RGPD NA AÇÃO SOCIAL
DAS FORÇAS ARMADAS
COR Luís Nunes IASFA, I.P.
RESUMO
•
Ação Social do IASFA, I.P. e RGPD
•
Segurança da Informação
•
Assuntos Emergentes
Ação Social do IASFA, I.P. e RGPD
•
Segurança da Informação
•
Assuntos Emergentes
DESCENTRALIZAÇÃO GEOGRÁFICA
UF1 – B Residências Assistidas Administração e Refeitório UF1 - A UF2 Serviços de Apoio Médico • OEIRAS • RUNA • PORTO • ALFEITE • BRAGA • PORTO SANTOTIPOLOGIA DE DADOS
Dados de Negócio
• ERPI • Património Imobiliário • Turismo e LazerDados Pessoais
• Residentes (Nacionais e Internacionais) • Viajantes (Nacionais e Internacionais) • Arrendatários
Dados Sensíveis
• Dados Biométricos • Dados de Saúde
COMPLEXIDADE TECNOLÓGICA
Múltiplos Sistemas Informáticos
Múltiplas Arquiteturas
Múltiplos Perfis de Tratadores de Dados
Sistemas Legados
IMPLEMENTAÇÃO DO RGPD
SIADM e SIASC
Normalização tecnológica
Portal único do Beneficiário/Empregador/Prestador Plataforma de Interoperabilidade com o MDN e Ramos Sistema de Gestão de Saúde (centralização de BD e controlo) Sistema de Recursos Humanos (recolha biométrica)
Regulamentos Internos e Formulários de Recolha de Dados
Identificados a maioria dos processos de tratamento de dados Reengenharia de processos (privacy by design)
•
Ação Social do IASFA, I.P. e RGPD
Segurança da Informação
•
Assuntos Emergentes
REGRAS
PRIVACY/SECURITY BY DESIGN
Implementação de requisitos na fase de design é preferível à adaptação de produto ou serviço num estágio posterior
Art.º 25.º RGPD
AMEAÇAS - MITRE ATT&CK
Advanced Tactics Techniques and Procedures
•
Ação Social do IASFA, I.P. e RGPD
•
Segurança da Informação
Assuntos Emergentes
SEGURANÇA DO TRATAMENTO
Artigo 32.º1. Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os
riscos, de probabilidade e gravidade variável, para os direitos e liberdades
das pessoas singulares, o responsável pelo tratamento e o subcontratante
aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco
Nível de Aceitação do Risco?
SEGURANÇA DO TRATAMENTO
Artigo 32.º2. A capacidade de assegurar a confidencialidade, integridade,
disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;
Quem consegue assegurar o quê e quando, face à evolução tecnológica e das ameaças?
SEGURANÇA DO TRATAMENTO
Artigo 32.º3. A capacidade de restabelecer a disponibilidade e o acesso aos dados
pessoais de forma atempada no caso de um incidente físico ou técnico;
Redundância de Datacenters face à RCM 12/2012 ?
Nível de prontidão?
SEGURANÇA DO TRATAMENTO
Art.º 13.ºPrincípio da limitação de conservação, prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo;
Correlação dos prazos de conservação dos dados com o Regulamento Arquivístico para a Gestão da
Informação Pública?
Art.º 17.º
NOTIFICAÇÃO À AUTORIDADE DE CONTROLO
Artigo 33.º
Em caso de violação de dados pessoais, o responsável pelo tratamento
notifica desse facto a autoridade de controlo competente nos termos do artigo 55.º, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma,
Artigo 15.º
Notificação de incidentes para a Administração Pública e operadores de infraestruturas críticas
1 — A Administração Pública e os operadores de infraestruturas críticas
notificam o Centro Nacional de Cibersegurança dos incidentes com um impacto
relevante na segurança das redes e dos sistemas de informação, no prazo definido na legislação própria referida no artigo 13.º.
NOTIFICAÇÃO DE INCIDENTES AO CNCS
VIOLAÇÃO DE DISPOSIÇÕES
Artigo 83.ºA violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.º 2, a coimas até 10 000 000 EUR ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial correspondente ao
exercício financeiro anterior, consoante o montante que for mais elevado: a) As obrigações do responsável pelo tratamento e do subcontratante nos termos dos artigos 8.º, 11.º, 25.º a 39.º e 42.º e 43.º;
Artigo 23.º
Infrações muito graves
1 — Constituem infrações muito graves:
a) O incumprimento da obrigação de implementar requisitos de segurança tal como previsto nos artigos 14.º, 16.º e 18.º;
b) O incumprimento de instruções de cibersegurança emitidas pelo CNCS tal como previsto no n.º 5 do artigo 7.º
2 - As contraordenações referidas no número anterior são punidas com coima de 5000 € a 25 000 €, tratando-se de uma pessoa singular, e de 10 000 € 50 000
€, no caso de pessoa coletiva.
INCUMPRIMENTO DE REQUISITOS DE SEGURANÇA
•
Ação Social do IASFA, I.P. e RGPD
•
Segurança da Informação
•
Assuntos Emergentes
RGPD
Fundamental para os Cidadãos
AP - implementação dos requisitos técnicos RCM n.º 41/2018, até 01OUT19 Definição de Políticas e procedimentos
Avaliação de medidas para assegurar segurança do tratamento
Consultoria externa na avaliação de vulnerabilidades, risco e controlos Formação a quem procede ao tratamento de dados pessoais
Investimento em tecnologia e serviços
RGPD NA AÇÃO SOCIAL
DAS FORÇAS ARMADAS
COR Luís Nunes IASFA, I.P.