. Mercado a várias velocidades No mercado português existem de momento diferentes ritmos de preparação para a implementação do RGPD. No entender de Nuno Martins, country manager da Ingecom, distribuidor de valor acrescentado com portfólio centrado na área da segurança e proteção da informação, as multas não serão o fator decisivo para as PME, que compõem a maioria do tecido empresarial português. Estas empresas “só vão realmente dar o passo quando não puderem desenvolver a sua atividade normalmente, quando o seu negócio estiver comprometido”, defendeu. Se as empresas de maior dimensão detêm uma maior capacidade de resposta, nas mais pequenas as contingências não são apenas de natureza financeira – a sensibilidade para o tema acaba por depender em muito da perceção dos decisores sobre o mesmo. No entanto, alertou Daniel Reis, não existe uma exceção para empresas de menor dimensão ou com menores valores de faturação: as mesmas regras aplicam-se a todas as empresas, de igual modo, o que pode vir a ser um problema para as que têm menor capacidade de investimento. “É em função do seu risco que as empresas têm de decidir quais as medidas a adotar – se investem mais ou menos nos diferentes tipos de recursos”, disse Renato Paço. As organizações mais preparadas para o RGPD pertencem a setores regulados, como o farmacêutico ou a banca, onde tipicamente existe uma governança em torno das transformações necessárias à compliance. Nas outras, alertou o consultor, não se verifica ainda uma cultura orientada para o cumprimento deste Regulamento. A privacidade enraizada na organização O Regulamento torna o conceito de “Privacy by Design” num requisito legal. “A lógica subjacente passa por embeber elementos de privacidade, de início, em todos os processos”, esclareceu Rui Barata Ribeiro. Apesar deste ser também um tema de governança, dizendo por isso respeito à adoção de medidas organizacionais que salvaguardem que a privacidade existe de raiz em todos os processos da organização, o “Privacy by Design” é um dos pontos do RGPD que mais se relaciona com o software. “É aqui que entra o papel das empresas de tecnologia”, sublinhou Cristina Francisco. “Quando estão a desenhar as soluções, em termos conceptuais, os fornecedores têm de ter mente esta obrigação”. Também pela instituição deste conceito, mas não só, o RGPD exige da parte das empresas uma abordagem e uma visão totalmente integradas do negócio – exige o fim dos silos que à data de hoje existem dentro de muitas organizações. Renato Paço comparou a abordagem a um stack com várias camadas, das processuais às de governança, passando pelas tecnológicas: “Significa equacionar qual a base de dados que se está a utilizar, o servidor onde corre, a segurança de perímetro implementada”, referiu. “O ‘Privacy by Design’ é um conceito end-to-end. A sua fragilidade depende do elo mais fraco do stack. Todos os elementos têm de ser coerentes”. Do ponto de vista do software, o conceito começa desde logo na forma como se constroem as soluções. “Se, em vez de haver o silo dos recursos humanos, da faturação e do CRM, a informação estiver agregada numa mesma ‘caixa’, é tudo muito mais fácil de controlar”, observou Cristina Francisco. No entanto, ressalvou, continua a ser ainda assim imperativo que exista um “processo de evangelização” por parte da empresa, para que se verifique uma utilização adequada das ferramentas. “O mais importante é que o mercado perceba que não são as empresas de software que vão solucionar o tema do Privacy by Design”. Como pode a tecnologia ajudar Independentemente da tecnologia adotada, há toda uma componente de processos que é imperativo não descurar. “Ou se começa por impor a tecnologia, e com isso condicionar os processos, ou definir os processos e aplicar a tecnologia. Mas isto tem de ser feito em torno de dois pontos essenciais: onde está a informação e de que informação dispomos”, destacou Nuno Martins. Muitas empresas desconhecem a informação que gerem no seu dia-a-dia, lembrou o country manager da Ingecom, pelo que a tecnologia dá uma ajuda. “Temos várias soluções que começam precisamente pela identificação da informação. E depois importa não descurar a componente humana, nomeadamente a gestão dos colaboradores que têm acesso à informação”. Se o comportamento das pessoas dentro das organizações não for controlado, existe uma dificuldade acrescida no cumprimento de qualquer regulação. “Há várias soluções tecnológicas que atuam logo no momento da criação da informação, caso das soluções de Information Rights Management (IRM), que permitem, aquando da emissão de qualquer documento, atribuir propriedades que podem ser auditadas”. Outro aspeto em que a tecnologia pode dar uma preciosa ajuda são as ferramentas de encriptação, ou cifra, de informação. O Regulamento dita que, caso ocorra uma perda de informação pessoal, as empresas têm de notificar, num prazo de 72 horas, as autoridades competentes – em Portugal, a CNPD. No entanto, caso a informação em questão seja ininteligível, por estar cifrada, a empresa/ organização não tem de comunicar a perda dos dados aos seus titulares (ao data subject), o que evita algumas dores de cabeça do ponto de vista reputacional, elemento crítico quando se fala de proteção da informação pessoal e que pode ser uma consequência tão ou mais devastadora para os negócios do que as multas. Para assegurar um controlo absoluto sobre a informação e antecipar eventuais fugas, de dentro para fora, serão também cada vez mais importantes soluções de DLP (data loss prevention) e Nuno Martins lembrou ainda a importância das soluções NAC (network access control) para controlar o acesso à infraestrutura de rede. Contudo, realçou, por vezes confunde-se a gestão da informação com ciberataques. “O RGPD vai muito além da componente de cibersegurança. Foca-se sobretudo no comportamento das pessoas”. As empresas têm de conseguir auditar esses comportamentos e de socorrer-se da tecnologia para tal. “Existe tecnologia para garantir a proteção da informação e diminuir o risco. Ainda assim, os comportamentos, os indivíduos e os processos é que vão ditar o êxito da aplicação das tecnologias”. Rui Barata Ribeiro reiterou que não existe uma solução tecnológica “mágica” e que, se a organização não repensar a forma como opera, a montante da implementação de determinadas tecnologias, estas de nada valem. O responsável da IBM tocou numa dimensão a não descurar e para a qual as ferramentas tecnológicas também são importantes: a comunicação, tanto na perspetiva interna (entre colaboradores) como externa (com os clientes): “Na interna, passa por assegurar que os colaboradores estão conscientes do que se espera deles ao nível da manipulação dos dados. O RPGD pode ser uma oportunidade para a empresa informar os seus clientes de que tem uma vantagem competitiva na forma como trata a informação deles”, observou. Ao nível da comunicação externa, Rui Barata Ribeiro insistiu que “a nuance da comunicação é relevante", porque em Portugal "não há muitas organizações que consigam fazer em 72 horas as comunicações da perda de dados a cada um dos envolvidos". Assim, alertou, "o domínio das pessoas continuará a exigir investimento". Parceiros devem apoiar-se em frameworks O papel dos Parceiros de Canal será o de ajudar as empresas, em particular as de menor dimensão, a serem compliant com o RPGD em determinados processos. Veja-se o exemplo da firewall: se não existir um processo de gestão de incidentes não é possível avaliar o momento zero a partir do qual se contam as 72 horas exigidas pela lei. O exemplo foi dado por Renato Paço, que deixou um conselho aos Parceiros: “Devem apoiar-se em frameworks e em construir stacks que percorram, end-to-end, as camadas normalmente endereçadas pela norma ISO 27000, de segurança da informação". O consultor referiu que haverá empresas que conseguem cumprir a check list internamente e outras que terão de recorrer ao outsourcing. "Haverá quem implemente um SOC internamente e quem necessite de recorrer a um Parceiro que lhe venda um SOC as-a-service, por exemplo”. A oportunidade, para os Parceiros, está na possibilidade de ajudarem os seus clientes a determinar os requisitos onde a tecnologia pode ajudar e sugerindo as soluções que melhor se adequam ao perfil de cada empresa. Renato Paço aconselha ainda os profissionais de IT a especializarem-se em privacidade e a inscreverem- se no International Association of Privacy Professionals (IAPP), a maior comunidade mundial de profissionais dedicados à privacidade e que dispõe de representação em Portugal. A Associação promove cursos de Certified Information Privacy Professionals (CIPP), para profissionais que pretendam reforçar competências em práticas de compliance e de mitigação de risco e, por essa via, obter insights que aportam maior valor ao negócio. DPO-as-a-service? O RGPD determina que algumas organizações necessitarão de nomear um Data Protection Officer (DPO), um encarregado de proteção de dados, a quem são confiadas as obrigações de conformidade dos dados com o Regulamento. Segundo Daniel Reis, “o DPO tem de ser independente e não pode estar numa posição de conflito de interesses”. O Regulamento “não fecha nenhuma porta sobre o perfil nem sobre a forma de operar do DPO”. Nos setores mais regulados, o advogado refere que tende a ser um perfil jurídico, ao passo que nas áreas mais tecnológicas por norma assume a lógica de um Chief Information Security Officer (CISO), de alguém mais relacionado com a segurança. Cristina Francisco, da Sage, defendeu que o DPO deverá ser, antes de mais, “um evangelizador” – a pessoa, dentro da empresa, que assegura que os processos cumprem com o novo Regulamento. A figura do DPO, porém, não escuda a organização em caso de incumprimento legal. “Tem o papel de um conselheiro, porque a responsabilidade final é sempre do responsável pelo tratamento dos dados, ou seja, a empresa. Não é possível delegar a responsabilidade”, sublinhou Daniel Reis. “Não é possível fazer o outsourcing da compliance, que pertence sempre à empresa". É possível, sim, externalizar as tarefas inerentes à função de DPO. Também neste cenário, de DPO-as-a-service, quem presta o serviço não pode ser responsabilizado legalmente em caso de incumprimento. Num outro nível – da análise dos sistemas de risco e de segurança – este é um serviço já prestado à data de hoje por empresas de IT, lembrou Nuno Martins. “Há muitas empresas a adquirir serviços de auditoria à sua infraestrutura, na perspetiva da segurança, de análise de vulnerabilidades e para saber o que têm dentro de casa. É um serviço que muitos dos nossos Parceiros já prestam, com recurso a ferramentas que quase de forma automática dão o report necessário”. O country manager da Ingecom realçou que é necessário aliar o conhecimento tecnológico à componente legislativa. 14 Passos para ajudar preparar o RGPDPropomos uma abordagem em 14 passos para preparar a sua organização, ao longo dos próximos 20 meses, para o cumprimentos do Regulamento Geral de Proteção de Dados (RGPD) da União Europeia Deste modo, as organizações ficam em condições de reportar ao regulador, demonstrar de forma expedita o cumprimento das normas, e dar resposta a auditorias de conformidade, protegendo assim os seus clientes e o seu negócio. 1. Conhecimento & Programa de Transformação A gestão de topo deve inteirar-se das implicações. Crie um programa de transformação para o cumprimento do RGPD. Envolva as várias áreas do negócio, em particular IT, Risco, Legal e Auditoria. 2. “Privacy by Design” O RGPD torna o “Privacy by Design” um requisito legal explícito e um auxiliar precioso para abordar o desafio, pelo que deve familiarizar-se com a metodologia e implementá-la na sua organização. 3. “Awareness” Coloque a privacidade na agenda da sua organização, até que entre na cultura. Crie um programa de comunicação mobilizador, que informe a organização sobre a privacidade, as alterações em curso devidas ao RGPD e os riscos de incumprimento. 4. Encarregados de Proteção de Dados Determinar se a organização necessita de nomear um Encarregado de Proteção de Dados (“Data Protection Officer”), como figura responsável pelas obrigações de conformidade de proteção de dados, e decidir onde ancorar esta função na estrutura e governança da organização. 5. Política de Privacidade Atualize a Política de Privacidade de Dados, contemplando os aspetos que são novos ou alterados no Regulamento. Defina uma escala de classificação e o tratamento a dar aos dados pessoais. Envolva o departamento jurídico. 6. Estabeleça a base legal para o Tratamento de Dados Identifique os vários tipos de recolha e processamento de dados que realiza, identifique a base jurídica para cada um deles (ex: consentimento), e documente-os para cumprir com os requisitos de “accountability” do Regulamento. 7. Inventarie os Dados Pessoais à guarda da organização Documente que dados pessoais a empresa guarda, onde guarda, durante quanto to tempo, qual a sua origem, quem tem acesso, e com quem são partilhados. Elabore o ciclo de vida de cada item de informação. Deve ser necessária uma auditoria à informação. Preveja ativos informáticos não documentados e shadow IT. 8. Suporte aos direitos dos Titulares Reveja os procedimentos para confirrmar que cobrem todos os direitos dos titulares dos dados, tais como o direito de serem informados (exige notificações de privacidade), o direito de ter os seus dados apagados e da portabilidade dos dados. Estes novos requisitos devem ser adicionados a cada novo sistema de informação. 9. Reveja a utilização de Encriptação e de "Pseudonização" A encriptação é considerada pelo RGPD como uma medida de segurança técnica e organizacional. A pseudonização, que substitui os registos identificáveis por pseudónimos, permite processar dados para fins para os quais a organização não obteve consentimento explícito. 10. "Data Protection Impact Assessments" O RGPD torna obrigatória a realização de Avaliações de Impacto de Proteção de Dados (DPIAs), nas situações consideradas de processamento de “alto-risco”, pelo que deve adotar uma metodologia que permita agilizar a realização das DPIA. 11. Preparar os Canais de Atendimento Atualize os procedimentos de atendimento a clientes, preparando os canais de atendimento para lidar com os pedidos relacionados com privacidade. 12. Atualize o Portfólio Aplicacional Avalie o parque atual de aplicações que processam dados pessoais, para determinar o “gap” de conformidade com o Regulamento, e crie um plano para a atualização. A segurança deve cobrir todo o ciclo de vida dos dados, desde o primeiro momento até à sua destruição. 13. “Data Breaches” A sua organização deve confirrmar que tem os processos adequados para detetar, mitigar, reportar (ao supervisor e aos titulares) e investigar a violação de dados pessoais. 14. Assegurar cumprimento da cadeia de fornecedores Se a organização delega em fornecedores o processamento e armazenamento de dados pessoais (por exemplo, cloud), deve exigir aos fornecedores o cumprimento das exigências do Regulamento. |