O RGPD exige no Artigo 32º regras e procedimentos do ponto de vista tecnológico, obrigando o responsável pelo tratamento de aplicação de medidas técnicas e organizativas adequadas a assegurar e comprovar que o tratamento de dados é efetuado em conformidade.
Quando o tratamento dos dados é efetuado por subcontratantes, tem que igualmente apresentar garantias de execução com medidas técnicas e organizativas adequadas ao responsável pelo tratamento, de forma que o tratamento satisfaça e assegure a defesa dos direitos do titular dos dados.
Entre estas medidas prevê-se a aplicação de políticas e práticas em matéria de proteção de dados, de forma a garantir controlos adequados para deteção e prevenção, referidos no Artigo 32º nº 1º das alíneas a), b) e c).
Anonimização, Pseudonimização e Encriptação
A pseudonimização dos dados considerados pessoais, é recomendada por forma a reduzir os riscos de exposição dos titulares de dados e a possibilitar uma segurança adicional para os responsáveis pelo tratamento.
Em todo o caso, a pseudonimização não remove informações de identificação dos dados, mas sim reduz a vinculação de um conjunto de dados com a identidade original usando a criptografia, por exemplo MD5, que torna os dados originais ininteligíveis e o processo não pode ser revertido sem acesso à chave de descodificação correta.
Para pseudonimizar um conjunto de dados de forma eficiente, todas as informações adicionais devem ser mantidas separadamente e sujeitas a medidas técnicas que garantam a sua não atribuição a uma pessoa identificada ou identificável.
Gestão de Acessos
A gestão de acessos garante que a informação esteja sempre disponível aos colaboradores, assegurando permanentemente a confidencialidade, integridade, disponibilidade e resiliência:
– Confidencialidade: garantia que a informação é acessível somente a quem tem direito à aceder;
– Integridade: garantia da exatidão completa da informação e dos métodos de processamento;
– Disponibilidade: garantia de autorização de acesso à informação e ativos sempre que necessário;
– Resiliência: garantia de uma total operabilidade depois de alguma situação ou falha crítica acontecer.
Este processo deve ser estabelecido precisamente na criação da conta de utilizador para o acesso aos sistemas, permitindo garantir os direitos de acesso apenas ao necessário para desempenharem as suas funções.
Para garantir um nível de segurança adequado, a criação da password deve obedecer no mínimo 9 caracteres, exigindo uma composição de letras minúsculas, letras maiúsculas, carateres especiais e números, com um período máximo a ser alterada a cada 90 dias.
É considerado importante a criação de um documento com listas de acessos autorizados aos sistemas, de forma a mapear todos os privilégios dos colaboradores com permissões para os quais foram autorizados. Este documento deve ser atualizado sempre que possível.
Cópias de Segurança
É recomendada a realização de uma política de backups dos dados e sofwtare de forma periódica, para proteger contra perdas e danos que possam acontecer, permitindo o restabelecimento da disponibilidade e acesso aos dados pessoais de forma atempada no caso de um acidente físico ou técnico;
Tendo em conta as medidas referidas, é ainda importante uma prevenção adequada em algumas operações, designadamente:
– Instalações e atualizações dos antivírus em computadores de trabalho locais;
– Instalação de novos softwares não autorizados;
– Utilização de dispositivos amovíveis não autorizados;
