RGPD NA AÇÃO SOCIAL DAS FORÇAS ARMADAS

Transcrição

1 RGPD NA AÇÃO SOCIAL DAS FORÇAS ARMADAS O RGPD Presente e Futuro - 23MAI19 COR Luís Nunes IASFA, I.P.

2 RESUMO Ação Social do IASFA, I.P. e RGPD Segurança da Informação Assuntos Emergentes Visão Prospetiva

3 Ação Social do IASFA, I.P. e RGPD Segurança da Informação Assuntos Emergentes Visão prospetiva

4 DESCENTRALIZAÇÃO GEOGRÁFICA Residências Assistidas OEIRAS UF1 B UF1 - A Administração e Refeitório RUNA PORTO Serviços de Apoio Médico ALFEITE BRAGA UF2 PORTO SANTO

5 TIPOLOGIA DE DADOS Dados de Negócio ERPI Património Imobiliário Turismo e Lazer Dados Pessoais Residentes (Nacionais e Internacionais) Viajantes (Nacionais e Internacionais) Arrendatários Dados Sensíveis Dados Biométricos Dados de Saúde

6 COMPLEXIDADE TECNOLÓGICA Múltiplos Sistemas Informáticos Múltiplas Arquiteturas Múltiplos Perfis de Tratadores de Dados Sistemas Legados Bases de Dados de Diferentes Origens

7 IMPLEMENTAÇÃO DO RGPD SIADM e SIASC Normalização tecnológica Portal único do Beneficiário/Empregador/Prestador Plataforma de Interoperabilidade com o MDN e Ramos Sistema de Gestão de Saúde (centralização de BD e controlo) Sistema de Recursos Humanos (recolha biométrica) Regulamentos Internos e Formulários de Recolha de Dados Identificados a maioria dos processos de tratamento de dados Reengenharia de processos (privacy by design)

8 Ação Social do IASFA, I.P. e RGPD Segurança da Informação Assuntos Emergentes Visão prospetiva

9 REGRAS Confidencialidade Disponibilidade Integridade

10 PRIVACY/SECURITY BY DESIGN ENISA: Art.º 25.º RGPD Implementação de requisitos na fase de design é preferível à adaptação de produto ou serviço num estágio posterior

11 RISCO

12 GESTÃO DE ACTIVOS

13 VULNERABILIDADES

14 AMEAÇAS - MITRE ATT&CK Advanced Tactics Techniques and Procedures 12 Táticas e 244 Técnicas

15 Ação Social do IASFA, I.P. e RGPD Segurança da Informação Assuntos Emergentes Visão prospetiva

16 SEGURANÇA DO TRATAMENTO Artigo 32.º 1. Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco Nível de Aceitação do Risco? Mensuração da probabilidade e gravidade?

17 SEGURANÇA DO TRATAMENTO Artigo 32.º 2. A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento; Quem consegue assegurar o quê e quando, face à evolução tecnológica e das ameaças?

18 SEGURANÇA DO TRATAMENTO Artigo 32.º 3. A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico; Redundância de Datacenters face à RCM 12/2012? Nível de prontidão? Custos de Software e Equipamento?

19 SEGURANÇA DO TRATAMENTO Art.º 13.º Princípio da limitação de conservação, prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo; Art.º 17.º Direito ao apagamento dos dados («direito a ser esquecido») Correlação dos prazos de conservação dos dados com o Regulamento Arquivístico para a Gestão da Informação Pública?

20 NOTIFICAÇÃO À AUTORIDADE DE CONTROLO Artigo 33.º Em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo competente nos termos do artigo 55.º, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma,

21 NOTIFICAÇÃO DE INCIDENTES AO CNCS Artigo 15.º Notificação de incidentes para a Administração Pública e operadores de infraestruturas críticas 1 A Administração Pública e os operadores de infraestruturas críticas notificam o Centro Nacional de Cibersegurança dos incidentes com um impacto relevante na segurança das redes e dos sistemas de informação, no prazo definido na legislação própria referida no artigo 13.º. Um incidente com violação de dados pessoais, a quem compete?

22 VIOLAÇÃO DE DISPOSIÇÕES Artigo 83.º A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.º 2, a coimas até EUR ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado: a) As obrigações do responsável pelo tratamento e do subcontratante nos termos dos artigos 8.º, 11.º, 25.º a 39.º e 42.º e 43.º;

23 INCUMPRIMENTO DE REQUISITOS DE SEGURANÇA Artigo 23.º Infrações muito graves 1 Constituem infrações muito graves: a) O incumprimento da obrigação de implementar requisitos de segurança tal como previsto nos artigos 14.º, 16.º e 18.º; b) O incumprimento de instruções de cibersegurança emitidas pelo CNCS tal como previsto no n.º 5 do artigo 7.º 2 - As contraordenações referidas no número anterior são punidas com coima de 5000 a , tratando-se de uma pessoa singular, e de , no caso de pessoa coletiva. Num incidente com violação de dados pessoais qual a coima?

24 Ação Social do IASFA, I.P. e RGPD Segurança da Informação Assuntos Emergentes Visão prospetiva

25 RGPD Fundamental para os Cidadãos AP - implementação dos requisitos técnicos RCM n.º 41/2018, até 01OUT19 Definição de Políticas e procedimentos Avaliação de medidas para assegurar segurança do tratamento Consultoria externa na avaliação de vulnerabilidades, risco e controlos Formação a quem procede ao tratamento de dados pessoais Investimento em tecnologia e serviços Um exemplo da Europa no Mundo

26 RGPD NA AÇÃO SOCIAL DAS FORÇAS ARMADAS O RGPD Presente e Futuro - 23MAI19 COR Luís Nunes IASFA, I.P.