Desvendar mitos: O RGPD e a Tecnologia
As empresas de Tecnologia e o RGPD
É para nós importante perceber como é que as empresas de Tecnologias de Informação receberam toda a informação relativamente ao Regulamento Geral da Proteção de Dados (RGPD) em Maio de 2018. Este regulamento, a proteção de informação e a privacidade já existiam desde 1995, por isso, para a Uniksystem, o assunto não era uma novidade.
Contudo, O RGPD trouxe algumas modificações às quais nós, empresas de tecnologia, tivemos de olhar de uma forma mais holística. Foi preciso olhar não só para a nossa tecnologia, mas também para os nossos procedimentos internos e a forma de os comunicar. Em Maio de 2018 o regulamento estabeleceu penalizações e coimas elevadas e surgiu um sentimento geral de preocupação em relação à proteção dos dados dos utilizadores.
Na Uniksystem já tínhamos essa preocupação uma vez que já há muitos anos desenvolvíamos sistemas na área da Banca e Seguros, uma área muito regulamentada e muito focada na segurança da informação. Desde muito cedo que a Uniksystem procurava transformar uma lei ou um artigo num requisito. Uma legislação numa tecnologia. Tratava-se, acima de tudo, de estabelecer um conjunto de padrões para os quais teríamos garantia de que, se fossem cumpridos, a entidade estaria em conformidade, e preparada para qualquer processo de auditoria.
Ao longo de todos estes anos e culminando com o RGPD, foi o que construímos: além das regras e das boas práticas que já mantínhamos, construímos uma matriz, uma checklist para cumprir o RGPD. E assim tornou-se simples construir uma tecnologia que agilizasse este cumprimento. Fizemos um trabalho global que sustenta os nossos 3 pilares: Pessoas, Processos e Tecnologia.
Pessoas: a tecnologia como espelho do seu trabalho
Todas as pessoas são portadoras de dados e também portadoras de dados de outros. E são estas pessoas que diariamente seguem determinado procedimento que deve garantir a segurança destes dados.
Neste sentido é essencial que a gestão tenha uma visão holística da sua organização para garantir a proteção dos seus dados. Devem estabelecer políticas de segurança da informação e ações de sensibilização e formação aos recursos humanos implicados nas operações de tratamento de dados como forma de estabelecer compromisso com a gestão de topo, colaboradores e parceiros, com o objetivo de assegurar a sua conformidade e promover a melhoria contínua. É desta forma que conseguimos passar a mensagem de que todos nós somos responsáveis pela segurança da informação e todos temos a responsabilidade de proteger os nossos dados e os que nos são confiados.
Cabe depois ao responsável pelo tratamento dos dados aplicar as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o RGPD. Cabe-lhe também determinar as finalidades, os meios de tratamento dos dados pessoais bem como os riscos para os direitos e liberdades das pessoas singulares.
Processos simplificados
É necessário que as organizações analisem e ajustem toda a sua estrutura de processos com o objetivo de simplificaram a arquitetura e estrutura da organização e dos seus procedimentos para que se tornem mais eficientes.
Neste sentido é fundamental que as organizações possuam os mecanismos para provar por evidências que os tratamentos dos dados decorrem de acordo com o planeado assegurando cumprimento dos princípios de tratamento dos dados. Devem ter conhecimento de quais os tratamentos que são efetuados, e sobre que dados, uma vez que o seu tratamento deve ser adequado, relevante, transparente e legal.
O responsável pelo seu tratamento de dados deve também garantir que a recolha dos mesmos é feita num contexto específico e legítimo para as finalidades do tratamento e que os dados são consultados, atualizados e mantidos em segurança. Este deve aplicar as mediadas técnicas e organizativas que asseguram a integridade e confidencialidade dos dados.
O responsável pelo tratamento deve também garantir os requisitos de Privacidade por Desenho e por Padrão.
Privacidade por Padrão “Privacy by Default”:
O responsável pelo tratamento deve criar e reforçar as configurações de privacidade para se aplicarem automaticamente quando um novo projeto ou serviço faça uso de dados pessoais.
Estas medidas devem ser impostas desde a sua utilização, armazenamento, transferência e apagamento dos dados pessoais pelo tempo necessário no ciclo de vida do produto ou serviço.
Privacidade por Desenho “Privacy by Design”:
O responsável pelo tratamento deve criar e reforçar a segurança e privacidade da tecnologia ao longo de todo o ciclo de vida do desenvolvimento ou processo de tratamento de dados pessoais.
As organizações devem implementar o princípio da proteção na fase inicial de conceção de um novo projeto ou serviço que faça uso de dados pessoais e no uso da tecnologia desde o desenvolvimento, instalação, utilização, eliminação e ser assegurado o correto acesso à informação. Estas medidas podem ser impostas através de técnicas de pseudonimização ou encriptação dos dados.
Nas empresas de Tecnologia de Informação que desenvolvem software, é constante esta preocupação pela segurança dos dados, durante o seu ciclo de vida, desde o seu processamento, armazenamento e transmissão.
Tecnologia: que funcionalidades deve ter uma plataforma de compliance com o RGPD?
Depois das pessoas e dos processos é necessário que as organizações analisem e ajustem toda a sua estrutura de Tecnologias de Informação, no sentido de implementarem arquiteturas de segurança informática e de tratamento de dados muito mais eficientes.
Toda a anterior redefinição dos processos tem em vista o controlo, monitorização e segurança dos dados. Mas é fundamental a utilização de uma tecnologia de suporte que garanta a conformidade com o RGPD e que permita demonstrar que o tratamento dos dados é realizado de acordo com o regulamento.
Na prática, uma boa plataforma de compliance com o RGPD tem de conseguir transpor 99 artigos e 173 considerandos em tecnologia de suporte aos procedimentos já definidos e simplificados.
No entanto podemos considerar que esta tecnologia deverá priorizar os “Princípios de Tratamento dos Dados” – (art 5º).
Licitude, lealdade e transparência
Direito à Transparência (Art. 12º), Direito de Acesso (Art. 15º), Licitude do tratamento e condições aplicáveis – (Art. 6º e 7º).
Ter mecanismos no Sistema/Software para alocar o consentimento quando é necessário para o tratamento dos dados demostrar que o titular deu consentimento de livre vontade.
Assegurar que possui funcionalidades que permitam dar acesso ao titular aos seus dados e fornecer uma cópia dos dados pessoais em fase de tratamento. Se o titular dos dados apresentar o pedido por meios eletrónicos, e salvo pedido em contrário do titular dos dados, a informação é fornecida num formato eletrónico de uso corrente.
Limitação das finalidades
Registo das atividades de tratamento (Art. 30º).
São recolhidos para determinadas finalidades: o detalhe dos contactos, as finalidades do tratamento dos dados, a descrição das categorias de titulares e das categorias de dados, as categorias de destinatários a quem os dados foram ou serão divulgados e, se possível, os prazos de apagamento e descrição das medidas de segurança.
Minimização dos dados
Os dados são adequados, pertinentes e limitados.
É preciso ter processos para garantir que os dados pessoais recolhidos são usados para fins determinados, explícitos e legítimos e não serão tratados de forma incompatível com esses limites.
Exatidão
Direito de Apagamento (Art. 17º), Direito de Retificação (Ar.t16º), Direito à Notificação (Art. 19º).
Os dados são exatos, atualizados, apagados ou retificados sem demora.
É preciso ter mecanismos para assegurar o Direito ao Esquecimento ou Apagamento: desenvolver procedimento que permita registar o pedido de eliminação imediata dos dados pessoais e quando não for possível por parte da entidade eliminação dos mesmos, permite inserir uma justificação, por exemplo por imposição legal.
Limitação da conservação
Direito à Limitação do Tratamento (Art. 18º).
Afixar o prazo de conservação dos dados.
Há que garantir a Confidencialidade dos Dados, assegurando a sua confidencialidade, integridade e disponibilidade.
Integridade e confidencialidade
Os dados têm de ser conservados de uma forma que garanta a sua segurança e confidencialidade:
– É preciso assegurar e certificar a confidencialidade e integridade dos sistemas de tratamento contra os ataques de hackers;
– Deve ser implementado sistema de deteção de intrusões, e devem ser auditadas as vulnerabilidades do acesso à Base Dados e a robustez do código;
– Identificar os utilizadores que acedem às aplicações pela segregação da função e responsabilidade;
– Verificar onde os utilizadores estão fisicamente localizados e definir políticas de autorização e controle de acesso às aplicações e as bases de dados;
– Auferir se os Dados Pessoais são encriptados em ficheiros, especialmente se o sistema possui dados sensíveis.
Cumprir o Direito à Portabilidade dos dados (Art. 20º).
A plataforma escolhida deve ter uma funcionalidade permita emitir um ficheiro em formato estruturado, de uso corrente e de leitura automática com dados pessoais dos titulares, com o objetivo de serem transmitidos a outra entidade.
Responsabilidade Demonstrada
É necessário que a tecnologia tenha a capacidade de restaurar os dados pessoais no caso de um incidente de segurança ou questão técnica em tempo útil.
Para tal torna-se fundamental estabelecer um processo para testes regulares de segurança e avaliação da eficácia das práticas e soluções de segurança implementadas. As organizações devem praticar o princípio de backup encriptados e remover todos os dados que não são mais necessários.
As sinergias entre o RGPD e a tecnologia
É preciso desmistificar a frequente conclusão de que o RGPD é demasiado complexo para que seja possível ser transposto em tecnologia. A sua complexidade deve à partida ser “quebrada” quando se simplificam os processos na sua organização. É preciso olhar para esses processos e recolher os inputs das diferentes pessoas que têm diferentes funções. A tecnologia centraliza esses inputs e torna o processo mais linear e controlável.
Célia Barata, RegTech & GDPR Business Manager
Saiba mais aqui sobre a solução tecnológica da Uniksystem para cumprir o RGPD.