Passaram quase 7 meses desde que o Regulamento Geral de Proteção de Dados (RGPD) entrou totalmente em vigor, mas para muitas pessoas a fadiga relativa ao assunto instalou-se. Ouvir falar em RGPD é sinónimo de exaustão e é um indicador para o uso de tampões auditivos.

“Não vale apena debater muito o tema! Afinal de contas, ainda ninguém em Portugal foi seriamente multado, lá fora é que as coisas têm sido ligeiramente diferentes …”

A quota destacada anteriormente é parte de uma conversa de bar e em que muitos acreditam fielmente. Em Portugal, a entidade de supervisão do RGPD, a Comissão Nacional de Proteção de Dados, já aplicou as primeiras multas de acordo com a legislação em vigor.

O Hospital do Barreiro foi multado em 400 mil euros e é um alerta importante para as empresas e entidades públicas de que o RGPD não é de facto uma brincadeira, pois tem uma componente processual muito significativa e uma componente tecnológica pesada, uma vez que na maior parte dos casos acaba por implicar um investimento financeiro significativo.

Na verdade, estamos muito atentos à tempestade no que diz respeito à ação regulatória e não há espaço para complacência.

Basta debruçar um olhar atento para o que se passa além fronteiras, onde o número de violações de segurança (data breaches) não para de crescer dia após dia. A prova disso é o ano de 2018. Empresas como o Facebook, a Atlas Quantum, a Dell, a US Postal Service, a Vision Direct, Google Plus, a gigante aérea British Airways … a lista de violações continua em ascensão.

Esta não é de facto uma lista em que as empresas querem aparecer, quanto mais nos primeiros lugares. No entanto, poucas semanas antes do final do ano foi atingido o TOP 2 por uma empresa devido à quantidade de informação vazada — o grupo hoteleiro Marriott International.

No dia 30 de novembro, foi revelado que os registos de até 500 milhões de clientes do grupo Marriott International podem ter sido envolvidos numa violação de dados. Na verdade, não é apenas a maior violação deste ano: é também a segunda maior violação de dados desde que há registo.

Este tipo de violações incluem, tipicamente, um enorme saco de informações pessoais, e que à luz do RGPD representam uma bola de neve de problemas tanto para o responsável pelo tratamento de dados como para  os terceiros que também poderão ser sancionados pelo caminho em caso da não aplicação de medidas de segurança e privacidade sobre o tratamento dos dados.

No caso da Marriott, os dados vazados incluem uma combinação do nome, morada, número de telefone, e-mail, número do passaporte, informações da conta, data de nascimento, sexo, informações de checkin e checkout e ainda dados relativos aos cartões de crédito dos hóspedes.

Os criminosos têm conseguido exfiltrar grandes quantidades de informação dos sistemas informáticos de gigantes organizações a nível mundial. Não existe uma fórmula mágica que garanta a proteção imediata dos sistemas. No entanto, existem guidelines, um conjunto de boas práticas de segurança e proteção que devem ser assumidas o quanto antes pelas organizações como meio de evitar uma catástrofe digital — neste caso, um data breach.

A primeira multa do RGPD foi emitida na Áustria em outubro, outra foi emitida recentemente na Alemanha. A plataforma de chat Knuddels.de (cuddles) foi multada com um valor de 20.000 euros (o valor máximo previsto no RGPD) por guardar as palavras-passes dos utilizadores em plain-text.

Due to a breach of the data security required by Art. 32 DS-GVO, the penalty office of LfDI Baden-Württemberg imposed a fine of EUR 20,000 by decision of 21.11.2018 against a Baden-Württemberg social media provider and – in constructive Collaboration with the company – ensuring significant improvements in the security of user data.” reads the Baden-Wuerttemberg data protection authority.

“By storing the passwords in clear text, the company knowingly violated its duty to ensure data security in the processing of personal data,”

As autoridades de supervisão estão a investigar violações de RGPD na Europa, e o supervisor europeu de proteção de dados, Giovanni Buttarelli, disse à Reuters no mês passado que espera ver amplas ações de regulamentação até o final do ano.

As multas podem chegar aos 20K ou até 4% da faturação anual do grupo?

O regulamento estabelece que as multas administrativas emitidas devem ser “dissuasivas”, bem como “efetivas” e “proporcionadas”.

Embora persista a ideia de que as multas máximas do RGPD são o último recurso para uma total quebra de privacidade dos utilizadores, estes últimos casos são o claro sinal que os supervisores estão atentos e dispostos a punir os casos mais graves com valores perto dos limites máximos dispostos na lei.

A crescente a probabilidade de dano à reputação e o aumento do risco de ações coletivas maliciosas contra os controladores de dados, têm servido como um incentivo para garantir que todas as atividades de processamento de dados sejam mapeadas e adequadamente protegidas para que qualquer entidade, seja ela do setor público ou privado, possa demonstrar à CNPD que as medidas técnicas e organizacionais adotadas são as apropriadas para enfrentar os riscos de segurança e privacidade, e que estas estão totalmente implementadas ou ongoing.

Não é tarde demais para estar em conformidade

Segundo o resultado de uma investigação da IT Governance do Reino Unido, para determinar a extensão do cumprimento do RGPD das organizações nos meses após a entrada em vigor do regulamento, foi obtido o seguinte:

• Apenas 29% das empresas implementaram as mudanças necessárias para atingir a conformidade com o RGPD.
• 59% dos entrevistados estavam cientes das mudanças, mas apenas 29% tinham planos de adaptar seus processos e para resolvê-los.
• 61% dos entrevistados implementaram controlos básicos de segurança para tratar da segurança de dados e da gestão de violações.

A conformidade com o RGPD é um processo contínuo (ongoing). As organizações que não estavam em total conformidade até 25 de maio não perderam o barco. Por outro lado, as organizações que algo fizeram, sentaram-se, e presumem que o seu trabalho está concluído.

A responsabilidade é um princípio fundamental do RGPD: as organizações não devem somente cumprir mas também demonstrar essa conformidade. Isso significa documentar todos os processos e procedimentos organizativos e verificá-los regularmente para garantir que eles ainda são os adequados à finalidade — princípio de accountability.

Se mesmo assim ainda se encontra perdido, deixamos-lhe um pequeno roadmap para que possa demonstrar a conformidade:

1. Estabelecer uma framework de accountability e governança
2. Arquitetar e planear o negócio/projeto antes da sua execução (security and privacy by default).
3. Realizar uma auditoria para identificar os dados e fluxo de dados na organização (inventário)
4. Conduzir uma gap analysis em detalhe
5. Desenvolver políticas, procedimentos e processos operacionais
6. Proteger dados pessoais por meio de medidas técnicas e procedimentos
7. Comunicações internas e externas junto dos funcionários, sensibilização, treino, workshops, etc.
8. Monitorizar e auditar a conformidade de forma contínua

A RISEMA dispõe de uma solução/pacote para multi proteção de dados: RISECYBERDATA Secure Box e ainda uma solução para multi proteção anti-malware e ransomware THOR Enterprise Heimdal Security, eleita a melhor solução do ano 2018.

Um artigo de Pedro Tavares, um profissional na área de segurança de dados, a trabalhar como Ethical Hacker, Analista de Malware e Analista em Cibersegurança.