O Regulamento Geral de Proteção de Dados “entre o Hoje e o Amanhã”

Um dos seus corolários é precisamente o “dever de notificação”, quer à Autoridade competente, quer aos titulares dos dados/potenciais lesados, sempre que o risco de ameaça seja evidente.

E se amanhã acordássemos e a forma como comunicamos fosse completamente diferente?

A política de utilização de emails, o registo e atualização dos dados, a obrigatoriedade de avaliações de impacto sobre a privacidade, os procedimentos em caso de incidente informático, enfim, toda a nossa “pegada digital” na empresa?

Esse dia vai chegar a 25 de Maio de 2018, data em que entrará em vigor o Regulamento Geral de Proteção de Dados (“RGPD”). A primeira nota a retirar é que será aplicável a todos os Estados-membros e dados que circulem na União Europeia. Este é, talvez, um dos maiores desafios para os vários Estados e as suas empresas.

A falta de coercibilidade e/ou eficácia não encontra reflexo no RGPD, porquanto serão aplicadas consequências severas para países como Portugal, prevendo-se a aplicação de sanções por incumprimento que podem atingir os 20M€ ou 4% do volume anual de negócios (no caso das multinacionais).

A Comissão Nacional de Proteção de Dados verá parte das suas atuais funções transferidas para as próprias empresas, que passam a ter de institucionalizar, designadamente, a figura do designado “DPO”, isto é: “Data Protection Officer” ou “Responsável pela Proteção de Dados”. Neste contexto, as nossas empresas terão de começar por analisar em que medida o RGPD lhes será aplicável, aferir a sua conformidade e instituir mecanismos para assegurá-la.

Tudo é relevante na avaliação: a internet, os emails, os servidores, as políticas BYOD (“Bring Your Own Device”), os métodos de acesso e controlo remoto, as SMART GRID, a “internet das coisas”, os metadados, a “computação em nuvem”, entre outros.

Portanto, a mudança do paradigma e a tecnologia trouxeram uma alteração radical e uma “diferente forma de vida empresarial” acompanhada, no revés, pela necessidade de proteger e tutelar os direitos sobre os dados, a informação pessoal e as formas de aferir, medir e utilizar os comportamentos humanos para os mais variados fins. Esta talvez seja precisamente a sinopse do RGPD: proteger e robustecer os direitos em matéria de proteção de dados e aumentar a responsabilização das empresas.

Um dos seus corolários é precisamente o “dever de notificação”, quer à Autoridade competente, quer aos titulares dos dados/potenciais lesados, sempre que o risco de ameaça seja evidente. Este dever traz consigo não só a necessidade de instituir procedimentos de resposta, como também a exposição pública – tornando conhecidos parte dos incidentes informáticos que atualmente não o são.

Se uma empresa é alvo de um ataque de ransomeware – ataque informático que se aloja nas redes/sistemas do alvo e torna “reféns” os seus dados/informação com o objetivo de obter o pagamento de um resgate para a sua recuperação – e tiver um plano de contingência ao qual possa recorrer, menor será o impacto e mais rápida a recuperação.

Dispor de um instrumento que permita recuperar mais rapidamente é vital para responder às obrigações patentes no RGPD e, também, para a continuidade do próprio negócio. Aqui começamos a encontrar mecanismos de mitigação e transferência do risco designados por “apólices de resposta a incidentes informáticos”.

Estas apólices disponibilizam uma equipa de apoio com a missão de: detetar, cessar a intrusão/falha de segurança; responder às autoridades e aos clientes lesados; minimizar o impacto reputacional; liquidar as devidas indemnizações; e, ainda, ressarcir a própria empresa pelos lucros cessantes.

A procura destas apólices tem vindo a aumentar na Europa, sendo há já algumas décadas, nos países de matriz anglo-saxónica, parte integrante das políticas de gestão e mitigação de riscos empresariais, onde têm desempenhado um papel fundamental na hora de responder a incidentes informáticos e na recuperação do negócio das empresas-alvo.

Desde a prevenção à resposta, o desafio é por demais evidente e quanto mais cedo as nossas empresas se começarem a preparar para responder, melhor. A verdade é que o Hoje rapidamente se tornará no Amanhã e o dia 25 de Maio de 2018 está mesmo ao virar da página…



Mais notícias