Processos

Conferência 6 Meses de RGPD: Os desafios da Aplicação Prática

Partilhar

Na 4ª Feira dia 12 de Dezembro de 2018 a Católica Lisbon levou a cabo uma iniciativa alusiva aos 6 Meses de RGPD em Portugal, e aos desafios e oportunidades por este trazidos.

Estiveram presentes palestrantes de renome tais como Filipa Calvão (Presidente da CNPD), Emilie Barrau (Director Corporate Services Expert West and South of Europe da CGI), Luis Poças (Presidente da Comissão Técnica de Conduta de Mercado da APS), Joaquim Falcão de Lima (Diretor de Marketing Brisa), Susana Mendes (CRM Coordinator BMW) e Luis Silveira Rodrigues (Vice Presidente da DECO).

Filipa Calvão (CNPD)

Partilhou alguns números destes 6 meses, 147 violações comunicadas à CNPD, entre públicas e privadas, mas mencionou que deste numero ficou um conjunto alargadíssimo de queixas de titulares de dados, que foram encaminhados para o campo devido.

Alertou que a ignorância dos responsáveis de tratamento sobre assuntos como o CIA (Confidencialidade, Integridade e Acessibilidade) que já têm mais de 20 anos, pois já constavam na lei da protecção de dados pessoais 95/46, não é imputável à CNPD.

Sublinhou que não vale a pena os Responsáveis de Tratamento (Organizações) tentarem ocultar violações de dados, pois tudo se vem a saber, normalmente a Entidade de Controlo toma conhecimento ou pelos Titulares dos Dados ou pelos Media!

Relembrou ainda que as notificações devem ser feitas até 72 horas, mesmo que ainda não tenhamos todos os dados necessários. Em caso de risco elevado os Titulares dos Dados devem também ser notificados. Ressalvou que a não notificação leva a sanção e que as Organizações devem comprovar que adoptaram as medidas técnicas e organizativas necessárias, inclusivamente deu um exemplo de uma Organização Alemã que ao ter uma violação de dados pessoais, não teve coima pois comprovou que tinha investido um valor avultado em medidas técnicas que deveriam ter sido suficientes para mitigar este risco.

Emilie Barrau (CGI)

Partilhou o desafio constante que tem na gestão dos Subcontratantes e na dificuldade que teve na gestão Worlwide.

 

Joaquim Falcão de Lima (Brisa)

Partilhou a “aventura” que a Brisa escolheu seguir, ao iniciar um processo de Consentimento de novo para os clientes do Programa Viagens e Vantagens, que era perto de meio milhão.

A razão pela qual decidiram iniciar o processo de Consentimento para toda a base dados, centrou-se na depuração da BD e na tentativa de maior aproximação dos clientes.

Esta operação foi um sucesso, através de uma operação de marketing muito criativa e sustentada conseguiram manter 94% da BD

Susana Mendes (BMW)

Partilhou também um caso de sucesso análogo ao da Brisa, em que conseguiram manter 24% da base de dados.

 

Luis Poças (APS)

As conhecidas dificuldades do sector segurador nos ramos de Saúde, Vida e Acidentes Pessoais, que estão a impedir este setor de obter informações de saúde do Titular dos Dados para medir o risco das apólices.

Como esta dificuldade poderá ser ultrapassada?

Ou por via administrativa, através da CNPD, ou por Legislação, através da lei nacional ou em ultimo caso por via Judicial.

Em conclusão, foi unânime que o RGPD trouxe mudanças, dificuldades, oportunidades e melhorias de procedimentos e segurança interna nas organizações.

Para a RB Consulting foi importante estar presente neste evento, pois reforçamos as nossas certezas que a nossa Framework de trabalho RGPD (Metodologia) está perfeitamente alinhada com a Conformidade RGPD em Portugal, e adequasse perfeitamente às necessidades das PME’s no nosso país!

Saiba mais informações sobre a FRAMEWORK RB CONSULTING

Posted by rbadmin  |  0 Comment  |  in Comunicados, Comunicados em Destaque, RGPD, RGPD Destaque

RGPD – Violação de Dados – CIA (Confidencialidade, Integridade e Acessibilidade)

Partilhar

Ao abrigo do RGPD, a Violação de Dados tem vários tipos, o chamado CIA! Que é a Confidencialidade, a Integridade e a Acessibilidade.

Consideramos importante perceber em primeiro lugar o que é uma Violação de Dados:

Desta forma, sempre que existe destruição, perda, alteração, divulgação ou acesso, de dados pessoais, não autorizados, temos uma Violação de Dados!

Em que consiste o CIA?

Como podemos mitigar os riscos do CIA?

Somos da opinião que é além de medir o risco dos tratamentos de dados pessoais que fazemos na organização, é também importante e medir o risco de segurança das nossas aplicações, rede, equipamentos, etc.

Como a entidade de controlo (CNPD) vai agir e aplicar coimas em casos destes?

“Através recente caso do Hospital do Barreiro, conseguimos perceber que a aplicação de coimas será avaliada através destes parâmetros, ora vejamos a deliberação da CNPD assinada no dia 11 de Outubro de 2018, refere que pelo menos nove profissionais com funções na área dos serviços sociais dispunham de acessos que deveriam ser da exclusividade dos médicos. A CNPD também justificou a aplicação das coimas com o facto de estarem registados 985 médicos com contas ativas que davam acesso aos ficheiros clínicos, apesar de os quadros do Hospital do Barreiro apenas contarem com 296 médicos (a disparidade entre número de contas e número de médicos estará relacionada com as passagens temporárias determinadas pelo sistema de colocação dos profissionais de saúde).

Tendo em conta o cenário que foi apurado numa primeira inspeção que remonta a julho, a deliberação da CNPD identificou três infrações: violação do princípio da integridade e confidencialidade, violação do princípio da minimização de dados que deveria impedir o acesso indiscriminado a dados clínicos dos doentes, e incapacidade do responsável pelo tratamento dos dados para assegurar a confidencialidade e a integridade dos dados. As duas primeiras infrações foram punidas com coima 150 mil euros cada, enquanto a terceira representou um acréscimo de 100 mil euros.

Face a estes argumentos, a CNPD recordou que mantém a função de controlo conferida pela lei anterior ao RGPD (e que deverá manter depois do processo legislativo do RGPD ficar concluído em Portugal), e sublinha que o Hospital do Barreiro admitiu que tinha conhecimento das «insuficiências do sistema», mas não se coibiu de «continuar a atribuir privilégios de acesso indevidos a um conjunto de profissionais que nunca deveriam poder aceder indiscriminadamente aos ficheiros clínicos dos doentes». Além de não ter tomado medidas por iniciativa própria, «a arguida jamais terá tido cuidado de interceder junto da SPMS por forma a corrigir este aspeto do sistema que, como a atualização recente demonstra, devia e podia ser alterado previamente», concluiu a CNPD.”

Fonte: Informação sobre a deliberação da CNPD retirada da Exame Informática

 

Posted by rbadmin  |  0 Comment  |  in Comunicados, Comunicados em Destaque, RGPD, RGPD Destaque

Framework RGPD RB Consulting

Partilhar

A RB Consulting criou uma Framework de trabalho totalmente desenhada para as necessidades das Empresas Portuguesas.

Esta Framework contempla 2 níveis de serviço (TaylorMade e OneShot), dependendo da dimensão/necessidade da organização:

Esta Framework concentra-se num conjunto de controlos-chave e capacidades. Estes podem ser resumidos em seis pilares vitais:

RAP:

O RAP (Registo de Atividades de Processamento) está no centro da nossa Framework. Este baseia-se no Artº 30 do RGPD e é a fase mais demorada do programa de conformidade, onde são identificados todos tratamentos da organização que contém dados pessoais.

 

Matrizes:

A RB Consulting criou um conjunto de Matrizes baseadas no Regulamento, no European Board Data Protection (WP 29), na ICO e outros organismos especializados em RGPD e privacidade.

Estas matrizes baseadas em gestão de risco permitem as organizações decidir com bases mensuráveis todas as decisões necessárias para a Conformidade no RGPD.

 

Testes:

Após as tomadas de decisão baseadas no RAP e nas matrizes de risco, consideramos imprescindível analisá-las e testá-las se foram as mais corretas

 

Políticas:

As Políticas de Privacidade servem para dar a conhecer aos vários Stakeholders (utilizadores do site, colaboradores, clientes, fornecedores, parceiros, entre outros) que decisões as organizações tomaram e que procedimentos definiram baseada nos tratamentos de dados pessoais descritos no RAP.

 

Ações:

Aqui definimos as ações necessárias para mitigar os riscos encontrados nos tratamentos de dados pessoais

Sensibilização:

A Sensibilização para a mudança cultural da organização é constante durante a implementação do programa de conformidade.

Esta inicia com a equipa de implementação RGPD interna, administração e termina com todos os colaboradores que tratam dados pessoais dos vários Stakeholders.

Posted by rbadmin  |  1 Comment  |  in Comunicados, Comunicados em Destaque, RGPD, RGPD Destaque

RGPD – Privacy by Design – Desenvolvimento de Software

Partilhar

O que é Privacy by Design and by Default e o que fazer no desenvolvimento de software?

O Privacy by Default Procura implementar o mais alto nível de privacidade assegurando que os dados pessoais são automaticamente protegidos em qualquer sistema digital ou processo de negócio. Se o indivíduo não fizer nada, a sua privacidade continua intacta. Não é necessária nenhuma Acão por parte do indivíduo para proteger a privacidade, é embebida no sistema “by default”

No caso do desenvolvimento de software é necessário assegurar a Privacidade desde a concepção do produto ou serviço, para isso é necessário que a concepção desse produto ou serviço respeite determinados fundamentos, tais como Proatividade, by Default, Privacidade embebida no Design, funcionalidade pela soma positiva, segurança ponta a ponta, visibilidade e transparência, respeito pela privacidade do Utilizador:

 

Pergunte-nos quais as acções praticas que devemos tomar para respeitarmos o Privacy by Design e by Default!

Posted by rbadmin  |  0 Comment  |  in Comunicados, Comunicados em Destaque, RGPD, RGPD Destaque

RGPD – Porque é que bons processos internos são chave para a Segurança de dados pessoais?

Partilhar

Porque é que bons processos internos são chave para a Segurança de dados pessoais nas organizações?

O Regulamento Geral de Protecção de Dados tem como objetivo que as organizações melhorem a segurança aos dados pessoais, isto quer dizer que devemos criar processos internos em que definimos como, quem, porquê e por quanto tempo esses dados são acedidos, sejam em formato digital ou em papel.

As ferramentas de segurança utilizadas (cofres, firewall, anti-vírus, entre outros) são importantes, mas se não definirmos corretos procedimentos e se não os dermos a conhecer através de formações e acções de sensibilização aos nossos Recursos Humanos, dificilmente conseguiremos inverter as estatísticas, pois o fator humano continua a ser um dos pontos principais de entrada do cibercrime, conforme pode ler no estudo “The Human Factor 2018”  elaborado pela da Proofpoint da Exclusive Group, que revela como os invasores estão a explorar a natureza humana.

Saiba como poderemos apoiar nos corretos processos e medidas de segurança, contacte-nos!

Posted by rbadmin  |  0 Comment  |  in Comunicados, RGPD, RGPD Destaque, Segurança Destaques, Segurança Informática