Desenvolver conhecimento – Medidas de segurança de dados
De modo a assegurar a proteção dos dados pessoais, a questão da segurança dos dados desempenha decididamente um papel central. As palavras-chave mais cruciais neste contexto são privacidade por design e privacidade por defeito.
Definição
O termo privacidade por design refere-se à proteção de dados através do design tecnológico. Isto significa que, na fase de desenvolvimento de novas tecnologias, devem ser asseguradas soluções adequadas, em conformidade com a proteção de dados. Por exemplo, princípios importantes de proteção de dados, tais como a minimização de dados, não devem ser ignorados aquando do desenvolvimento de novos programas de software e dispositivos.
Privacidade por defeito refere-se à privacidade conseguida através de definições por defeito apropriadas. A pessoa responsável deve assegurar, através de configurações padrão apropriadas, que apenas os dados pessoais que são absolutamente necessários são processados.
Ainda não ficou claro o significado da proteção de dados por design e por defeito? Vejamos alguns exemplos:
Exemplo
Privacidade por design: Integração de conceitos de eliminação em software para processamento de dados ou recurso à pseudonimização (substituição de dados pessoalmente identificáveis por identificadores artificiais) e encriptação (encriptação de mensagens para que apenas possam ser lidas por aqueles que têm autorização para tal).
Privacidade por defeito: Por exemplo, um fornecedor de uma rede social deve assegurar que os dados pessoais dos utilizadores não sejam publicados desde o início do uso, devem estipular algumas predefinições na sua aplicação. As pessoas que utilizam a aplicação da rede social não devem primeiro ter de alterar as definições de “público” para “privado”.
Mas o que é que pode ser feito concretamente para melhorar a segurança dos dados? Vamos falar de algumas medidas adequadas:
Definição dos objetivos de proteção de dados
TOMs – medidas técnicas e organizacionais (Technical and Organizational Measures, em inglês)
Vamos agora analisar as medidas individuais mais detalhadamente:
Os objetivos essenciais de proteção de dados são os seguintes:
Integridade: Os dados correspondem ao original e não foram danificados ou alterados por entidades não autorizadas.
Disponibilidade: Os dados estão disponíveis para as pessoas autorizadas quando e onde elas precisarem. O sistema de processamento de dados é, até certo ponto, tolerante a disfunções e erros.
Confidencialidade: Os dados só são acessíveis a pessoas autorizadas.
O RGPD exige que o responsável pelo tratamento de dados e o processador implementem medidas técnicas e organizacionais (TOMS) adequadas no processamento de dados para assegurar um nível de proteção adaptado ao risco.
Como vimos anteriormente, o RGPD obriga à privacidade por design e por defeito.
No entanto, as medidas precisas a tomar para proteger os dados pessoais são, em última análise, da responsabilidade do responsável pelo tratamento e do processador de dados. Exemplos de TOMs são a pseudonimização e encriptação de dados, informação e formação do pessoal ou cópias de segurança automáticas.
O exemplo seguinte mostra como as medidas de proteção de dados podem ser postas em prática.
Exemplo
Imagina que és um empregado numa empresa que usa uma base de dados de clientes. Esta base de dados de clientes está localizada num servidor. A fim de assegurar um nível adequado de proteção dos dados pessoais dos clientes, seriam concebíveis, por exemplo, as seguintes medidas de proteção de dados:
O acesso a todos os dados do cliente só é possível com palavra-passe e nome de utilizador.
A sala em que o servidor está localizado é trancada com uma chave
Cada utilização é registada, tanto a entrada como a saída, assim como as alterações aos registos de dados. É atribuído um login a cada pessoa.
Os direitos de leitura e escrita só são distribuídos conforme necessário.
Se possível, os clientes não são registados com um nome real, mas com um ID de utilizador.
São feitosbackups de forma regular, que também são testados em relação à sua integridade em determinados intervalos de tempo.
Todos os TOM são revistos numa base trimestral.
Os empregados recebem instruções claras sobre como lidar com dados pessoais, formação básica sobre proteção de dados e avisos regulares específicos de proteção de dados por correio eletrónico.
De modo a assegurar a proteção dos dados pessoais, a questão da segurança dos dados desempenha decididamente um papel central. As palavras-chave mais cruciais neste contexto são privacidade por design e privacidade por defeito.
Definição
O termo privacidade por design refere-se à proteção de dados através do design tecnológico. Isto significa que, na fase de desenvolvimento de novas tecnologias, devem ser asseguradas soluções adequadas, em conformidade com a proteção de dados. Por exemplo, princípios importantes de proteção de dados, tais como a minimização de dados, não devem ser ignorados aquando do desenvolvimento de novos programas de software e dispositivos.
Privacidade por defeito refere-se à privacidade conseguida através de definições por defeito apropriadas. A pessoa responsável deve assegurar, através de configurações padrão apropriadas, que apenas os dados pessoais que são absolutamente necessários são processados.
Ainda não ficou claro o significado da proteção de dados por design e por defeito? Vejamos alguns exemplos:
Exemplo
Privacidade por design: Integração de conceitos de eliminação em software para processamento de dados ou recurso à pseudonimização (substituição de dados pessoalmente identificáveis por identificadores artificiais) e encriptação (encriptação de mensagens para que apenas possam ser lidas por aqueles que têm autorização para tal).
Privacidade por defeito: Por exemplo, um fornecedor de uma rede social deve assegurar que os dados pessoais dos utilizadores não sejam publicados desde o início do uso, devem estipular algumas predefinições na sua aplicação. As pessoas que utilizam a aplicação da rede social não devem primeiro ter de alterar as definições de “público” para “privado”.
Mas o que é que pode ser feito concretamente para melhorar a segurança dos dados? Vamos falar de algumas medidas adequadas:
Vamos agora analisar as medidas individuais mais detalhadamente:
Os objetivos essenciais de proteção de dados são os seguintes:
O RGPD exige que o responsável pelo tratamento de dados e o processador implementem medidas técnicas e organizacionais (TOMS) adequadas no processamento de dados para assegurar um nível de proteção adaptado ao risco.
Como vimos anteriormente, o RGPD obriga à privacidade por design e por defeito.
No entanto, as medidas precisas a tomar para proteger os dados pessoais são, em última análise, da responsabilidade do responsável pelo tratamento e do processador de dados. Exemplos de TOMs são a pseudonimização e encriptação de dados, informação e formação do pessoal ou cópias de segurança automáticas.
O exemplo seguinte mostra como as medidas de proteção de dados podem ser postas em prática.
Exemplo
Imagina que és um empregado numa empresa que usa uma base de dados de clientes. Esta base de dados de clientes está localizada num servidor. A fim de assegurar um nível adequado de proteção dos dados pessoais dos clientes, seriam concebíveis, por exemplo, as seguintes medidas de proteção de dados: