Cibersegurança Aspetos Legais

Documentos relacionados
Cibersegurança - aspetos económicos - Um desafio ou uma oportunidade?

Seminário Segurança e Gestão de Risco. Segurança vs Alarmismo - um equilíbrio difícil no novo quadro legal -

Confiança, Privacidade, Proteção de Dados e Segurança na Era do Consumidor Digital

O Regulamento Europeu de Proteção de Dados: os novos desafios do tratamento de dados para as empresas - Isabel Ornelas

Confiança, Privacidade, Proteção de Dados e Segurança na Era Digital

NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS (RGPD)

Seguranc a de Redes Regulamento relativo à segurança e à integridade das redes e serviços de comunicações eletrónicas

A Nova Lei da Retenção de Dados

Maio de 2018: estou em compliance com o novo Regulamento Geral de Proteção de Dados?

Cibersegurança: Segurança das Redes e do Tráfego. Privacidade e Proteção de Dados Pessoais. A Internet of Everything

VISÃO MACRO DE APLICABILIDADE DO RGPD UE 2016/679 DE 27 DE ABRIL DE 2016

CÓDIGO DE CONDUTA PARA PROTEÇÃO DE DADOS PESSOAIS

Regulamento Geral sobre a Proteção de Dados

Data Protection 360º Regulamento Geral de Proteção de Dados

POLÍTICA DA PRIVACIDADE: CÂMARA MUNICIPAL DE SINTRA

Por força de tal diploma legal, a NOPTIS estabelece a sua POLÍTICA DE PRIVACIDADE, nos termos que se seguem.

Segurança da Informação Empresarial

PRESIDÊNCIA DO CONSELHO DE MINISTROS. Proposta de Lei n.º 97/XIII. Exposição de Motivos

DECRETO N.º 238/XIII

MASTER CLASS. Revisão do Pacote Regulamentar das Comunicações Electrónicas ( Revisão 2006 )

b8661bdc3c2b4e2084a b09f4

REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS ABRIL 2017

POLÍTICAS DE PRIVACIDADE

9116/19 JPP/ds JAI.2. Conselho da União Europeia

Os desafios. do Regulamento Geral da Proteção de Dados (RGPD) da General Data Protection Regulation (GDPR) João Paulo M. Ribeiro 28 junho 2017

Assim, impõe-se a transposição para o ordenamento jurídico português da referida diretiva.

O REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

Tendo em conta o Tratado sobre o Funcionamento da União Europeia,

QUALIFICAÇÃO NO NOVO REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS

POLÍTICA DE PRIVACIDADE E DE TRATAMENTO DE DADOS PESSOAIS

PDP.003 (1) Resposta à Violação de Dados Pessoais (Data Breach)

10. Política de Segurança de Terceiras Partes

POLÍTICA CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO

Lei n.º 144/2015, de 8 de setembro

REGULAMENTO DELEGADO (UE) /... DA COMISSÃO. de

RECOMENDAÇÕES. RECOMENDAÇÃO (UE) 2019/534 DA COMISSÃO de 26 de março de 2019 Cibersegurança das redes 5G

(Atos não legislativos) REGULAMENTOS

Marketing Promocional Ao abrigo do novo acordo ortográfico.

O RGPD como política pública: desafios e oportunidades

POLÍTICA DE PRIVACIDADE e PROTECÇÃO DE DADOS PESSOAIS CENTRO HOSPITALAR DE SETÚBAL, EPE

QUALIFICAÇÃO NO NOVO REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS

DESTACAMENTO DE TRABALHADORES NO ÂMBITO DE UMA PRESTAÇÃO DE SERVIÇOS. Lei n.º 29/2017

Cibersegurança e Cibercrime

POLÍTICA DE PRIVACIDADE E TRATAMENTO DE DADOS PESSOAIS

PRESIDÊNCIA DO CONSELHO DE MINISTROS. Proposta de Lei n.º 119/XIII. Exposição de Motivos

Política de Privacidade de Dados Pessoais de Utilizadores

Política Geral de Segurança da Informação da Assembleia da República

POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS

Política de Proteção de Dados Pessoais

O Regulamento Geral de Proteção de Dados e a PSD2: existem conflitos entre os 2 regulamentos? Maria de Lurdes Gonçalves Associada Sénior

Modelo de Política de Privacidade do site Portugal Participa

PT Unida na diversidade PT A8-0206/844. Alteração

Celebram o presente Protocolo que se rege pelo disposto nas cláusulas seguintes:

Política de Privacidade, Segurança e Proteção de Dados

Decreto-Lei n.º 88/2014 de 06 de junho

Orientações Regras e procedimentos das Centrais de Valores Mobiliários (CSD) aplicáveis em caso de incumprimento de participantes

CEGID & Associados. Consultoria e Gestão, Lda. Ceg.01.06/01

Regulamento Interno PARTE PRIMEIRA

REGULAMENTOS. (Texto relevante para efeitos do EEE)

LISTA DE NORMAS E/OU ESPECIFICAÇÕES PARA REDES E SERVIÇOS DE COMUNICAÇÕES ELECTRÓNICAS E RECURSOS E SERVIÇOS CONEXOS DOCUMENTO PARA CONSULTA

Novo Regulamento Geral de Proteção de Dados. glossário

POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS. DE ACORDO COM O RGPD Regulamento Geral sobre a Proteção de Dados -

INFORMAÇÃO PARA CLIENTES PARTICULARES E EMPRESARIAIS PESSOAS SINGULARES

Centro Nacional de Cibersegurança: um desígnio nacional

Política de Privacidade e Proteção de Dados Pessoais

DPO ENCARREGADO DE PROTEÇÃO DE DADOS DATA PRIVACY OFFICER

REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS EPDSI CATÁLOGO DE CURSOS E MANUAIS

Autoridade de Segurança Alimentar e Económica

TERMOS E CONDIÇÕES GERAIS

CQCS Insurtech & Inovação São Paulo, 1 e 2 de agosto de 2018

para Fornecedores EDP

Adenda relativa ao Tratamento de Dados

REGULAMENTO DELEGADO (UE) /... DA COMISSÃO. de

OS DESAFIOS JURÍDICOS DA CIBERSEGURANÇA NUM MUNDO GLOBAL

Orientações EBA/GL/2015/

Exposição de Motivos

Do furto de identidade digital nas Fontes Internacionais e Europeias. Manuel David Masseno

RGPD NA AÇÃO SOCIAL DAS FORÇAS ARMADAS

Orientações e recomendações

POLÍTICA DE PRIVACIDADE DA SOCIEDADE PORTUGUESA DE AUTORES

Deliberação de DELIBERAÇÃO

As obrigações do responsável pelo tratamento de dados

A Proteção de Dados Pessoais

sobre procedimentos de gestão de reclamações relativas a alegadas infrações à Segunda Diretiva dos Serviços de Pagamento

DECISÃO (UE) 2017/935 DO BANCO CENTRAL EUROPEU

Política de privacidade

Política de Proteção de Dados e de Privacidade DreamMedia

Novo Regulamento Geral de Proteção de Dados: novidades e implicações

Declaração de Compromisso Privacidade e Proteção dos Dados Pessoais do grupo NOS

Política de Segurança da Informação

Guia de Preparação para o Novo Regulamento Geral Europeu para a Protecção de Dados

Política de Proteção de Dados Grupo INGUI

Política de Privacidade

CURSO DIREITO E MEDICINA Ano 2 São Paulo

(Texto relevante para efeitos do EEE)

Transcrição:

22 de maio de 2014 AFCEA & IDC Security Forum 2014 "Segurança da Informação e Gestão do Risco na 3ª Plataforma" Cibersegurança Aspetos Legais Sofia de Vasconcelos Casimiro

Cibersegurança Aspetos Legais ÍNDICE I - Introdução II - Enquadramento legal III Ciberataque: o que fazer antes, durante e depois 2

Os incidentes de cibersegurança estão a aumentar exponencialmente I - INTRODUÇÃO Hackers portugueses reivindicaram em setembro de 2013 ataques que desfiguraram os sites da Agência Nacional de Segurança (NSA) dos EUA e da NASA. O coletivo Team Whit3 Portugal publicou ainda 270 endereços de e-mail de várias agências e departamentos dos EUA, incluindo a CIA, o FBI e a NSA. Este é, provavelmente, o maior ciberataque alguma vez lançado a partir de Portugal para o estrangeiro 3

I - INTRODUÇÃO There are only two types of companies: those that have been hacked and those that will be.... And even they are converging into one category: companies that have been hacked and will be hacked again. Robert Mueller former Director of the Federal Bureau of Investigation (FBI) 1 March 2012 4

O que é a Cibersegurança? I - INTRODUÇÃO Consiste na capacidade de proteger as redes e sistemas informáticos, bem como os dados que nestes circulam, de forma a assegurar a respetiva disponibilidade, autenticidade, integridade e confidencialidade 5

Privacidade e Proteção de Dados Pessoais II - ENQUADRAMENTO LEGAL Regimes para a segurança e confiança das transações eletrónicas e para a certificação de identidade Cibercrime Segurança e integridade das redes e dos sistemas de informação Regime do operadores de redes/prestadores de serviços de comunicações eletrónicas e Regime dos prestadores de serviços da sociedade da informação 6

Privacidade Diretiva 95/56/CE Proteção de Dados Pessoais Diretiva 2009/136/CE Diretiva Direitos dos Cidadãos (altera Diretiva e- Privacy) II - ENQUADRAMENTO LEGAL Acórdão que invalida a Diretiva 2006/24/CE Diretiva Retenção 24.10.1995 26.10.1998 Lei 67/98, Lei de Proteção dos Dados Pessoais Diretiva 2002/58/CE Diretiva e-privacy 12.07.2002 18.08.2004 Lei 41/2004, Proteção da Privacidade nas Comunicações Eletrónicas Diretiva 2006/24/CE Diretiva Retenção 15.03.2006 Lei 32/2008, sobre retenção de dados 25.11.2009 Proposta de Regulamento Geral sobre a Proteção de Dados 25.01.2012 29.08.2012 Lei 46/2012, referente à proteção de dados pessoais nas comunicações eletrónicas (altera Lei 41/2004) 03.2014 Início da Discussão no Parlamento Europeu 2014/2015 - Aprovação 7

Cibercrime e Segurança das redes e da informação II - ENQUADRAMENTO LEGAL Comunicação Segurança das Redes e da informação: Proposta de abordagem de uma política europeia Estratégia para uma sociedade da informação segura Diálogo, parcerias e maior poder de intervenção 06.06.2001 23.11.2001 Convenção sobre o Cibercrime 31.05.2006 30.03.2009 15.09.2009 Lei do Cibercrime Criação da Parceria público-privada europeia para a resiliência (PPPER/EP3R) Comunicação Estabelecimento de um Centro Europeu de Cibercrime (EC3) 07.02.2012 Resolução do Conselho de Ministros 42/2012, cria Comissão Instaladora do Centro Nacional de Cibersegurança Diretiva 2013/40/UE relativa a ataques contra os sistemas de informação Proposta de Diretiva sobre Segurança das Redes e da Informação 07.02.2013 28.03.2012 05.04.2012 31.12.2012 12.08.2013 Início da Discussão no Parlamento Europeu 03.2014 Decreto-Lei n.º 69/2014, estabelecendo os termos do funcionamento do Centro Nacional de Cibersegurança 2014/2015 - Aprovação Resolução do Conselho de Ministros 12/2012, aprova Plano Global de racionalização das TIC na AP Resolução do Conselho de Ministros 112/2012, aprova Agenda Portugal Digital 8

Alguns aspetos do regime jurídico II - ENQUADRAMENTO LEGAL Todas as entidades, de qualquer sector (públicas ou privadas) que tratam dados pessoais PRIVACIDADE E PROTEÇÃO DE DADOS Proposta de Diretiva SRI Regras relativas às comunicações eletrónicas Empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público Administração Pública Operadores de infraestruturas críticas essenciais (energia, transportes, banca, bolsa, saúde ) (Fornecedores de serviços da sociedade da informação) 9

Alguns aspetos do regime jurídico II - ENQUADRAMENTO LEGAL Regime das comunicações eletrónicas (Regicom) Obrigações em matéria de segurança e integridade Adotar as medidas técnicas e organizacionais adequadas: (i) à prevenção, gestão e redução dos riscos para a segurança das redes e serviços (ii) para garantir a integridade das redes. Obrigações de notificação e informação Notificar ao regulador as violações de segurança ou das perdas de integridade com impacto significativo no funcionamento das redes e serviços (formato e procedimentos a definir pelo regulador) 10

Alguns aspetos do regime jurídico II - ENQUADRAMENTO LEGAL Privacidade nas Comunicações eletrónicas (Lei 41/2004 e Regulamento (UE) n.º 611/2013) Obrigações em matéria de segurança e confidencialidade Adotar as medidas organizacionais e técnicas adequadas à prevenção do risco existente, tendo em conta a proporcionalidade dos custos e o estado de evolução tecnológica Violação de Dados Pessoais/ data breach Violação da segurança que provoque, de modo acidental ou ilícito a destruição, perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, armazenados ou de outro modo tratados no contexto da prestação de serviços de comunicações eletróncias acessíveis ao público 11

Alguns aspetos do regime jurídico II - ENQUADRAMENTO LEGAL Privacidade nas Comunicações Eletrónicas (Regulamento (UE) n.º 611/2013) Notificar a autoridade de protecção de dados Prazos: 24 horas, /3 dias após primeira notificação Violação de Dados Pessoais/ data breach Se estiver em causa a violação de dados pessoais que possa afetar negativamente o titular deve notificar o titular/cliente Natureza da violação e teor dos dados Prováveis consequências Circunstância em que ocorreu a violação A autoridade de protecção de dados: pode obrigar ou isentar a empresa da obrigação de informar os titulares As empresas devem manter um registo da violação dos dados pessoais 12

Alguns aspetos do regime jurídico II - ENQUADRAMENTO LEGAL Proteção de Dados Pessoais (Lei nº 67/98) Obrigações de proteção dos dados pessoais O responsável pelo tratamento deve por em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra qualquer forma de tratamento ilícito (avaliação de conhecimentos técnicos disponíveis, custos e natureza dos dados a proteger) Adoção de especiais medidas técnicas quando estejam em causa dados sensíveis Violação de DadosPessoais/ data breach 13

Alguns aspetos do regime jurídico II - ENQUADRAMENTO LEGAL Proposta de Diretiva SRI Segurança das redes e dos sistemas de informação Notificação de incidentes Os EM devem assegurar que as administrações públicas e os operadores de mercado adotam as medidas técnicas e organizacionais adequadas para gerir os riscos que se colocam à segurança das redes e dos sistemas informáticos que controlam e que usam na sua atividade (em particular nos serviços essenciais oferecidos). As medidas devem garantir o nível de segurança adequado em função do risco existente Os EM devem assegurar que as administrações públicas e os operadores do mercado notificam às autoridades competentes os incidentes de segurança com impacto significativo na segurança dos serviços essenciais que fornecem A autoridade competente pode informar o público ou exigir que as administrações públicas ou os operadores do mercado o façam se a revelação do incidente for do interesse público. 14

II - ENQUADRAMENTO LEGAL Quais as implicações do incumprimento das obrigações?

CONSEQUÊNCIAS DO INCUMPRIMENTO II - ENQUADRAMENTO LEGAL O incumprimento tem consequências escondidas Gestão de Risco Risco político Risco jurídico Risco de negócio Categorias de risco Risco reputacional Risco financeiro Fonte: Survey sobre Data Security Breach Notification, realizado pelo Ponemon Institute para a White& Case Risco operacional

CONSEQUÊNCIAS DO INCUMPRIMENTO II - ENQUADRAMENTO LEGAL E pode ainda acarretar responsabilidade civil pelos prejuízos causados, para além de responsabilidade contraordenacional: Diploma Coimas Outros Regime de Privacidade nas Comunicações Lei de Proteção de Dados Pessoais Lei das Comunicações Eletrónicas (Regulamento Proteção de Dados) (Diretiva Segurança das Redes e da Informação) Até 5.000.000 Até 30.000 Até 5.000.000 Até 1.000.000 ou, sendo uma empresa, até 2% do volume anual de negócios a nível mundial A determinar pelos Estados- Membros na transposição da Diretiva - Sanção pecuniária compulsória - Negligência e tentativa puníveis (os limites máximos são reduzidos a metade) - Sanção assessória - Sanções assessórias - Negligência e tentativa puníveis - Sanção pecuniária compulsória - Negligência e tentativa puníveis - Sanções assessórias - Sanções aplicadas ao responsável pelo tratamento e ao representante, se designado - Pode haver advertências, antes das sanções - Sanções coerentes com as do Regulamento de Proteção de Dados, se incidente de segurança envolver dados pessoais 17

III CIBERATAQUE: ANTES O que fazer para estar preparado? 18

III CIBERATAQUE: ANTES Avaliar os riscos existentes 19

III CIBERATAQUE: ANTES Mapear as obrigações legais e regulamentares aplicáveis 20

III CIBERATAQUE: ANTES Ter uma estratégia e política interna em matéria de cibersegurança (incluindo proteção de dados pessoais) 21

O QUE FAZER Ter um plano (integrado) para cumprir as obrigações relacionadas com a segurança, resiliência das redes e sistemas de informação e as obrigações em matéria de protecção de dados pessoais 22

III CIBERATAQUE: ANTES Ter uma checklist ou manual de procedimentos em caso de incidente de segurança/violação de dados pessoais 23

III CIBERATAQUE: ANTES Desenvolver uma cultura de cibersegurança na organização 24

III CIBERATAQUE: ANTES Impor regras a todos os que possam ter impacto na segurança da organização (sobretudo trabalhadores) 25

III CIBERATAQUE: ANTES Definir uma adequada cadeia de responsabilidades com os clientes, fornecedores, etc.. 26

Operador de rede pública Prestador de serviços de comunicações Entidade pública ou privada III CIBERATAQUE: DURANTE O QUE FAZER Entidades competentes no domínio da investigação criminal? 2h 1D Violação de segurança ou perda de integridade com impacto significativo 24h 3D Violação dados pessoais e-privacy Não sujeita à Diretiva SRI?? Violação dados pessoais noutros setores Sujeita à Diretiva SRI Incidente com impacto significativo na segurança dos serviços essenciais que fornecem Nova autoridade/ CERT 27

III CIBERATAQUE: DURANTE Como articular as várias entidades envolvidas a nível nacional? Centro Nacional de Cibersegurança Empresas 28

III CIBERATAQUE: APÓS RESPONSABILIZAÇÃO Civil Contraordenacional Disciplinar Criminal 29

CONTACTOS Sofia de Vasconcelos Casimiro PhD, IT Law, Queen Mary Advogada consultora na Área de Telecomunicações & Media, Privacidade, Proteção de Dados & Cibersegurança svc@vda.pt 30

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback