No dia 28 de janeiro celebrou-se o "Dia Internacional da Privacidade de Dados" e em 2023 registamos o 5º ano da implementação do Regulamento Geral sobre a Proteção de Dados (RGPD) que veio estabelecer um sistema uniforme de regras para a proteção de dados pessoais na Europa, harmonizando, entre outros, a proteção dos direitos e liberdades fundamentais das pessoas físicas em relação às atividades de processamento de dados pessoais. Desde 2018 que este regulamento veio melhorar substancialmente a proteção de dados e os direitos de privacidade para os cidadãos da e na União Europeia. O seu alcance, no entanto, estende-se para além da UE uma vez que qualquer empresa que processe dados pessoais de cidadãos da UE deve cumprir com as suas disposições.
Um dos marcos mais importantes da implementação do RGPD passará, num primeiro plano, pelo maior controlo que foi dado aos titulares sobre os seus dados pessoais e pelo estabelecimento de regras claras sobre como as empresas devem lidar com esses mesmos dados. Por outro lado, ajudou a criar um ambiente de maior consciencialização sobre os temas relacionados com a proteção de dados e questões de privacidade, levando, também, a uma mudança de cultura na forma como as empresas abordam a gestão de dados.
A conformidade com o RGPD representa um desafio e, portanto, significa um risco comercial e reputacional para as organizações e poderá resultar em multas significativas - de até 20 milhões de euros ou 4% da receita anual global de uma empresa.
Cada organização, quer atuando como responsável pelo tratamento de dados pessoais quer como subcontratante, viu aumentar as suas responsabilidades e a necessidade de uma melhor definição de funções internas para garantir que os dados pessoais sejam protegidos de forma eficaz. Nesta perspetiva, o RGPD veio introduzir o princípio da responsabilidade segundo o qual as organizações que tratam dados pessoais são responsáveis por garantir o cumprimento de todas as obrigações de privacidade e proteção de dados pessoais. Neste quadro, em particular, as organizações deverão comprovar a sua conformidade com seis princípios chave: princípio da legalidade e da transparência, lealdade, exatidão, limitação da conservação e minimização, por último o princípio da integridade e da confidencialidade.
O Regulamento Geral sobre a Proteção de Dados requer ainda a adoção de um conjunto de medidas de segurança técnicas e organizativas adequadas ao risco identificado em relação às atividades de tratamento levadas a cabo pelas organizações. Uma vez estimado o risco associado ao tratamento (risco de destruição, perda, alteração, divulgação ou acesso não autorizado, de forma acidental ou ilícita, a dados pessoais transmitidos, armazenados ou tratados de outra forma), as organizações que atuam como responsáveis pelo tratamento de dados pessoais devem identificar e aplicar medidas técnicas para garantir a proteção dos mesmos (como por exemplo anonimização ou criptografia) vertida na sua confidencialidade, integridade e a disponibilidade (além da capacidade de recuperação de incidentes) dos dados bem como resiliência dos sistemas.
Importa também referir que, a par do RGPD, existe um conjunto de outros standards regulamentares, com ou sem força jurídica, que propõem a adoção de medidas e procedimentos técnicos para garantir a segurança da informação. Entre outras, a ISO - International Organization for Standardization (Organização Internacional de Padronização) considera absolutamente essencial que as organizações tenham um plano definido para implementação de algumas medidas técnicas fundamentais para a confidencialidade, integridade e disponibilidade da informação. Destacamos, entre outras, i) a implementação de políticas de gestão de informação, ii) a definição de funções e responsabilidade pelo tratamento de dados, iii) a implementação de gestão de acessos, iv) a definição e implementação de políticas de backup e v) a criação de uma cultura de risco e de formação dos colaboradores.
Perante este desafio exigente, as empresas podem e devem procurar o suporte de especialistas, que ajudem a perceber e a preparar as organizações para incidentes cibernéticos do ponto de vista da proteção de dados, ajudando-as a atuar e a responder de maneira a garantir a conformidade com o Regulamento. Procuramos, também, analisar o nível de risco associado às atividades de tratamento de dados pessoais com referência ao seu negócio, e garantir que existe uma clara definição de funções e responsabilidades para garantir o respeito dos princípios relativos ao tratamento de dados pessoais. É, por isso que, durante a avaliação de risco que consideramos essencial analisar os custos de implementação das principais medidas técnicas em matéria de privacidade e proteção de dados e a natureza, âmbito, contexto e finalidades das atividades de tratamento, bem como o risco (a probabilidade e severidade) associado à eventual violação dos direitos e liberdades dos titulares.
A transferência do risco da responsabilidade pela proteção de dados pessoais não é um conceito novo e, nesse sentido, é possível transferir para uma apólice de seguro de riscos cibernéticos os impactos que, entre outros, uma eventual violação de dados (data breach) possa promover numa determinada organização, seja nos custos e despesas de resposta (legal, regulatória), eventuais impactos reputacionais, gastos de defesa incorridos no âmbito de uma investigação regulatória, reposição de bases de dados afetadas, auditorias forenses sempre aconselhadas e, ainda, na preparação das notificações às autoridades de supervisão e aos titulares dos dados pessoais.
Luís Sousa, Cyber Risk Specialist da Marsh Portugal