RGPD NA AÇÃO SOCIAL DAS FORÇAS ARMADAS

(1)

RGPD NA AÇÃO SOCIAL

DAS FORÇAS ARMADAS

COR Luís Nunes IASFA, I.P.

(2)

RESUMO

• Ação Social do IASFA, I.P. e RGPD

• Segurança da Informação

• Assuntos Emergentes

(3)

Ação Social do IASFA, I.P. e RGPD

•

Segurança da Informação

•

Assuntos Emergentes

(4)

DESCENTRALIZAÇÃO GEOGRÁFICA

UF1 – B Residências Assistidas Administração e Refeitório UF1 - A UF2 Serviços de Apoio Médico • OEIRAS • RUNA • PORTO • ALFEITE • BRAGA • PORTO SANTO

(5)

TIPOLOGIA DE DADOS

Dados de Negócio

• ERPI • Património Imobiliário • Turismo e Lazer

Dados Pessoais

• Residentes (Nacionais e Internacionais) • Viajantes (Nacionais e Internacionais) • Arrendatários

Dados Sensíveis

• Dados Biométricos • Dados de Saúde

(6)

COMPLEXIDADE TECNOLÓGICA

Múltiplos Sistemas Informáticos

Múltiplas Arquiteturas

Múltiplos Perfis de Tratadores de Dados

Sistemas Legados

(7)

IMPLEMENTAÇÃO DO RGPD

 SIADM e SIASC

Normalização tecnológica

Portal único do Beneficiário/Empregador/Prestador Plataforma de Interoperabilidade com o MDN e Ramos  Sistema de Gestão de Saúde (centralização de BD e controlo)  Sistema de Recursos Humanos (recolha biométrica)

 Regulamentos Internos e Formulários de Recolha de Dados

 Identificados a maioria dos processos de tratamento de dados  Reengenharia de processos (privacy by design)

(8)

•

Ação Social do IASFA, I.P. e RGPD

Segurança da Informação

•

Assuntos Emergentes

(9)

REGRAS

(10)

PRIVACY/SECURITY BY DESIGN

Implementação de requisitos na fase de design é preferível à adaptação de produto ou serviço num estágio posterior

Art.º 25.º RGPD

(11)

(12)

(13)

(14)

AMEAÇAS - MITRE ATT&CK

Advanced Tactics Techniques and Procedures

(15)

•

Ação Social do IASFA, I.P. e RGPD

•

Segurança da Informação

Assuntos Emergentes

(16)

SEGURANÇA DO TRATAMENTO

Artigo 32.º

1. Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os

riscos, de probabilidade e gravidade variável, para os direitos e liberdades

das pessoas singulares, o responsável pelo tratamento e o subcontratante

aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco

Nível de Aceitação do Risco?

(17)

SEGURANÇA DO TRATAMENTO

Artigo 32.º

2. A capacidade de assegurar a confidencialidade, integridade,

disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;

Quem consegue assegurar o quê e quando, face à evolução tecnológica e das ameaças?

(18)

SEGURANÇA DO TRATAMENTO

Artigo 32.º

3. A capacidade de restabelecer a disponibilidade e o acesso aos dados

pessoais de forma atempada no caso de um incidente físico ou técnico;

Redundância de Datacenters face à RCM 12/2012 ?

Nível de prontidão?

(19)

SEGURANÇA DO TRATAMENTO

Art.º 13.º

Princípio da limitação de conservação, prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo;

Correlação dos prazos de conservação dos dados com o Regulamento Arquivístico para a Gestão da

Informação Pública?

Art.º 17.º

(20)

NOTIFICAÇÃO À AUTORIDADE DE CONTROLO

Artigo 33.º

Em caso de violação de dados pessoais, o responsável pelo tratamento

notifica desse facto a autoridade de controlo competente nos termos do artigo 55.º, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma,

(21)

Artigo 15.º

Notificação de incidentes para a Administração Pública e operadores de infraestruturas críticas

1 — A Administração Pública e os operadores de infraestruturas críticas

notificam o Centro Nacional de Cibersegurança dos incidentes com um impacto

relevante na segurança das redes e dos sistemas de informação, no prazo definido na legislação própria referida no artigo 13.º.

NOTIFICAÇÃO DE INCIDENTES AO CNCS

(22)

VIOLAÇÃO DE DISPOSIÇÕES

Artigo 83.º

A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.º 2, a coimas até 10 000 000 EUR ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial correspondente ao

exercício financeiro anterior, consoante o montante que for mais elevado: a) As obrigações do responsável pelo tratamento e do subcontratante nos termos dos artigos 8.º, 11.º, 25.º a 39.º e 42.º e 43.º;

(23)

Artigo 23.º

Infrações muito graves

1 — Constituem infrações muito graves:

a) O incumprimento da obrigação de implementar requisitos de segurança tal como previsto nos artigos 14.º, 16.º e 18.º;

b) O incumprimento de instruções de cibersegurança emitidas pelo CNCS tal como previsto no n.º 5 do artigo 7.º

2 - As contraordenações referidas no número anterior são punidas com coima de 5000 € a 25 000 €, tratando-se de uma pessoa singular, e de 10 000 € 50 000

€, no caso de pessoa coletiva.

INCUMPRIMENTO DE REQUISITOS DE SEGURANÇA

(24)

•

Ação Social do IASFA, I.P. e RGPD

•

Segurança da Informação

•

Assuntos Emergentes

(25)

RGPD

 Fundamental para os Cidadãos

 AP - implementação dos requisitos técnicos RCM n.º 41/2018, até 01OUT19  Definição de Políticas e procedimentos

 Avaliação de medidas para assegurar segurança do tratamento

 Consultoria externa na avaliação de vulnerabilidades, risco e controlos  Formação a quem procede ao tratamento de dados pessoais

 Investimento em tecnologia e serviços

(26)