by LCG, 06 Fevereiro 2019
Em vésperas da aprovação da Lei de Proteção de Dados, que efetiva a transposição para o ordenamento jurídico nacional do Regulamento Geral de Proteção de Dados (RGPD), as organizações têm que ser objetivas e pragmáticas na priorização e decisão de abordagem, mesmo aquelas que já iniciaram programas de proteção de dados e de conformidade com o RGPD. Embora a legislação seja predominantemente jurídica nos aspetos que concretiza, sendo bastante vaga nos requisitos processuais e técnicos que preconiza, as organizações são ainda assim responsáveis pelo seu nível de adequação de resposta aos riscos existentes, como já constatado face a algumas sanções aplicadas pela Autoridade de Controlo.
Dotar a organização da sensibilidade, conhecimento e maturidade suficientes para o adequado enquadramento da aplicação da legislação à sua própria realidade. Apenas assim será possível anular ou mitigar riscos de vulnerabilidade e corresponder aos requisitos de âmbito jurídico, processual e tecnológico que o RGPD apresenta.
A salvaguarda da privacidade de dados pessoais e a segurança de informação, requerem uma abordagem transversal à organização, com o envolvimento e suporte direto da administração e a abrangência integradora em todas as unidades e equipas de trabalho.
Por tudo o que já foi referido, facilmente se constata como sendo necessária uma nova mentalidade sobre a segurança da informação, para que esta seja aceite como uma preocupação transversal da organização. Só assim, as organizações farão uma correta abordagem às exigências do RGPD, sendo mais eficazes na proteção e na prevenção de fugas de informação.
O correto mapeamento de riscos e desafios na gestão interna da privacidade de dados, permite aproveitar oportunidades e desenvolver sinergias entre departamentos, sendo que a integração do diagnóstico de privacidade de dados com outras iniciativas de auditoria interna e de certificação de processos, permitirá reduzir os custos associados.
Tendo como principais tarefas aconselhar a organização e os trabalhadores, garantir a execução das avaliações de impacto de risco (quando necessárias) e cooperar com as entidades de controlo, sendo o ponto de contacto com a Autoridade de Controlo, o EPD tem como principais desafios conhecer bem a estrutura da organização e consciencializar os stakeholders relevantes para a implementação do programa de proteção de dados. Não é uma função de pouca relevância e, como tal, requer alguma ponderação no momento da escolha e nomeação, já que o perfil da pessoa que ocupará esse cargo deverá ser definido após serem retiradas conclusões a respeito do âmbito e extensão do próprio programa de proteção de dados adotado, bem como da estrutura orgânica que lhe dará suporte.
Quando observado o enquadramento que suscita à nomeação de um EPD, é essencial que cada entidade tenha a plena consciência de que apenas um recurso, por melhor preparado que seja, dificilmente consegue garantir a implementação do programa de proteção de dados e a salvaguarda da privacidade dos titulares. Assim sendo, dependendo da sua dimensão, estrutura e complexidade, cada organização deverá garantir a existência de condições de apoio ao EPD, nas três dimensões operacionais: jurídica, processual e tecnológica.
Em particular para as organizações que já iniciaram programas de Proteção de Dados, é crítico que realizem as avaliações/auditorias de conformidade para garantir que possuem adequados sistemas de informação, de gestão do risco e de conformidade, alinhados entre si e devidamente integrados na cadeia de valor dos processos de negócio, de modo a ser possível identificar, em cada momento, qualquer vulnerabilidade, ataque externo ou risco de salvaguarda de privacidade dos dados.
Como resultado deste exercício, devem concluir-se as ações necessárias por forma a reforçar o nível de sistematização e processamento de informação, bem como a robustez e fluidez dos procedimentos, através da implementação de mecanismos e processos de controlo de acessos, gestão de perfis de utilizadores e a definição e consolidação de processos transversais às várias unidades orgânicas.
Independentemente da robustez que o programa de proteção de dados possa ter, do rigor da revisão contratual e dos acordos de processamento de dados ou da blindagem e granularidade das soluções de segurança que possam ser consideradas, os melhores resultados na prevenção de comprometimento de dados e fugas de informação, são alcançados através de sensibilização e formação dos recursos humanos. É através destes que a grande maioria dos incidentes ocorrem, seja por desconhecimento de comportamentos de risco, negligência no local de trabalho, processo intencional no manuseamento de dados pessoais ou por falta de competência.
A Gestão da Mudança assume assim um papel essencial na forma como trabalhadores e utilizadores das infraestruturas e sistemas da organização adotam as boas práticas necessárias. É no interesse da organização considerar um conjunto de ações que permitam apoiar na concretização do programa de proteção de dados, eliminar barreiras, gerar empowerment e autonomia nas equipas, através de dinâmicas de trabalho, de formação e sensibilização aos quadros da administração, quadros executivos e colaboradores, com particular incidência naqueles que lidam com dados pessoais e sensíveis.