Em termos globais, as empresas sabem que, nos dias que correm, a segurança digital é uma forma de criar valor para o negócio. Desde que entrou em vigor o Regulamento Geral de Proteção de Dados (RGPD), os dados pessoais de clientes tornaram-se ativos fulcrais não só em termos de competitividade, mas também para a sustentabilidade das próprias organizações empresariais.
Se entrarem em incumprimento com os requisitos legais da regulamentação em vigor, as empresas poderão ter de enfrentar consequências devastadoras, dado que as coimas previstas são severas. Porém, além das sanções financeiras, a imagem das empresas no mercado poderá ser bastante afetada, razão pela qual nenhuma empresa desejará ver-se envolvida em processos de quebra de confiança para com os seus clientes.
Apesar dos cuidados e da proatividade das empresas face aos ciber-riscos, do planeamento contínuo dos diversos cenários e respetivas respostas, sabe exatamente como proceder após um episódio de data breach?
O que fazer se a sua empresa for vítima de data breach
O RGPD obriga a que todas as violações de segurança de dados que resultem em risco para os direitos dos titulares sejam comunicadas à autoridade de controlo, assim como aos respetivos titulares desses mesmos dados.
Procedimentos de comunicação de data breach à autoridade de controlo
De acordo com o Artigo 33º do RGPD, em caso de violação de dados pessoais, os procedimentos de comunicação à autoridade de controlo são os seguintes:
1. O responsável pelo tratamento notifica desse facto a autoridade de controlo competente, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada dos motivos do atraso.
A notificação deve, pelo menos:
- Descrever a natureza da violação dos dados pessoais incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, bem como as categorias e o número aproximado de registos de dados pessoais em causa;
- Comunicar o nome e os contactos do Encarregado de Proteção de Dados ou de outro ponto de contacto junto do qual possam ser obtidas mais informações;
- Descrever as consequências prováveis da violação de dados pessoais;
- Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos.
2. O subcontratante notifica o responsável pelo tratamento sem demora injustificada após ter conhecimento de uma violação de dados pessoais.
3. Caso não seja possível fornecer todas as informações ao mesmo tempo, estas podem ser fornecidas por fases, sem demora injustificada.
4. O responsável pelo tratamento documenta quaisquer violações de dados pessoais, compreendendo os factos relacionados com as mesmas, os respetivos efeitos e a medida de reparação adotada. Essa documentação deve permitir à autoridade de controlo verificar o cumprimento do disposto no presente artigo.
Procedimentos de comunicação ao titular dos dados
Já no que respeita à comunicação ao titular dos dados, os procedimentos são:
1. Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada.
2. A comunicação ao titular dos dados descreve, em linguagem clara e simples, a natureza da violação dos dados pessoais e fornece, pelo menos, as seguintes informações:
- Comunicar o nome e os contactos do Encarregado da Proteção de Dados ou de outro ponto de contacto onde possam ser obtidas mais informações;
- Descrever as consequências prováveis da violação de dados pessoais;
- Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos.
3. A comunicação ao titular dos dados não é exigida se for preenchida uma das seguintes condições:
- O responsável pelo tratamento tiver aplicado medidas de proteção adequadas, tanto técnicas como organizativas, e essas medidas tiverem sido aplicadas aos dados pessoais afetados pela violação de dados pessoais, especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a cifragem;
- O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos titulares dos dados já não é suscetível de se concretizar;
- Implicar um esforço desproporcionado. Nesse caso, é feita uma comunicação pública ou tomada uma medida semelhante através da qual os titulares dos dados são informados de forma igualmente eficaz.
Coimas e sanções para empresas incumpridoras
O Regulamento Geral de Proteção de Dados estabelece um quadro de aplicação de coimas bastante severo para as empresas que não cumprirem os requisitos da nova legislação. As sanções assentam em dois escalões (em função da gravidade), a saber:
- Nos casos menos graves, a coima poderá ter um valor até 10 milhões de Euros ou 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado;
- Nos casos mais graves, a coima poderá ter um valor até 20 milhões de Euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.
No primeiro caso, as coimas aplicar-se-ão a falhas no cumprimento de exigências técnicas ou organizacionais, como, por exemplo, falha na comunicação de violações das suas bases de dados, ou falta de certificações.
No segundo, para os casos mais graves de violação dos princípios básicos relacionados com a segurança dos dados, como, por exemplo, o não respeito pelo consentimento dado pelo utilizador ou a transferência de dados pessoais para outros países ou organizações que não assegurem um determinado nível de proteção de dados.
Como proteger a sua empresa de um episódio de data breach
1. Instalar bons antivírus e outros programas que identifiquem malwares;
2. Instalar sistemas de deteção de intrusão e firewalls: recorde-se que uma boa firewall examina todos os pacotes de dados que entram na sua rede privada e certifica-se de que estes dados são legítimos, filtrando pacotes que considera suspeitos;
3. Educar colaboradores: cabe aos líderes/gestores fazerem um trabalho de mindset dos seus colaboradores relativamente à importância crescente da cibersegurança;
4. Proteger passwords: não ter a mesma password para serviços diferentes e escolher passwords fortes (por exemplo, com símbolos alfanuméricos e sinais de pontuação);
5. Proteger redes Wi-Fi;
6. Investir numa VPN (Virtual Private Network): software que cria uma conexão segura e privada na Internet para poder conectar-se a partir de qualquer lugar;
7. Reforçar cuidados com ataques de phishing e de pharming: desconfie de e-mails com as extensões .co, .exe, .scr, .pif, .cmd, cpl, .bat, .vir e .zip – mesmo que tenham sido enviados por pessoas que conhece ou que sejam da sua confiança;
8. Reforçar a proteção de dados existentes na cloud;
9. Fazer, com regularidade, backups dos dados;
10. Assegurar o cumprimento dos direitos ARCO do RGPD: a perda, o roubo e a violação de dados é um tema muito sensível, principalmente desde que começou a ser aplicável o RGPD, a 25 de maio de 2018. Os requisitos de segurança incluem prevenção de destruição acidental ou criminosa, perda, processamento, divulgação, acesso e alteração. Ou seja, estes requisitos devem garantir, entre outros, os direitos ARCO (Acesso; Retificação; Cancelamento; Oposição);
11. Contratar um Chief Security Officer (CSO): responsável pelo desenvolvimento de uma estratégia de segurança para a empresa;
12. Contratar um seguro contra os ciberataques: esta é, indiscutivelmente, uma das melhores formas de melhorar a cibersegurança do seu negócio. Este tipo de seguro pode incluir cobertura para alguns dos incidentes relacionados com os ataques cibernéticos como, por exemplo, ativos digitais danificados ou perdidos, como dados e software; perdas de oportunidades de negócios ou o aumento de custos operacionais devido a uma interrupção dos sistemas da empresa; ou extorsão cibernética se o hacker detiver os dados do segurado para resgate.