O RGPD e as soluções tecnológicas de segurança para a conformidade

Obviamente que, sendo este um problema levantado pela tecnologia é também através da tecnologia (e de algum bom-senso!) que poderá ser resolvido, de forma a mitigar os potenciais efeitos negativos na atividade das empresas cuja atividade depende em maior ou menor grau da recolha e utilização de dados pessoais.

Porque, como neste momento já todos sabemos, este não é um problema que afeta apenas as maiores organizações – embora a responsabilidade (e consequência da não-conformidade) destas seja mais grave – mas sim todas e quaisquer empresas, incluindo as PMEs. No fundo, é algo que diz respeito e irá afetar todas as organizações que recolham e/ou processem dados pessoais, pelo que será muito importante compreender os seus fundamentos, requisitos e impacto.

Mas o que são dados pessoais?

Um bom ponto de partida para se perceber o impacto da entrada em pleno vigor do RGPD, é que o seu objetivo visa proteger e dar controlo dos dados pessoais aos seus titulares, pessoas singulares no espaço europeu, substituindo leis nacionais (que em Portugal é a Lei de Proteção de Dados 67/98) e unificando-as de forma a que haja tratamento e responsabilidades iguais na proteção dos dados pessoais.
Mas o que são “dados pessoais”?

No âmbito deste novo regulamento, entende-se por dados pessoais toda e qualquer informação, independentemente do seu suporte, que permita a identificação ou torne identificável o seu titular. Isto inclui nomes, moradas, idade, género, religião e NIF mas também endereço email, endereço IP, entre outros, incluindo som e imagem que possam levar à identificação da pessoa em causa.

Desde logo, o regulamento obriga a que todas as organizações que recolham e/ou processem dados pessoais – e que para isso já receberam o consentimento dos seus titulares – devem por defeito e conceção (um conceito referido no regulamento como “Privacy by default” e “Privacy by design”) implementar medidas de proteção de forma a garantir a privacidade e confidencialidade dos dados recolhidos.

As soluções técnicas e os serviços de segurança

Este artigo não pretende ser uma recolha exaustiva de todas as vertentes do RGPD que afetem as empresas, mas sim uma chamada de atenção a um ponto muito sensível: o da segurança dos dados e do seu tratamento. O artigo 32 do RGDP (“Segurança do Tratamento”) refere que devem ser implementadas medidas técnicas e organizacionais para assegurar um nível de segurança apropriado ao risco, tendo em conta as técnicas mais avançadas, os custos de aplicação face aos riscos, probabilidade e gravidade variável.

Na prática, isto traduz-se em quatro categorias de medidas:

1. Pseudonimização e cifragem de dados pessoais;
    
2. Medidas capazes de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços de tratamento;
    
3. Medidas capazes de restabelecer a disponibilidade e acesso a dados pessoais de forma atempada, no caso de um incidente físico ou técnico que as impeça ou prejudique;
    
4. Processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas aplicadas para garantir a segurança do tratamento.

Uma vez que hoje há facilidade na descentralização dos dados, muito associada à melhoria da produtividade, (ex.: utilização em mobilidade de computadores portáteis, acessos remotos, transporte de dados em pendrives, discos externos) e consequentemente um aumento do risco de perda ou roubo dos mesmos, torna-se importante compreender o fluxo de circulação dos dados dentro da organização desde o instante em que são recolhidos, depois processados e conservados.

Tendo em conta que as organizações devem, consoante o nível de risco de perda ou roubo de dados pessoais, implementar as medidas de segurança apropriadas, após tomados os passos organizacionais e administrativos recomendados pelo RGPD (ex.: que dados são recolhidos e onde, qual a sua finalidade, qual o tempo de armazenamento dos mesmos, como são comunicados ou partilhados, onde ficam armazenados, entre outros), devemos focar-nos nos pontos onde reside o maior risco de perda ou roubo de dados, designadamente:

• Computadores portáteis (em muitos casos, desktops também);
   
• Dispositivos portáteis de armazenamento de dados (ex.: discos rígidos externos, pendrives)

De forma a facilitar a categorização do risco de perda ou roubo de dados pessoais, podemos classificá-lo da seguinte forma:

Risco Físico

• Os casos em que computadores portáteis ou dispositivos de armazenamento de dados portáteis com dados pessoais podem ser perdidos (ex.: perda num meio de transporte, evento, etc.) ou roubados (ex.: viatura, pessoa);

Risco Lógico

• Quando existe perda (ex.: apagar dados acidentalmente ou propositadamente de forma ilícita) ou roubo por via digital (ex.: intrusão nos sistemas, fuga de dados por colaborador mal-intencionado, etc.) de dados pessoais;

Este risco está presente em todas as organizações que adotem o uso de computadores portáteis (incluindo BYOD) e dispositivos de armazenamento portáteis, dado que existe um elevado risco de roubo físico ou perda de dados, tornando assim clara a necessidade de implementar um sistema de encriptação capaz de garantir eficazmente a inteligibilidade dos dados nestas situações (estas medidas de proteção são as recomendadas no artigo 32 do regulamento).

A encriptação como solução tecnológica

A implementação da encriptação de dados confere um enorme benefício às organizações no âmbito das suas obrigações legais e conformidade com o RGPD, pois além do objetivo principal de garantir a privacidade dos dados pessoais, isenta as organizações da obrigação de comunicar à entidade reguladora em Portugal (a CNPD) e aos titulares dos dados pessoais a ocorrência de roubo ou perda dos dados, o que pode significar uma redução de carga administrativa e burocrática bem como evitar um impacto negativo na imagem institucional.

As soluções de encriptação por software facilitam a implementação e gestão da tecnologia de encriptação virtualmente impossível de quebrar, recorrendo à encriptação AES 256 bit em endpoints fixos ou portáteis e usando FDE (Full Disk Encryption). Este método de encriptação integral de discos é o mais eficaz pois garante a segurança total dos dados contidos nos discos rígidos sem permitir lapsos sobre “o que encriptar e onde encriptar” por parte dos utilizadores.

Este tipo de soluções permite ao utilizador também encriptar pastas e ficheiros, criar discos virtuais encriptados e encriptar textos e emails através de um plugin para Microsoft Outlook (como é o caso do ESET Endpoint Encryption Pro).

Como endereçar o risco lógico de perda ou roubo de dados pessoais e não só…

Como já referi anteriormente, o “risco lógico” de perda ou fuga de dados pessoais poderá requerer mais proteção para além da encriptação física dos discos. Efetivamente, este é o tipo de risco pela qual a segurança se deve “servir em múltiplas camadas”.
Existem múltiplos vectores de fuga de dados e o seu desconhecimento coloca em perigo qualquer organização que não esteja preparada para lidar proactivamente com todos os riscos.

Se considerarmos que estes riscos podem ser causados por elementos externos (ex.: ataques que exploram vulnerabilidades nos sistemas, engenharia social) ou internos (colaboradores mal-intencionados ou falha-humana), facilmente constatamos que existe uma diversidade quase infinita de cenários que importa considerar.
É, por isso, obrigatória a implementação e integração de diversas soluções multicamada que garantam uma verdadeira proteção de toda a organização.

Com base no ponto 1 do artigo 32 e das alíneas a) a d) acima descritas podemos concluir que os sistemas deverão possuir diversas tecnologias que se enquadram nas diferentes medidas de proteção e que vão desde a proteção genérica para mitigar ataques de malware, até à encriptação de dados e passando por sistemas de autenticação de dois fatores – de forma a evitar abusos no acesso aos sistemas e aos dados.