alterações aos códigos fiscais

5 aspetos no caso de incidentes e violações de dados pessoais

Aspetos relevantes na criação de um plano de resposta a incidentes de violação de dados pessoais

Risk
08/01/2021
alterações aos códigos fiscais

Incidentes são acontecimentos diversos que podem ocorrer no dia-a-dia das empresas, dos funcionários e de cada um de nós. Quando acontecem, por vezes podem implicar violações de dados pessoais ou não. 

É muito comum partir do principio que violações de dados são sempre obra de hackers ou de vírus informáticos mas a realidade é que muitas vezes as causas são mais banais: perda ou furto de equipamentos ou documentação, acessos não autorizados por antigos colaboradores, por exemplo.

Qualquer organização deve ter um plano para poder responder e atuar sobre os mesmos com vista a minimizar os efeitos negativos e adversos que eles podem vir a causar na sua reputação. 

No âmbito da conformidade para com o RGPD e procurando responder aos considerandos 49, 86 e 88 bem como aos artigos 33º e 34º, as organizações devem procurar implementar um plano de resposta a incidentes. 

A pergunta seguinte é: Como posso criar um plano desses?  Deixo-vos aqui algumas dicas.

 

1. Identificar e Prioritizar ativos

Já se questionou sobre o que aconteceria ao seu negócio se este fosse alvo de roubo ou dano dos principais ativos de dados? Que tipo de perdas iriam causar?

Num processo de obtenção da conformidade com o RGPD, uma das medidas consiste na execução de um mapeamento de dados, bem como de uma análise de risco. Dois passos que podem auxiliar neste processo de identificação.

Identificar quais os ativos principais: 

  • Identificar quais os dados cruciais.
  • Identificar as bases de dados que contenham dados pessoais. 
  • Mapear onde a sua empresa os guarda.

 

2. Identificar potenciais riscos à atividade

Pesquise. Observe quais as maiores ameaças atuais contra os seus sistemas e negócio. Lembre-se de que isso varia consoante a empresa e o respetivo sector de atividade.

Deixamos aqui estão alguns exemplos de alguns riscos possíveis:
  • Perda ou roubo
  • A Internet (hacking, engenharia social)
  • Eventos naturais 
  • Desgaste
  • Periféricos de armazenamento externo ou removível 
  • Segurança do serviço de email, servidores ou infraestrutura
  • Acessos de terceiros às instalações

 

3. Estabelecer procedimentos de análise e resposta

Nenhuma organização pode apenas desejar que os seus colaboradores saibam o que fazer no caso de acontecer um incidente ou uma violação de dados pessoais. 
Se a empresa não tiver um conjunto de procedimentos implementados que possa seguir, um funcionário em pânico pode acabar por cometer erros cruciais comprometendo a suas infraestruturas o que pode custar caro para sua organização. 

Desta forma as suas políticas e procedimentos para lidar com uma violação de dados devem incluir:

  • Processos para Identificar um incidente e conter uma violação de dados
  • Ter um plano de notificação e comunicação
  • Saber como registar informações sobre a violação e medir o seu impacto
  • Definir medidas de mitigação 
  • Ter processos de resposta para as autoridades de controlo (72horas para informar a CNPD), e eventuais titulares de dados afetados.
  • Ter um programa de formação e sensibilização dos colaboradores
 

4. Definir uma equipa de Gestão e resposta a incidentes

Precisará de designar uma equipa que ajude a coordenar as ações na sua organização após a descoberta de um incidente ou uma violação de dados. O objetivo dessa equipa é ajudar a coordenar os recursos durante um incidente para minimizar o impacto e restaurar as operações o mais rapidamente possível.

No caso de uma violação de dados pessoais essa equipa deverá incluir recursos humanos das seguintes funções:

  • Ter um Gestor de Incidente (Líder de equipa de projeto)
  • Diretor de TI
  • Responsável de departamento impactado
  • DPO 
  • RH ou Representante Legal
  • Um Diretor executivo 

Certifique-se de que sua equipa cobre todos os aspetos da sua organização e que eles entendam o seu papel nas funções e atividades específicas do plano. A envolvência de alguns elementos pode depender do nível de risco que essa violação apresenta. 

 

5. Ter o "buy-in" das chefias e formação das equipas e staff interno

A equipa de resposta a incidentes não será muito eficaz se não tiver: 

  • O apoio e os recursos adequados para executar o plano. 
  • O compromisso dos membros executivos para com a ideia de proteger dados e cumprir com o regulamento
  • A decisão por parte dos membros executivos em ter uma equipa de resposta a incidentes
  • A demonstração de que forma este plano beneficiará a empresa
  • Os funcionários cientes do plano e devidamente treinados para o executarem
 

Ter um plano de resposta a incidentes só por si não o ajudará a evitar uma violação de dados, mas é um primeiro passo importante. Este plano tem de ser do conhecimento de toda a organização e deve ter a equipa de resposta e staff devidamente treinados para agir quando existir um incidente. 
Como responsável pela elaboração do plano precisa de se certificar que os decisores da empresa estão cientes da necessidade e dos benefícios de ter um plano de resposta a incidentes.  Apresente as vantagens de se investir num plano de incidentes (pense p.ex. nos danos reputacionais e operacionais da empresa no caso desta sofrer uma violação de dados e gerir mal o incidente). Quanto melhor apresentar os seus objetivos para proteger o negócio, mais fácil será para obter o financiamento e recursos necessários para criar, treinar e executar o plano.

 
Aviso Legal:
As opiniões expressas neste documento podem não se aplicar à sua entidade, negócio, ativo ou circunstância. Deve procurar aconselhamento profissional e adotado um julgamento independente em relação ao conteúdo do artigo e aos temas relacionados. Além disso, as opiniões expressas neste documento não são um indicador necessário de nossa abordagem para qualquer atribuição ou situação específica de avaliação. 

 

Texto produzido por Paulo Garrido, Consultor RGPD & DPO na Crowe Portugal.

Contacte-nos

Os nossos especialistas em RGPD esclarecem as suas dúvidas
Paulo Garrido
Paulo Garrido
GDPR Consultant & DPO
Advisory Firm
jose rodrigues
José Madeira Rodrigues
Compliance & GDPR Consultant
Advisory Firm