EN

Insights & Media

Newsletters

2023-01-30
Diretriz da CNPD sobre medidas organizativas e de segurança aplicáveis aos tratamentos de dados pessoais

Saiba Mais

Newsletters

A Comissão Nacional de Proteção de Dados (“CNPD”) publicou a Diretriz/2023/1, de 10 de janeiro, na qual elenca um conjunto exemplificativo de medidas técnicas e organizativas que devem ser adotadas pelas organizações para garantir a segurança adequada dos dados pessoais e minimizar os efeitos negativos sobre os direitos das pessoas quando há ataques a sistemas de informação.

Com esta Diretriz, a CNPD pretende sensibilizar as empresas para as suas obrigações legais no domínio da segurança dos tratamentos e para a necessidade de realizarem um maior investimento nesta área.

A CNPD sublinha, ainda, que o recurso à subcontratação não altera o facto de o responsável pelo tratamento deter a responsabilidade global pela proteção dos dados pessoais, competindo-lhe, em primeira linha, assegurar o respeito pelos direitos e interesses dos titulares dos dados, através da implementação das medidas adequadas e da consequente adaptação do seu modelo de negócio.

Entre as medidas organizativas e técnicas que devem, de acordo com a CNPD, ser adotadas pelas organizações nos seus planos de prevenção e de minimização de riscos, encontram-se, nomeadamente, as seguintes:

Medidas organizativas:

  • Definição de um plano de resposta a incidentes e recuperação do desastre;
  • Classificação da informação de acordo com o nível de confidencialidade e sensibilidade;
  • Criação de uma política de gestão de ciclo de vida dos utilizadores;
  • Adoção de alarmística que permita identificar situações de acesso, tentativas ou utilização indevida;
  • Realização de auditorias de segurança de TI e avaliações de vulnerabilidade;
  • Adoção de política interna para lidar com eventuais violações de dados pessoais [1];
  • Sensibilização dos colaboradores para uma cultura de privacidade e segurança da informação.

Medidas técnicas:

  • Implementação de processos robustos de autenticação;
  • Atualização dos sistemas e da infraestrutura, incluindo reforço da segurança dos postos de trabalho e servidores;
  • Definição de políticas e procedimentos internos sobre a utilização de correio eletrónico para envio de mensagens contendo dados pessoais;
  • Implementação de mecanismos de proteção contra malware;
  • Definição de regras claras e adequadas para a utilização de equipamentos em ambiente externo;
  • Definição de procedimentos internos sobre o armazenamento de documentos em papel que contenham dados pessoais;
  • Definição de procedimentos internos sobre o transporte de informação que integre dados pessoais.

Pode consultar a Diretriz da CNPD na íntegra aqui.

[1] A respeito do prazo de notificação de uma violação de dados pessoais à autoridade de controlo, a CNPD veio sublinhar que o prazo de 72 horas que o responsável pelo tratamento tem que cumprir é um prazo contínuo, não se suspendendo aos sábados, domingos e feriados.