1. 1. Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, consoante o que for adequado:
(a) |
A pseudonimização e a cifragem dos dados pessoais; |
(b) |
A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento; |
(c) |
A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico; |
(d) |
Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento. |
2. Ao avaliar o nível de segurança adequado, devem ser tidos em conta, designadamente, os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou ao acesso não autorizados, de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
3. O cumprimento de um código de conduta aprovado conforme referido no artigo 40.° ou de um procedimento de certificação aprovado conforme referido no artigo 42.° pode ser utilizado como elemento para demonstrar o cumprimento das obrigações estabelecidas no n.° 1 do presente artigo.
4. 4. O responsável pelo tratamento e o subcontratante tomam medidas para assegurar que qualquer pessoa singular que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, tenha acesso a dados pessoais, só procede ao seu tratamento mediante instruções do responsável pelo tratamento, exceto se tal lhe for exigido pelo direito da União ou de um Estado-Membro.
Medidas de segurança técnicas e organizacionais são termos frequentemente utilizados no contexto do RGPD.
Uma medida técnica poderia ser a utilização de software antivírus para a detecção de malware no seu computador ou a utilização de câmaras de vídeo para dissuadir os criminosos. Tanto o software antivírus como as câmaras de vídeo podem ajudar uma empresa a manter um nível adequado de segurança da informação pessoalmente identificável que a sua empresa está tratamento.
Uma medida organizacional poderia ser tratar, procedimentos ou formação dos empregados nas melhores práticas. As medidas organizacionais são essenciais para implementar em organizações menores, uma vez que estas têm frequentemente menos recursos técnicos disponíveis para implementar medidas técnicas. As medidas técnicas requerem frequentemente conhecimentos mais especializados para serem aplicadas de forma apropriada.
A RGPD afirma que é necessário implementar medidas técnicas e organizacionais “apropriadas”; a este respeito, o significado de “apropriado” é um termo crucial a compreender para o seu cumprimento da RGPD.
Só saberá quais são as medidas adequadas quando tiver avaliado os riscos do tratamento de dados pessoais da sua organização. Por isso, é necessário fazer uma avaliação de risco.
Com base nos resultados das suas avaliações de risco, saberá que ameaças e potenciais consequências a sua organização enfrenta. Posteriormente, é essencial mitigar estes riscos, adoptando medidas organizacionais e técnicas “apropriadas”.
A avaliação do risco esclarece os riscos que o seu tratamento de dados pessoais expõe. Com base nos riscos identificados, deverá avaliar qual o nível de risco que está disposto a aceitar.
De um modo geral, as suas medidas de segurança adequadas devem aumentar ao tratamento informações pessoais cada vez mais sensíveis, vários tipos de informações pessoais, e quando o volume de pessoas em causa aumenta.
Infelizmente, não há um tamanho único para todos quando se estabelece um nível de segurança adequado para o risco, e não há atalhos. Felizmente, esta é também uma vantagem, pois permite-lhe implementar as medidas de segurança mais adequadas às suas necessidades.
Se os seus dados estiverem codificados, pessoas não autorizadas não poderão ler a informação se esta for roubada. Esta propriedade faz da encriptação uma medida de segurança recomendada no RGPD.
Tudo o que se pode ler neste artigo está num formato legível chamado “texto simples”. Se o conteúdo fosse encriptado, o texto seria ilegível tanto para o leitor como para o computador. Assim, a encriptação asseguraria a confidencialidade desta informação.
O conteúdo só seria legível quando a encriptação fosse removida, feita com uma chave de encriptação. Uma chave de encriptação é uma espécie de ‘password’ que dá acesso ao conteúdo.
A chave de encriptação liga o texto simples e o texto encriptado.
A encriptação é crucial para a segurança da informação, especialmente no sector bancário, onde o dinheiro digital é transferido entre bancos. A encriptação assegura que estas transferências podem ser realizadas em segurança sem revelar as suas informações a terceiros.
Os três termos Confidencialidade, Integridade e Disponibilidade são partes de um quadro de segurança da informação utilizado para analisar os riscos associados ao tratamento dados.
O quadro é utilizado na maioria dos quadros de avaliação de risco, e a redacção do Artigo 32(1)(a) indica-nos que precisamos de fazer uma avaliação de risco.
A confidencialidade significa que a informação deve ser protegida contra o acesso ou divulgação não autorizados, de modo a que não possa ser dada a conhecer a pessoas não autorizadas. Isto pode envolver, por exemplo, a protecção contra hackers ou evitar o envio de e-mails para os destinatários errados.
A disponibilidade refere-se à protecção da informação contra o acesso não autorizado por pessoas que têm o direito de aceder à mesma. Se não conseguir aceder aos dados pessoais no seu banco online, por exemplo, isto pode ter consequências negativas para si – pode não conseguir pagar uma conta a tempo.
A integridade refere-se à protecção da informação contra modificações ou destruição não autorizadas. As informações devem ser exactas, uma vez que esta é a base do tratamento dados, por exemplo, se forem cometidos erros no pagamento de salários, um empregado pode correr o risco de faltar ou perder o seu salário.
Como Responsável pelo tratamento ou tratardados (ou seja, qualquer proprietário de empresa), deve certificar-se de que os seus empregados foram instruídos sobre como tratar dados pessoais. Isto indica que deve ter tratare procedimentos para tratar os dados pessoais com cuidado.
O registo das actividades de tratamento contém uma lista dos tratarque devem ter instruções para os empregados.
Certifique-se de que toda a sua empresa está equipada com a formação de sensibilização necessária sobre os princípios básicos do RGPD e da segurança informática.
Once you have submitted your details, you’ll be our top priority!