Formação

Factos rápidos sobre o RGPD

O RGPD é a mais extensa regulamentação empresarial a sair da UE em muitos anos.

As empresas devem aprender a lidar com o RGPD de forma eficiente e competente para garantir o cumprimento sem comprometer as atividades empresariais do dia-a-dia.

Os dados pessoais são qualquer dado que possa identificar uma pessoa.

Exemplos:

  • Um e-mail pode ser usado para identificar uma pessoa.
  • Um número de telefone pode ser usado para identificar uma pessoa.
  • Um endereço pode ser usado para identificar uma pessoa.
  • Um endereço IP pode ser usado para identificar uma pessoa.
  • O número nacional de identificação pode ser usado para identificar uma pessoa.
  • O número do passaporte pode ser usado para identificar uma pessoa.
  • Um número de cartão de crédito pode ser usado para identificar uma pessoa.

Os dados que adicionam ao que sabemos sobre uma pessoa são dados pessoais.

  • Passatempos
  • Interesses
  • Consumo
  • Padrões comportamentais
  • Sotaque
  • Características físicas

A maioria dos dados tratados pelas empresas poderia ser considerados dados pessoais.

O RGPD aplica-se a todas as empresas, organizações e instituições da UE.

O RGPD aplica-se igualmente a qualquer empresa, organização ou instituição que ofereça bens ou serviços a qualquer pessoa na UE. Isto aplica-se quer o pagamento esteja ou não envolvido.

Exemplo

Qualquer webshop ou serviço que venda para o mercado da UE, quer esta empresa esteja sediada nos EUA ou na Austrália terá de cumprir com o RGPD.

O RGPD aplica-se ao tratamento de dados pessoais por responsáveis pelo tratemento não estabelecidos na UE se tratarem dados pessoais de pessoas com sede na UE.

O RGPD exige que todos os responsáveis ​​pelo tratamento de dados sigam os princípios indicados no artigo 5º do RGPD.

licitude, lealdade e transparência

Deve tratar os dados pessoais de forma legal, justa e de forma a que o tratamento seja transparente para o titular dos dados.

limitação das finalidades

Só irá recolher dados pessoais para finalidades especificadas, explícitas e legítimas. Não poderá processar estes dados pessoais de forma incompatível com as finalidades.

Minimização de dados

Só deve tratar dados pessoais adequados, relevantes e limitados ao necessário para as finalidades originais do tratamento.

exatidão

O tratamento de dados pessoais deve ser exato e atualizado. Enestará um esforço para garantir que os dados imprecisos sejam apagados ou retificados.

Limitação da conservação

O tratamento de dados pessoais limitar-se-á ao período para o qual é necessário para as finalidades em que os dados pessoais foram tratados. Por isso, os dados pessoais devem ser eliminados ou anonimizados quando já não forem necessários para a finalidade original.

integridade e confidencialidade

Os dados pessoais serão tratados de forma segura para proteger os dados pessoais contra o tratamento não autorizado ou ilícito. Deve igualmente ser protegida contra perdas acidentais, destruição ou danos através de medidas técnicas ou organizativas adequadas.

responsabilidade

Como responsável pelo tratamento de dados, será responsável pelo cumprimento destes princípios e poderá documentar esta conformidade.

Um controlador de dados é uma empresa que determina as finalidades e meios de tratamento de dados pessoais.

Este é um conceito essencial para entender, uma vez que determina as suas obrigações em relação ao RGPD.

Um subcontratante é uma empresa que processa dados pessoais em nome do controlador de dados.

Este é um conceito essencial para entender, uma vez que determina as suas obrigações em relação ao RGPD.

Um subcontratante precisa sempre de celebrar um acordo de processamento de dados com o controlador, de acordo com o artigo 28.º do RGPD.

Quando recolhe dados pessoais do titular dos dados(pessoa), deve fornecer à pessoa informações sobre o porquê e como irá processar estes dados. Estes requisitos estão escritos nos artigos 13-14 do RGPD.

Na prática, pode fornecer estas informações numa política de privacidade que deve ser acessível à pessoa ao recolher dados pessoais.

Uau, não é? Esta é uma grande questão que não é respondida rapidamente.

Um requisito primordial no RGPD é manter um registo de atividades de processamento sob a sua responsabilidade (artigo 30.º).

Também terá de fornecer estas informações aos seus dados numa política de privacidade (artigo 13+14).

Será necessário processar os dados de acordo com os princípios deste regulamento (artigo 5.º).

Terá de celebrar acordos de processamento de dados com todos os processadores de dados que contratou para processar dados em seu nome (artigo 28.º).

Terá de fazer avaliações de risco das suas atividades de processamento e, com base nelas, implementar medidas organizativas e técnicas adequadas para garantir que os dados pessoais são tratados de forma segura.

Estes requisitos são apenas alguns dos muitos requisitos do RGPD.

Em direto a 1 de março de 2024.

Formações de sensibilização para o RGPD

Factos rápidos sobre o NIS2

A NIS2 é uma diretiva da UE que exige que as organizações classificadas como infra-estruturas críticas cumpram requisitos específicos de cibersegurança.

A NIS2 é a segunda versão da diretiva da UE relativa à segurança das redes e da informação. Trata-se de uma lei que estabelece regras sobre a forma como as organizações de sectores-chave devem proteger os seus sistemas e dados digitais. O seu objetivo é melhorar a cibersegurança em toda a UE, garantindo que os serviços “essenciais” e “importantes” – como a energia, os transportes, os cuidados de saúde, a banca e os serviços digitais – tomam medidas claras para prevenir incidentes cibernéticos, detectá-los rapidamente e recuperá-los eficazmente.

O NIS2 aplica-se a médias e grandes empresas de sectores “essenciais” e “importantes”, basicamente o que se caracteriza como infra-estruturas críticas.

Também se aplica a algumas organizações mais pequenas se estas prestarem serviços críticos ou fizerem parte da cadeia de abastecimento dos sectores anteriormente mencionados. Se a tua organização trabalha nos sectores da energia, dos cuidados de saúde, das infra-estruturas digitais, da água, da banca ou em muitos outros sectores semelhantes, é provável que estejas abrangido.

Descobre todos os sectores abrangidos pelo NIS2 neste artigo.

Os requisitos mínimos do NIS2 são os seguintes:

  • Políticas de análise de risco e de segurança dos sistemas de informação.
  • Procedimentos de tratamento de incidentes.
  • Planeamento da continuidade das actividades, incluindo:
    • Gestão de cópias de segurança
    • Recuperação de desastres
    • Gestão de crises
  • Segurança da cadeia de abastecimento, abrangendo as relações com fornecedores diretos e prestadores de serviços.
  • Segurança na aquisição, desenvolvimento e manutenção de redes e sistemas de informação, incluindo o tratamento e a divulgação de vulnerabilidades.
  • Políticas e procedimentos para avaliar a eficácia da gestão do risco de cibersegurança.
  • Práticas básicas de higiene cibernética e formação regular em cibersegurança
  • Políticas e procedimentos para a utilização da criptografia e da cifragem.
  • Segurança dos recursos humanos, políticas de controlo de acesso e gestão de activos.
  • Utiliza ferramentas de autenticação e comunicação seguras, sempre que adequado, tais como:
    • Autenticação multi-fator ou contínua.
    • Comunicação segura de voz, vídeo e texto.
    • Protege os sistemas de comunicação de emergência.

Medidas de gestão do risco

Todas as organizações devem adotar uma abordagem estruturada do risco de cibersegurança. Isto inclui a identificação de possíveis ameaças, a proteção dos sistemas, a deteção precoce de problemas e a preparação para responder e recuperar. Estas medidas devem incluir os requisitos mínimos acima referidos e abranger medidas de segurança técnicas e organizacionais.

Responsabilidade da liderança

Os gestores de topo são diretamente responsáveis pela cibersegurança e são responsabilizados pelas autoridades por falhas graves. Devem aprovar estratégias de segurança, certificar-se de que as medidas corretas são aplicadas e manter-se informados através de formação regular.

Comunicação de incidentes

As organizações devem comunicar os incidentes de segurança significativos à autoridade nacional de cibersegurança (CSIRT).

A NIS2 exige que todo o pessoal relevante, incluindo os dirigentes, receba regularmente formação básica em cibersegurança (também designada por “ciber-higiene”).

Para os dirigentes, a formação é obrigatória. Os membros do órgão de administração devem concluir cursos relevantes sobre a gestão dos riscos de cibersegurança e devem promover a formação em toda a organização.

Não existem regras rigorosas quanto ao formato ou ao conteúdo, mas a formação deve corresponder ao papel dos dirigentes na avaliação dos riscos e na supervisão das medidas de cibersegurança. A equipa de gestão, no seu conjunto, deve possuir as competências necessárias para assumir as responsabilidades em matéria de cibersegurança no âmbito da NIS2.

A formação pertinente pode incluir cursos gerais de cibersegurança, workshops de gestão, certificações em normas reconhecidas ou formação interna destinada à liderança.

Todas as actividades de formação devem ser documentadas, por exemplo, através de um certificado ou de uma prova escrita de participação.

A NIS2 exige que o pessoal receba formação em cibersegurança adequada às suas funções e responsabilidades. Todas as organizações devem ter uma política clara para garantir que os funcionários adquirem os conhecimentos e as competências corretas para proteger os sistemas e lidar com as ameaças digitais.

A liderança desempenha um papel central neste domínio. Deve encorajar ativamente o pessoal a receber formação semelhante à que a direção recebe. Isto reforça o facto de que a sensibilização do pessoal e a criação de hábitos de segurança é uma responsabilidade da liderança.

A formação deve ser prática e fácil de aplicar, e deve abranger temas como detetar phishing, tratar os dados de forma segura, utilizar corretamente as palavras-passe e saber o que fazer em caso de incidente. Pode ser ministrada através de e-learning, workshops ou sessões internas.

A tónica deve ser colocada na criação de uma cultura em que a aprendizagem e a sensibilização sejam contínuas. Todas as actividades de formação devem ser planeadas, registadas e acompanhadas para garantir a sua eficácia.

Porque mesmo com uma tecnologia forte, o erro humano continua a ser um dos maiores riscos. A formação ajuda o pessoal a detetar ameaças atempadamente e a agir de forma responsável. Para a liderança, trata-se de responsabilidade. A formação mostra aos reguladores que a empresa leva a sério a segurança e está a tomar medidas reais para reduzir os riscos.

  • Identifica se a organização está abrangida pelo âmbito de aplicação.
  • Nomeia uma pessoa ou equipa responsável pela cibersegurança.
  • Revê as políticas e os procedimentos actuais.
  • Preenche todas as lacunas de segurança.
  • Cria ou melhora os planos de comunicação e resposta a incidentes.
  • Inicia uma formação regular sobre cibersegurança.
  • Documenta tudo para demonstrar a conformidade.
  • Consulta a tua autoridade nacional de cibersegurança para obteres orientações locais.

A NIS2 e o GDPR são leis diferentes da UE, mas sobrepõem-se, o que significa que o teu trabalho numa pode apoiar a outra. Ambas exigem uma forte segurança dos dados pessoais e dos sistemas, e ambas exigem uma abordagem baseada no risco.

Por exemplo, na sua conformidade com o RGPD, mapeou os fluxos de dados pessoais e os activos utilizados para processar os dados, que pode reutilizar para mapear os activos e processos digitais para o NIS2.

Do mesmo modo, as suas avaliações de risco para a proteção de dados pessoais também alimentam as avaliações de risco de cibersegurança para a prestação de serviços críticos, e o seu plano de resposta a incidentes ao abrigo do RGPD pode constituir a base para o requisito NIS2 de detetar, comunicar e responder a incidentes de segurança.

É quase impossível estar em conformidade com o RGPD sem que o pessoal receba formação sobre proteção de dados e segurança da informação e, por isso, já abrange as noções básicas de segurança, como o controlo de acesso e a formação de sensibilização para o phishing. Isto pode ser expandido para cumprir os requisitos NIS2 com pouco esforço extra. As políticas relativas a controlos de acesso, encriptação e canais de comunicação seguros também apoiam ambas as leis.

Os teus esforços de conformidade com o RGPD e o NIS2 devem definitivamente ser alinhados para evitar duplicações e reduzir custos.

Junta-te à newsletter

Mergulhe no tema do RGPD e da proteção de dados, subscrevendo a nossa newsletter.

Consulte a nossa Política de Privacidade.

Book Demo

We will get back to you via email as soon as possible.