A protecção de dados pessoais nas organizações: o futuro hoje.

Transcrição

1 A protecção de dados pessoais nas organizações: o futuro hoje. Fórum dos Auditores IPAI Lisboa, 22 de Janeiro de 2015 Tiago Félix da Costa Este documento constitui documento de suporte a uma apresentação do seu autor e em nenhum caso pode ser considerado como forma de aconselhamento jurídico.

2 1. Conceitos essenciais Conceito (legal) de Dados Pessoais: Qualquer informação, de qualquer natureza e independentemente do respectivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável a pessoa que possa ser identificada directa ou indirectamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social»;

3 2. A importância dos dados pessoais A temática dos dados pessoais parece envolvida num paradoxo sem fim

4 2. A importância dos dados pessoais Porque é que as organizações se devem preocupar com os temas da protecção de dados pessoais e da privacidade? 1. Riscos legais/sancionatórios. 2. Riscos económico-financeiros. 3. Riscos reputacionais.

5 2. A importância dos dados pessoais Porque é que muitas organizações em Portugal ainda desvalorizam os temas da protecção de dados e da privacidade? 1. O valor reduzido das coimas. 2. O enforcement pouco expressivo e eficaz por parte da Comissão Nacional de Protecção de Dados Pessoais (CNPD). 3. A falta de awareness e a prevalência da forma sobre a substância.

6 2. A importância dos dados pessoais Porque é que desvalorizar a protecção de dados pessoais e a privacidade no seio das organizações é errado? 1. O contexto legal europeu está prestes a ser revolucionado: o novo Regulamento Europeu em matéria de dados pessoais. 2. O nível de awareness do público e dos media sobre as questões da privacidade, mesmo em Portugal, tem vindo a aumentar significativamente. 3. Em muitos casos, o risco reputacional é muito elevado e sobrepõe-se aos outros riscos identificados.

7 3. O novo Regulamento Europeu sobre Protecção de Dados Pessoais O Novo Regulamento Europeu sobre Protecção de Dados Pessoais: uma mudança de paradigma Aplicação transversal a todos os sectores de actividade e a todos os Estados-membros. Coimas de valor máximo até 5% do turnover global da empresa (ou do grupo) ou de ,00 consoante o que for mais elevado. Obrigações de comunicação às autoridades e/ou aos visados em caso de acesso indevido a dados pessoais (data breach). Obrigação da existência de um Data Protection Officer (DPO) independente em certas empresas. Obrigação de realização de Privacy Impact Assessments.

8 4. Exemplo prático de um data breach e dos danos potencialmente associados Exemplo*: A Zuper é uma empresa que vende produtos variados aos seus clientes, sendo líder de mercado em Portugal com milhões de fiéis clientes, e apostou recentemente na sua internacionalização. Imagine que no seio da Comissão Executiva da Zuper está a ser discutido o projecto X, que constitui não só uma mudança estratégica no negócio, como uma jogada fundamental de antecipação à concorrência. Dado o impacto que o projecto pode vir a ter no negócio e a respectiva sensibilidade, o projecto X tem sido tratado como secreto na organização e, entre os mais de 3000 colaboradores da empresa, só 5 pessoas têm conhecimento do mesmo: o CEO, outros dois administradores, um director de área e o director de IT. * Este exemplo constitui um exemplo teórico criado apenas para o contexto desta apresentação.

9 4. Exemplo prático de um data breach e dos danos potencialmente associados Exemplo 1 manhã do dia 1 O dia 22 de Janeiro seria apenas mais um dia na vida de Jaime, o CEO da Zuper. Jaime estava entusiasmado com o projecto X e tinha programada para essa tarde uma reunião de follow up com a equipa do projecto X. Porém, enquanto tomava o pequeno almoço e verificava os s, Jaime constatou que tinha um na sua conta pessoal. Era estranho, praticamente não usava essa conta. de: anonymous.friend@gmail.com subject: coisas zuper importantes.

10 4. Exemplo prático de um data breach e dos danos potencialmente associados Exemplo 1 manhã do dia 1 Caro Jaime, Estás com o rei na barriga. Todo satisfeito por seres o CEO da Zuper. Mas a mim não me enganas e vou-te tramar. Tenho estado a fazer o download de todos os dados do vosso CRM clientes! Nada mau, Jaime. Ainda não sei o que fazer a tanta informação. Sei mais da vida dos clientes da Zuper que eles próprios. Talvez publique esta informação na net ou talvez a venda! Ahhh e que interessante é o vosso projecto X! Uma bomba mesmo, a não ser que rebente antes de tempo. Não sei como vamos resolver isto, mas estou disponível para ser convencido (eheh!) a devolver-vos esta informação. Fico à espera que me digas alguma coisa. O amigo anónimo Ps: Isto não é uma ameaça. Não vale a pena chamar a polícia!

11 4. Exemplo prático de um data breach e dos danos potencialmente associados Exemplo 1 manhã de dia 1 Jaime sentia-se perdido: Seria verdade? Seria possível ter sido traído? A empresa não gastara milhões de euros em IT, como seria possível? O que deveria fazer? Pagar? Comprometer os dados de tantos clientes? Chamar a polícia judiciária? Jaime adiou as respostas a estas questões e decidiu reunir uma equipa de emergência, partilhando imediatamente com a mesma o que havia recebido

12 4. Exemplo prático de um data breach e dos danos potencialmente associados Exemplo 1 tarde do dia 1 Reunião de crise: Os semblantes estavam carregados e as notícias iniciais não eram boas: 1. Segundo o IT, existia evidência de grandes volumes de informação transferidos das bases de dados de suporte ao CRM para fora dos sistemas da organização. Porém, os logs não tinham detalhe suficiente, pelo que demoraria ainda alguns dias a apurar que informação havia sido, de facto, transmitida para fora da empresa. 2. A informação dos clientes não estava segregada ou anonimizada, pelo que cada ficheiro continha não só a informação de identificação do cliente (nome, morada, nif, etc), como todo o detalhe de compras. Como nunca foram definidos prazos de conservação, o detalhe da informação compreendia todo o período desde o início da relação dos clientes com a Zuper. 3. Existiam cerca de utilizadores com acesso a esta informação um número superior ao número de colaboradores! Jaime não conseguia compreender isto e o histórico de perfis atribuídos não era centralizado, pelo que, não só demoraria algum tempo a despistar acessos indevidos, como demoraria mais tempo associar acções suspeitas a pessoas concretas. 4. Entretanto, a equipa de IT encontrou os seguintes anónimo # Zuper millions of records for sale here:

13 4. Exemplo prático de um data breach e dos danos potencialmente associados Estaria a Zuper preparada para enfrentar um presumível data breach com esta aparente dimensão e com esta gravidade? Estão as vossas organizações preparadas para prevenir e reagir a estes eventos?

14 4. Exemplo prático de um data breach e dos danos potencialmente associados Breve elenco de possíveis consequências: 1. Divulgação da informação pessoal dos clientes na Internet. 2. Anulação da vantagem competitiva pela divulgação pública do projecto X. 3. Reclamações de clientes e, dependendo da sensibilidade da informação divulgada, potenciais acções de indemnização. 4. Perda de clientela. 5. Exposição negativa nos media. 6. Inspecção aos sistemas por parte da CNPD e eventuais processos contra-ordenacionais e/ou criminais, com todos os custos associados. 7. Gestão da crise com outros reguladores/supervisores nacionais ou estrangeiros.

15 5. Preparar a organização para o futuro A protecção de dados pessoais e a privacidade nas organizações: o futuro hoje. Por onde começar?

16 5. Preparar a organização para o futuro Os primeiros 4 passos essenciais: 1.º Avaliar os riscos gerais do negócio associados à protecção de dados pessoais e da privacidade Os dados pessoais e a privacidade estão no core do negócio? A empresa trata dados pessoais sensíveis de clientes? Eventuais crises associadas à informação pessoal de clientes e privacidade podem causar danos relevantes à organização?

17 5. Preparar a organização para o futuro Os primeiros 4 passos essenciais: 2.º Avaliar de que forma a organização tem tratado os dados pessoais e a privacidade? Os dados pessoais e a privacidade são valores da organização? Estão presentes nas políticas e procedimentos da organização? Como e em que grau? Os impactos na protecção de dados pessoais e na privacidade já foram ou são avaliados na organização? Constituem uma preocupação dos colaboradores? A organização realiza notificações de tratamentos de dados pessoais à CNPD? Qual é o ponto de situação dos tratamentos notificados e não notificados?

18 5. Preparar a organização para o futuro Os primeiros 4 passos essenciais: 3.º Estabelecer um compromisso de alto nível com os dados pessoais e com a privacidade Em função da avaliação dos pontos 1 e 2, a gestão deve estabelecer um compromisso claro a protecção de dados pessoais e a privacidade. Antes de ser exteriorizado, o compromisso deverá esclarecer de forma inequívoca qual a importância da protecção de dados e da privacidade para a organização e qual o nível de compliance que se pretende atingir. Antes do compromisso ser exteriorizado, e em função do que for definido, deve estabelecer-se um action plan para concretização do mesmo a médio-prazo.

19 5. Preparar a organização para o futuro Os primeiros 4 passos essenciais: 4.º Definir um action plan para concretizar o compromisso assumido Em função do compromisso assumido e dos custos associados, deve definir-se um plano de concretização do compromisso. Seja qual for o nível de compromisso, a prioridade será identificar situações de elevado risco ou de risco eminente e começar por minimizar esses riscos. A escolha dos responsáveis pela criação e execução do plano é crucial. O plano deve tanto quanto possível ser acompanhado de uma avaliação de custos.

20 6. Alguns exemplos de instrumentos essenciais para a protecção de dados pessoais nas organizações. 1. Política de privacidade e protecção de dados pessoais. 2. Criação de programa de compliance específico ou inclusão destes temas no programa geral da empresa quando se justificar. 3. Auditorias específicas em matéria de protecção de dados pessoais e privacidade. 4. Introdução da avaliação da protecção de dados pessoais e da privacidade como obrigatória nas decisões sobre sistemas de informação. 5. Avaliação de impacto na privacidade e na protecção de dados pessoais nos novos projectos. 6. Avaliação da privacidade e dos dados pessoais nas relações (contratuais) com clientes especial atenção ao consentimento. 7. Avaliação da privacidade e dos dados pessoais nas relações com parceiros, fornecedores e terceiros. 8. Simulação de raids por parte da CNPD. 9. Formação aos colaboradores em matéria de protecção de dados pessoais e privacidade.

21 Tiago Félix da Costa