Notícias

A Comissão Nacional de Proteção de Dados (CNPD) emitiu orientações às empresas sobre medidas de segurança a adotar para minimizar consequências para os direitos das pessoas em caso de ciberataque. A diretriz pede, entre outras medidas, aos responsáveis pelo tratamento de dados, que definam "mecanismos prontos a detetar uma violação de dados pessoais" para "mitigar rapidamente" os efeitos negativos.

A diretiva tem várias medidas organizativas e técnicas a considerar pelas organizações (responsáveis por tratamentos de dados e subcontratantes) nos seus planos de prevenção e de minimização dos riscos aplicáveis aos tratamentos de dados pessoais, e que são obrigações legais no domínio da segurança dos tratamentos.

No documento, disponível na sua página de internet, a CNPD alerta as organizações para a necessidade de realizarem "um maior investimento” nesta área, constatando que os "crescentes ataques” a sistemas de informação, verificados no último ano, afetaram na sua grande maioria dados pessoais.

"Tais incidentes de segurança revelaram que se as organizações estivessem dotadas de medidas de segurança adequadas, os riscos teriam sido menores e o impacto nos direitos dos titulares dos dados mais reduzidos”, alerta a comissão.

A diretriz reforça que responsáveis pelo tratamento de dados, e os subcontratantes, são incentivados a definir antecipadamente e a colocar em prática planos de prevenção, para que possam proteger os seus sistemas e infraestrutura e "ter mecanismos prontos a detetar uma violação de dados pessoais e mitigar rapidamente” os efeitos negativos sobre os direitos dos respetivos titulares.

"Esse plano de resposta a incidentes deve incluir uma avaliação do risco para estas pessoas singulares, que permita ao responsável pelo tratamento concluir se deve notificar a violação de dados, quer à autoridade de controlo, quer aos titulares dos dados afetados”, conclui ainda a comissão.

Por fim, recorda que a informação necessária para notificar a autoridade de controlo pode ser fornecida por fases, "mas isso não exclui a obrigação de o responsável pelo tratamento agir em tempo útil” para dar resposta à violação de dados pessoais.

"A CNPD recomenda ao responsável pelo tratamento, bem como ao subcontratante (com as devidas adaptações), que adote medidas de segurança elencadas na presente diretriz, consoante o que for adequado às características e sensibilidade dos tratamentos de dados pessoais efetuados e às especificidades da sua organização”, conclui na diretriz.