O Regulamento Geral
de Proteção de Dados
“entre o Hoje e o Amanhã”
Um dos seus
corolários é precisamente o “dever de notificação”, quer à Autoridade
competente, quer aos titulares dos dados/potenciais lesados, sempre que o
risco de ameaça seja evidente.
E se amanhã acordássemos e a forma como comunicamos fosse completamente diferente?
A política de utilização de emails, o registo e atualização dos
dados, a obrigatoriedade de avaliações de impacto sobre a privacidade,
os procedimentos em caso de incidente informático, enfim, toda a nossa
“pegada digital” na empresa?
Esse dia vai chegar a 25 de Maio de 2018, data em que
entrará em vigor o Regulamento Geral de Proteção de Dados (“RGPD”). A
primeira nota a retirar é que será aplicável a todos os Estados-membros e
dados que circulem na União Europeia. Este é, talvez, um dos maiores
desafios para os vários Estados e as suas empresas.
A falta de coercibilidade e/ou eficácia não encontra reflexo no RGPD,
porquanto serão aplicadas consequências severas para países como
Portugal, prevendo-se a aplicação de sanções por incumprimento que podem
atingir os 20M€ ou 4% do volume anual de negócios (no caso das
multinacionais).
A Comissão Nacional de Proteção de Dados verá parte das suas atuais funções transferidas para as próprias empresas, que passam a ter de institucionalizar, designadamente, a figura do designado “DPO”, isto é: “Data Protection Officer” ou “Responsável pela Proteção de Dados”. Neste contexto, as nossas empresas terão de começar por analisar em que medida o RGPD lhes será aplicável, aferir a sua conformidade e instituir mecanismos para assegurá-la.
Tudo é relevante na avaliação: a internet, os emails, os servidores, as políticas BYOD (“Bring Your Own Device”), os métodos de acesso e controlo remoto, as SMART GRID, a “internet das coisas”, os metadados, a “computação em nuvem”, entre outros.
Portanto, a mudança do paradigma e a tecnologia trouxeram uma alteração radical e uma “diferente forma de vida empresarial” acompanhada, no revés, pela necessidade de proteger e tutelar os direitos sobre os dados, a informação pessoal e as formas de aferir, medir e utilizar os comportamentos humanos para os mais variados fins. Esta talvez seja precisamente a sinopse do RGPD: proteger e robustecer os direitos em matéria de proteção de dados e aumentar a responsabilização das empresas.
Um dos seus corolários é precisamente o “dever de notificação”, quer à Autoridade competente, quer aos titulares dos dados/potenciais lesados, sempre que o risco de ameaça seja evidente. Este dever traz consigo não só a necessidade de instituir procedimentos de resposta, como também a exposição pública – tornando conhecidos parte dos incidentes informáticos que atualmente não o são.
Se uma empresa é alvo de um ataque de ransomeware – ataque informático que se aloja nas redes/sistemas do alvo e torna “reféns” os seus dados/informação com o objetivo de obter o pagamento de um resgate para a sua recuperação – e tiver um plano de contingência ao qual possa recorrer, menor será o impacto e mais rápida a recuperação.
Dispor de um instrumento que permita recuperar mais rapidamente é vital para responder às obrigações patentes no RGPD e, também, para a continuidade do próprio negócio. Aqui começamos a encontrar mecanismos de mitigação e transferência do risco designados por “apólices de resposta a incidentes informáticos”.
Estas apólices disponibilizam uma equipa de apoio com a missão de: detetar, cessar a intrusão/falha de segurança; responder às autoridades e aos clientes lesados; minimizar o impacto reputacional; liquidar as devidas indemnizações; e, ainda, ressarcir a própria empresa pelos lucros cessantes.
A procura destas apólices tem vindo a aumentar na Europa, sendo há já algumas décadas, nos países de matriz anglo-saxónica, parte integrante das políticas de gestão e mitigação de riscos empresariais, onde têm desempenhado um papel fundamental na hora de responder a incidentes informáticos e na recuperação do negócio das empresas-alvo.
Desde a prevenção à resposta, o desafio é por demais evidente e quanto mais cedo as nossas empresas se começarem a preparar para responder, melhor. A verdade é que o Hoje rapidamente se tornará no Amanhã e o dia 25 de Maio de 2018 está mesmo ao virar da página…
A Comissão Nacional de Proteção de Dados verá parte das suas atuais funções transferidas para as próprias empresas, que passam a ter de institucionalizar, designadamente, a figura do designado “DPO”, isto é: “Data Protection Officer” ou “Responsável pela Proteção de Dados”. Neste contexto, as nossas empresas terão de começar por analisar em que medida o RGPD lhes será aplicável, aferir a sua conformidade e instituir mecanismos para assegurá-la.
Tudo é relevante na avaliação: a internet, os emails, os servidores, as políticas BYOD (“Bring Your Own Device”), os métodos de acesso e controlo remoto, as SMART GRID, a “internet das coisas”, os metadados, a “computação em nuvem”, entre outros.
Portanto, a mudança do paradigma e a tecnologia trouxeram uma alteração radical e uma “diferente forma de vida empresarial” acompanhada, no revés, pela necessidade de proteger e tutelar os direitos sobre os dados, a informação pessoal e as formas de aferir, medir e utilizar os comportamentos humanos para os mais variados fins. Esta talvez seja precisamente a sinopse do RGPD: proteger e robustecer os direitos em matéria de proteção de dados e aumentar a responsabilização das empresas.
Um dos seus corolários é precisamente o “dever de notificação”, quer à Autoridade competente, quer aos titulares dos dados/potenciais lesados, sempre que o risco de ameaça seja evidente. Este dever traz consigo não só a necessidade de instituir procedimentos de resposta, como também a exposição pública – tornando conhecidos parte dos incidentes informáticos que atualmente não o são.
Se uma empresa é alvo de um ataque de ransomeware – ataque informático que se aloja nas redes/sistemas do alvo e torna “reféns” os seus dados/informação com o objetivo de obter o pagamento de um resgate para a sua recuperação – e tiver um plano de contingência ao qual possa recorrer, menor será o impacto e mais rápida a recuperação.
Dispor de um instrumento que permita recuperar mais rapidamente é vital para responder às obrigações patentes no RGPD e, também, para a continuidade do próprio negócio. Aqui começamos a encontrar mecanismos de mitigação e transferência do risco designados por “apólices de resposta a incidentes informáticos”.
Estas apólices disponibilizam uma equipa de apoio com a missão de: detetar, cessar a intrusão/falha de segurança; responder às autoridades e aos clientes lesados; minimizar o impacto reputacional; liquidar as devidas indemnizações; e, ainda, ressarcir a própria empresa pelos lucros cessantes.
A procura destas apólices tem vindo a aumentar na Europa, sendo há já algumas décadas, nos países de matriz anglo-saxónica, parte integrante das políticas de gestão e mitigação de riscos empresariais, onde têm desempenhado um papel fundamental na hora de responder a incidentes informáticos e na recuperação do negócio das empresas-alvo.
Desde a prevenção à resposta, o desafio é por demais evidente e quanto mais cedo as nossas empresas se começarem a preparar para responder, melhor. A verdade é que o Hoje rapidamente se tornará no Amanhã e o dia 25 de Maio de 2018 está mesmo ao virar da página…
* Senior Associate, Aon Portugal
IN "O JORNAL ECONÓMICO"
30/08/17
.
Sem comentários:
Enviar um comentário