Segurança da informação e o RGPD

Os princípios da segurança da informação foram, em muitos aspetos, as bases do Regulamento Geral de Proteção de Dados (RGPD). Embora com a promulgação da norma as regras impostas e as condutas exigidas tenham se tornado algo aparentemente mais afeito à seara jurídica, a verdade é que engenheiros e informáticos que lidam com processamento de dados em grande empresas já possuem um cotidiano similar ao exigido no RGPD há anos.

Em primeiro lugar: sim, os direitos do titular dos dados no RGPD estão claramente baseados nos princípios da segurança da informação, do ponto de vista técnico. Esses princípios podem ser resumidos em:

  1. Confidencialidade – proteção da informação contra qualquer tipo de acesso não autorizado ou interceptações.
  2. Integridade – garantia de que a informação seja armazenada e possa ser acessada ou recuperada a qualquer momento, sem prejuízos para o seu conteúdo.
  3. Disponibilidade – garantia de que toda a informação armazenada possa ser disponibilizada aos responsáveis e pessoas autorizadas, quando requerida.
  4. Autenticidade – relacionado à confidencialidade e também à disponibilidade, a autenticidade garante a origem de uma informação e também a identidade das pessoas que a manipularam.

Um dos aspetos principais do RGPD é exatamente a garantia e proteção dos direitos do usuário relacionados a esses quatro princípios da segurança da informação. Todo titular de dados tem por direito o “apagamento” dos seus dados, acesso irrestrito aos mesmos, transferência ou portabilidade, direito à retificação dos dados, oposição e limitação à forma com que seja feito o processamento e também transparência e informação no sentido de estar ciente de mudanças, novas políticas ou mesmo ameaças e vazamentos dos dados.

Todos esses direitos concedidos podem, sem exceção, ser enquadrados em um ou mais princípios da segurança da informação. Assim sendo, é justo considerar que, para toda e qualquer “boa prática” não definida por ora para o RGPD, aplica-se por exclusão uma boa prática consolidada na área de segurança e privacidade da informação. Notadamente, estamos a falar das normas específicas desse segmento.

Como gerenciar a Segurança da Informação

Descrição de responsabilidades, tarefas e encargos são os pontos de partida obrigatórios para uma boa gestão da segurança da informação – gerir o RGPD exigirá do encarregado da proteção de dados o mesmo. De forma mais detalhada possível, devem ser descritos de forma clara:

  • A política ou normas de conduta.
  • Os processos, ou tudo o que precisa ocorrer para atender aos objetivos de segurança.
  • Os procedimentos, com detalhes de quem deve fazer o que e quando.
  • Instruções claras de trabalho, se possível descritas em passos.

O RGPD estabelece procedimentos específicos, mas em linhas gerais, é exatamente disso que a norma trata. A diferença aqui é que, para além do âmbito de uma empresa ou organização em particular, o foco passa a partir do usuário ou titular dos dados. De qualquer modo, normas voltadas à padronização na segurança da informação, como a família ISO 27000 de normas técnicas, já colocavam não apenas a “empresa” como cliente, mas todos os demais stakeholders possíveis ou existentes: empregados, clientes, usuários externos e internos em geral, parceiros, autoridades, etc.

A gestão da segurança da informação é um processo contínuo. Fatores externos e internos influenciam toda a política e a gestão da informação e precisam ser constantemente monitorados, para que modificações sejam realizadas. Exatamente o mesmo se passa no escopo do RGPD.

Direito ao Apagamento – Modelo de E-mail

Para websites que possuem sistemas de perfis de usuários ou login, o Direito ao Apagamento é assegurado a todos os usuários e deve ser realizado mediante requisição. Em muitos casos, empresas preferirão enviar uma última comunicação a esses usuários, informando sobre o respeito à norma e também como tentativa de reverter a decisão.

Recomenda-se, como em todo o restante no que se refere ao GDPR, brevidade e objetividade de comunicação. Para tanto, preparamos um modelo de e-mail que poderá ser copiado e utilizado livremente.

 

TÍTULO: Requisição para Encerramento de Conta e “Apagamento”

Estimado {{username}}

Compreendemos sua requisição de encerramento e apagamento dos seus dados e, sem dúvida, cumpriremos com o disposto em lei e encerraremos e apagaremos todos os seus dados presentes em nossa base de imediato. Solicitamos sua compreensão no sentido de confirmar sua solicitação e preencher alguns dados básicos para proceder a completa remoção das suas informações do nosso sistema. Por favor, <a href="{{URL de apagamento}}">clique aqui</a>.

Lembramos que o processo de remoção completa dos seus dados poderá levar algum tempo e obedeceremos nesse sentido aos prazos estabelecidos pelo Regulamento Geral de Proteção de Dados. Assim que o processo tiver sido concluído, o informaremos neste mesmo e-mail.

Melhores cumprimentos,

Assinatura do DPO ou responsável