You are currently viewing CNPD publica orientações sobre segurança de dados

CNPD publica orientações sobre segurança de dados

Porque a segurança de dados é uma parte essencial do cumprimento do Regulamento Geral de Proteção de Dados (RGPD), a Comissão Nacional de Proteção de Dados (CNPD) emitiu uma diretriz para ajudar as organizações a minimizar as consequências para os direitos das pessoas quando há ataques a sistemas de informação.

Esta diretriz destina-se aos responsáveis pelo tratamento e aos subcontratantes e tem como objetivo sensibilizá-los para as obrigações que devem cumprir no domínio da segurança dos tratamentos de dados pessoais.

Ataques em crescendo

Neste documento, a CNPD recorda que o número de ataques a sistemas de informação tem crescido de forma significativa nos últimos anos, com impactos graves nos dados pessoais de indivíduos.

Os principais vetores de ataque identificados foram:

  • a exploração das vulnerabilidades das infraestruturas;
  • a falta de formação dos utilizadores para detetarem campanhas de phishing que permitem depois a distribuição de malware, com especial relevância para os ataques de ransomware;
  • e a ausência de consciencialização dos responsáveis pelos tratamentos quanto aos riscos para os direitos dos titulares dos dados que a falta de investimento em mecanismos de segurança acarreta.

A CNPD destaca ainda que, se as organizações tivessem investido em medidas de segurança adequadas, os riscos teriam sido menores e o impacto nos direitos dos titulares dos dados teria sido bem mais reduzido.

Phishing, malware e ramsonware

Termos como o phishing, o malware e o ramsonware já entraram no léxico comum de quem utiliza ou gere sistemas informáticos. Mas nem sempre são devidamente compreendidos. Afinal do que se trata?

O phishing é uma forma de fraude na internet que visa enganar os utilizadores para que revelem informações confidenciais, como senhas, números de cartão de crédito e outras informações pessoais.

Geralmente o golpe começa com uma mensagem de e-mail, SMS ou mensagem instantânea muito parecida com as comunicações legítimas de uma empresa ou organização de confiança, mas na verdade são falsas e projetadas para enganar as vítimas.

O objetivo do phishing é fazer com que a vítima revele informações confidenciais, seja por clicar em anexos ou links maliciosos no correio eletrónico, seja por partilhar dados em páginas fraudulentas. Essas informações podem depois ser usadas pelos criminosos para roubar dinheiro ou identidade da vítima, cometer fraudes financeiras ou outros crimes.

O malware refere-se a qualquer tipo de programa ou código malicioso criado para invadir, danificar ou incapacitar computadores e outros dispositivos, sistemas ou redes, ou até para roubar, encriptar ou apagar dados.

Existem muitos tipos diferentes de malware, como por exemplo vírus, worms, cavalos de Troia, spyware, adware e ransomware. Embora estes tipos funcionem de maneira diferente, todos têm como objetivo prejudicar ou controlar o sistema ou dispositivo afetado de alguma forma.

Os malwares geralmente são distribuídos em e-mails de phishing, downloads de software malicioso disfarçado de programas legítimos, anúncios fraudulentos e outros métodos de engenharia social. Uma vez instalado num sistema, o malware pode executar várias ações, como roubar informações, danificar arquivos, controlar o sistema afetado ou usá-lo para lançar ataques a outras redes.

O ransomware é um tipo específico de malware que encripta os ficheiros armazenados em servidores ou computadores, tornando-os inacessíveis, e exigindo um pagamento para a sua desencriptação. Alguns tipos de ransomware também extraem dados dos computadores afetados, enviando-os para os atacantes.

Medidas de segurança para cumprir RGPD

A CNPD recomenda que os responsáveis pelo tratamento de dados pessoais e os subcontratantes adotem as medidas de segurança elencadas na diretriz, consoante o que for adequado às características e sensibilidade dos tratamentos de dados pessoais efetuados e às especificidades da sua organização, para cumprirem as obrigações previstas no artigo 32.º, n.ºs 1 e 2, do RGPD, quanto à segurança do tratamento de dados pessoais.

Estas medidas devem conferir ao tratamento dos dados pessoais um nível de segurança adequado ao risco, incluindo a capacidade para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência dos sistemas e serviços de tratamento.

Entre essas medidas, destacam-se:

  • medidas organizativas, como a definição de um plano de resposta a incidentes e recuperação do desastre, a classificação da informação de acordo com o nível de confidencialidade e sensibilidade, a criação de uma política de gestão de ciclo de vida dos utilizadores, a realização de auditorias de segurança de TI e avaliações de vulnerabilidade, o fomento de uma cultura de privacidade e segurança da informação junto dos trabalhadores e a avaliação periódica das medidas de segurança, técnicas e organizativas internas, entre outras;
  • medidas técnicas, incluindo as relativas à autenticação nos sistemas de informação, às infraestruturas e sistemas, às ferramentas de correio eletrónico, à proteção contra malware, à utilização de equipamentos em ambiente externo, ao armazenamento de documentos em papel que contenham dados pessoais e ao transporte de informação que integre dados pessoais.

Notificar as violações de dados

Além das medidas de segurança recomendadas, nesta diretriz, a CNPD recorda ainda que o responsável pelo tratamento tem o dever de notificar a autoridade de controlo de qualquer violação de dados pessoais, até 72 horas após ter tido conhecimento da mesma, nas situações em que a violação seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares.

A violação de dados pessoais é «uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento», conforme indica o artigo 4º alínea 12 do RGPD.

Além da notificação à CNPD, o responsável pelo tratamento poderá ter de dar conhecimento da violação de dados aos titulares dos dados, «quando a violação de dados for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares», e logo que seja razoavelmente possível.

O principal objetivo dessa notificação é prestar informações específicas acerca das medidas que devem tomar para se protegerem das consequências negativas da violação dos seus dados pessoais.

Para obter orientações mais detalhadas sobre as medidas de segurança recomendadas pela CNPD, poderá consultar aqui a Diretriz 2023/1.

Este é um texto meramente informativo. As informações nele contidas são gerais e abstratas e não dispensam a assistência profissional qualificada e dirigida ao caso concreto.

O escritório de Mafalda Correia Advogados tem competência e experiência prática no domínio da Proteção de Dados Pessoais e está preparado para o ajudar a cumprir as regras do RGPD aplicáveis à sua atividade. Caso tenha alguma questão contacte-nos por email (info@advogadosmc.pt).

Foto de Ed Hardie / Unsplash