DIRETRIZES DA SUSTENTABILIDADE | Economia dos dados e cibersegurança

Legislação e standards internacionais

Mar 2022

O futuro da sustentabilidade joga-se nos extremos

O futuro da sustentabilidade joga-se em dois extremos: por um lado, o regresso a soluções de base natural ou assentes na natureza e, por outro, uma aposta séria e criativa na transformação tecnológico-digital.

A transformação digital tem um enorme potencial para nos ajudar a acelerar a transição para a sustentabilidade, desde logo porque o mundo digital colonizou as nossas vidas, de manhã à noite, até nas coisas mais simples. Por exemplo, serão poucos os dias em que não beneficiamos da internet – por via de uma aplicação, do email, de um pagamento, da procura de informação.

Mas a transformação digital tem inúmeras outras derivadas, muitas das quais nem nos apercebemos, que também tornam as nossas vidas mais confortáveis e podem contribuir decisivamente para a sustentabilidade dos nossos modelos de desenvolvimento: da inteligência artificial, à internet das coisas; da nanotecnologia, aos robots; dos drones, ao blockchain.

No caso das empresas, a transformação digital abre mercados, torna as cadeias de valor mais transparentes e inteligentes – o que permite ganhos de eficiência, qualidade, circularidade e confiança por parte dos stakeholders – e permite vários tipos de inovação – por exemplo, a transição de modelos de negócio assentes na posse, para modelos de negócio assentes no usufruto. Ou seja, ao criar uma rede global de pessoas ligadas entre si, via smartpones e outros gadgets eletrónicos, o digital permite a transição para soluções próprias da economia da partilha – com ganhos importantes ao nível da otimização dos recursos disponíveis.

Em suma, quanto mais inteligentes forem as sociedades e os sistemas económicos, melhores decisões individuais e coletivas poderemos tomar, ou seja, mais sustentáveis poderão ser os nossos modelos de desenvolvimento. Porém, há uma condição sine qua non para que a transformação digital possa ajudar a acelerar a transição para a sustentabilidade: confiança.

A confiança é não só o ativo intangível mais importante para o desenvolvimento económico e a coesão das sociedades, como para a transição para a sustentabilidade. Por exemplo, se não confiarmos nos diagnósticos e avisos da comunidade científica, não estaremos disponíveis para a ação individual e coletiva que se impõem em prol das gerações futuras. Por outro lado, se não confiarmos no mundo digital, nunca tiraremos dele todo o potencial que poderia ter como alavanca para a sustentabilidade.

Uma Humanidade inteligente, centrada nas pessoas e no planeta, precisa do digital – e o digital, para acontecer na sua plenitude, precisa de ser seguro, da nossa confiança. É por isso que a cibersegurança é um tema tão decisivo para a transição para a sustentabilidade. Se há uma lei da vida é a de que ao minar a nossa confiança, a insegurança será sempre uma ameaça à nossa predisposição para a mudança.

João Wengorovius Meneses, Secretário-Geral do BCSD Portugal

Categorias Temáticas

O conteúdo desta publicação será organizado pelos critérios ambientais, sociais e de governance, sempre que o conteúdo permita.

Ambiental

Os fatores ambientais da sustentabilidade são todos aqueles relacionados com a preservação e regeneração da natureza e com a resposta à emergência climática: desde a luta contra a poluição marítima, terrestre e aérea à gestão de resíduos industriais. Todas as medidas que uma empresa implementa para reduzir a sua pegada ambiental e promover a qualidade do meio ambiente são medidas de sustentabilidade ambiental.

Social

Os fatores sociais englobam a promoção, respeito e proteção dos Direitos Humanos, a diversidade e o acesso ao bem-estar (físico e psicológico) dos colaboradores de uma empresa. Fortemente conectada com os direitos dos trabalhadores, a segurança no local de trabalho e a inclusão de grupos vulneráveis ou sub-representados, a sustentabilidade social promove o papel da empresa numa sociedade mais justa, equitativa e tolerante.

Governance

Os fatores de governo da sustentabilidade têm como objetivo o cumprimento dos objetivos da empresa a longo prazo, incluindo os mecanismos de gestão de risco, as políticas internas e as práticas que dirigem a empresa e a conectam com os diferentes stakeholders. Incluem, nomeadamente, questões de ética, transparência, anti-corrupção, organização do modelo de governação e independência dos órgãos sociais.

Legislação

ECONOMIA DOS DADOS

LEGISLAÇÃO PORTUGUESA

  • Lei nº 58/2019, de 08 de agostoLei de Proteção de Dados Pessoais: assegura a execução, na ordem jurídica interna, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, designado por Regulamento Geral de Proteção de Dados (RGPD). Aplica-se aos tratamentos de dados pessoais realizados no território nacional, independentemente da natureza pública ou privada do responsável pelo tratamento ou do subcontratante, mesmo que o tratamento de dados pessoais seja efetuado em cumprimento de obrigações legais ou no âmbito da prossecução de missões de interesse público e, ainda, aos tratamentos de dados pessoais realizados fora do território nacional quando (i) sejam efetuados no âmbito da atividade de um estabelecimento situado no território nacional; ou (ii) afetem titulares de dados que se encontrem no território nacional; ou (iii) afetem dados que estejam inscritos nos postos consulares de que sejam titulares portugueses residentes no estrangeiro.

 

  • Lei n.º 59/2019, de 08 de agostoDados Pessoais para Prevenção, Deteção, Investigação ou Repressão de Ações Penais: aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.

 

  • Lei nº 41/2004, de 18 de agostoProteção de Dados Pessoais e Privacidade nas Telecomunicações: transpõe para a ordem jurídica nacional a Diretiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de julho, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas. Aplica-se ao tratamento de dados pessoais no contexto da prestação de serviços de comunicações eletrónicas acessíveis ao público em redes de comunicações públicas, nomeadamente nas redes públicas de comunicações que sirvam de suporte a dispositivos de recolha de dados e de identificação.

 

  • Lei n.º 43/2004 – Lei de organização e funcionamento da Comissão Nacional de Proteção de Dados: regula a organização e o funcionamento da Comissão Nacional de Proteção de Dados (CNPD), bem como o estatuto pessoal dos seus membros, enquanto entidade administrativa independente, com personalidade jurídica de direito público e poderes de autoridade, dotada de autonomia administrativa e financeira, responsável pelo controlo nacional e fiscalização do Regulamento Geral de Proteção de Dados (RGPD), bem como das demais disposições legais e regulamentares em matéria de proteção de dados pessoais, a fim de defender os direitos, liberdades e garantias das pessoas singulares no âmbito dos tratamentos de dados pessoais.

 

  • Lei n.º 68/2021 (+ Declaração de Retificação n.º 31/2021). Aprova os princípios gerais em matéria de dados abertos e transpõe para a ordem jurídica interna a Diretiva (UE) 2019/1024 do Parlamento Europeu e do Conselho, de 20 de junho de 2019, relativa aos dados abertos e à reutilização de informação do setor público, alterando a Lei n.º 26/2016, de 22 de agosto.

 

  • Decreto-Lei n.º 84/2021, de 18 de outubroregula os direitos do consumidor na compra e venda de bens, conteúdos e serviços digitais, transpondo as Diretivas (UE) 2019/771 e (UE) 2019/770. Reforça os direitos dos consumidores na compra e venda de bens de consumo, transpondo para a ordem jurídica interna a Diretiva (UE) 2019/771, do Parlamento Europeu e do Conselho, de 20 de maio de 2019, relativa a certos aspetos dos contratos de compra e venda de bens, que altera o Regulamento (UE) 2017/2394 e a Diretiva 2009/22/CE e que revoga a Diretiva 1999/44/CE e estabelece o regime de proteção dos consumidores nos contratos de fornecimento de conteúdos ou serviços digitais, procedendo à transposição para a ordem jurídica interna da Diretiva (UE) 2019/770, do Parlamento Europeu e do Conselho, de 20 de maio de 2019, sobre certos aspetos relativos aos contratos de fornecimento de conteúdos e serviços digitais.

 

  • Resolução do Conselho de Ministros n.º 131/2021 – Aprova a Estratégia para a Transformação Digital da Administração Pública 2021-2026 e o respetivo Plano de Ação Transversal para a legislatura, a qual prevê, entre outros, a exploração do potencial de transformação das tecnologias digitais e da utilização inteligente dos dados no contexto de seis linhas estratégicas de atuação: 1) serviços públicos digitais; 2) valorização dos dados; 3) arquiteturas de referência; 4) competências TIC; 5) infraestruturas e serviços TIC; e 6) segurança e confiança.

 

  • Decreto-Lei Nº 67/2021 – Estabelece o regime e define o modelo de governação para a promoção da inovação de base tecnológica através da criação de zonas livres tecnológicas (ZLT).

 

  • Resolução do Conselho de Ministros Nº 31/2020 – Cria a Estrutura de Missão Portugal Digital, enquanto estrutura técnica de acompanhamento das medidas de execução do Programa do Governo relativas à transição digital e de apoio à coordenação das políticas públicas em matéria de transformação digital da sociedade e da economia.

 

 LEGISLAÇÃO EUROPEIA

 

  • Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016: relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).

 

  • Regulamento (UE) 2019/1700 do Parlamento Europeu e do Conselho, de 10 de outubro de 2019: estabelece um regime comum das estatísticas europeias respeitantes às pessoas e aos agregados domésticos, com base em dados individuais recolhidos a partir de amostras dessas pessoas e desses agregados domésticos, que altera os Regulamentos (CE) n.º 808/2004, (CE) n.º 452/2008 e (CE) n.º 1338/2008 do Parlamento Europeu e do Conselho, e revoga o Regulamento (CE) n.º 1177/2003 do Parlamento Europeu e do Conselho e o Regulamento (CE) n.º 577/98 do Conselho.

 

  • Regulamento (UE) 2018/1807 do Parlamento Europeu e do Conselho, de 14 de novembro de 2018: relativo a um regime para o livre fluxo de dados não pessoais na União Europeia, estabelecendo as regras relativas aos requisitos de localização dos dados, à disponibilidade dos dados para as autoridades competentes e à portabilidade dos dados para os utilizadores profissionais.

 

  • Regulamento (UE) 2019/1150 do Parlamento Europeu e do Conselho, de 20 de junho de 2019: relativo à promoção da equidade e da transparência para os utilizadores profissionais de serviços de intermediação em linha. Tem como objetivo contribuir para o bom funcionamento do mercado interno estabelecendo regras que visam garantir que os utilizadores profissionais de serviços de intermediação em linha e os utilizadores de sítios Internet de empresas, na sua relação com motores de pesquisa em linha, beneficiam da devida transparência, equidade e de vias de recurso eficazes.

 

  • Diretiva (UE) 2019/1024 do Parlamento Europeu e do Conselho, de 20 de junho de 2019: relativa aos dados abertos e à reutilização de informações do setor público, promovendo a utilização de dados abertos e estimular a inovação em produtos e serviços e estabelecendo um conjunto mínimo de regras aplicáveis à reutilização e às disposições práticas destinadas a facilitar a reutilização de documentos públicos e dados de investigação.

 

  • Diretiva (UE) 2019/770 do Parlamento Europeu e do Conselho, de 20 de maio de 2019: sobre certos aspetos relativos aos contratos de fornecimento de conteúdos e serviços digitais. Tem por objetivo contribuir para o bom funcionamento do mercado interno, garantindo simultaneamente um elevado nível de proteção dos consumidores, estabelecendo regras comuns quanto a certos requisitos relativos aos contratos entre profissionais e consumidores para o fornecimento de conteúdos ou serviços digitais, em especial regras quanto à conformidade dos conteúdos ou serviços digitais com o contrato, aos meios de ressarcimento em caso dessa falta de conformidade ou de não fornecimento e as modalidades de exercício dos mencionados meios de ressarcimento e ao fornecimento de conteúdos ou serviços digitais.

 

PROCESSO LEGISLATIVO EUROPEU

 

 

  • Proposta de Regulamento (COM/2020/767 final) do Parlamento Europeu e do Conselho: relativo à governação de dados (Data Governance Act). Estabelece condições para a reutilização, na União Europeia, de determinadas categorias de dados na posse de organismos do setor público, um quadro de notificação e de supervisão da prestação de serviços de partilha de dados e um quadro para o registo voluntário das entidades que recolhem e tratam dados disponibilizados para fins altruístas.

 

  • Proposta de Regulamento (COM/2020/842 final) do Parlamento Europeu e do Conselho: relativo à disputabilidade e equidade dos mercados no setor digital (Digital Markets Act). Estabelece regras harmonizadas com vista a assegurar, em toda a União, a disputabilidade e a equidade dos mercados no setor digital em que estejam presentes controladores de acesso. É aplicável aos serviços essenciais de plataforma prestados ou propostos por controladores de acesso a utilizadores profissionais estabelecidos na União Europeia ou a utilizadores finais estabelecidos ou situados na União Europeia, independentemente do local de estabelecimento ou de residência dos controladores de acesso e independentemente do direito aplicável à prestação do serviço.

 

  • Proposta de Regulamento (COM/2020/825 final) do Parlamento Europeu e do Conselho: relativo a um mercado único de serviços digitais (Digital Services Act) e que altera a Diretiva 2000/31/CE. Estabelece regras harmonizadas sobre a prestação de serviços intermediários no mercado interno. Em particular, um quadro para a isenção condicional de responsabilidade dos prestadores de serviços intermediários e regras sobre as obrigações específicas de devida diligência, adaptadas a determinadas categorias específicas de prestadores de serviços intermediários, com o objetivo de contribuir para o bom funcionamento do mercado interno de serviços intermediários e o estabelecimento de regras uniformes para um ambiente em linha seguro, previsível e fiável, no qual os direitos fundamentais sejam efetivamente protegidos.

 

CIBERSEGURANÇA

LEGISLAÇÃO PORTUGUESA

  • Decreto-Lei Nº 20/2022Aprova os procedimentos para identificação, designação, proteção e aumento da resiliência das infraestruturas críticas nacionais e europeias: estabelece os procedimentos para identificação, designação, proteção e aumento da resiliência das infraestruturas críticas nacionais e europeias, procedendo à consolidação no direito nacional da transposição da Diretiva 2008/114/CE, do Conselho, de 8 de dezembro de 2008 e procede à segunda alteração ao Decreto-Lei n.º 163/2007, de 3 de maio, alterado pelo Decreto-Lei n.º 16/2012, de 26 de janeiro, que aprova a orgânica do Centro de Gestão da Rede Informática do Governo.

 

  • Decreto-Lei Nº 65/2021Regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança em execução do Regulamento (UE) 2019/881 do Parlamento Europeu, de 17 de abril de 2019: procede à regulamentação da Lei n.º 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço (Regime Jurídico da Segurança do Ciberespaço), transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União e executa, na ordem jurídica nacional, as obrigações decorrentes do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019, permitindo a implementação de um quadro nacional de certificação da cibersegurança.

 

  • Lei Nº 46/2018Estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

 

 

  • Portaria Nº 237-A/2018Define as condições técnicas e de segurança da comunicação eletrónica para efeito de transmissão diferida dos dados de telecomunicações e Internet pelos oficiais de informações do Serviço de Informações de Segurança e do Serviço de Informações Estratégicas de Defesa: estabelece os termos das condições técnicas e de segurança em que, mediante procedimento obrigatório e vinculado de autorização judicial prévia, se processa a comunicação eletrónica para efeitos da transmissão diferida de dados de telecomunicações e Internet, previamente armazenados pelos prestadores de serviços de comunicações eletrónicas, às autoridades competentes do Serviço de Informações de Segurança, doravante designado SIS, e do Serviço de Informações Estratégicas de Defesa, doravante designado SIED, nos termos previstos na Lei Orgânica n.º 4/2017, de 25 de agosto.

 

  • Despacho Nº 8877/2017Estabelece o modelo de governação relativo à implementação da política de cibersegurança da saúde: aplicável aos estabelecimentos, serviços e organismos do Serviço Nacional de Saúde (SNS) e do Ministério da Saúde (MS), bem como às entidades do setor empresarial do Estado da área da saúde.

 

  • Lei n.º 27/2021, de 17 de maio – Aprova a Carta Portuguesa de Direitos Humanos na Era Digital. A carta consagra um conjunto de normas inovadoras de regulação do ambiente digital de carater horizontal e vertical (isto é, consagra direitos e deveres que se aplicam tanto às relações entre o Estado e aos cidadãos, como às relações exclusivamente entre particulares). Regulando a segurança do ciberespaço, a Carta trata temas como a desinformação, o testamento digital, a proteção de utilizadores de plataformas online e a proteção dos menores.

 

LEGISLAÇÃO EUROPEIA

 

  • Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016: relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (Diretiva NIS). Estabelece a obrigação de os Estados-Membros adotarem uma estratégia nacional de segurança das redes e dos sistemas de informação, cria um grupo de cooperação a fim de apoiar e facilitar a cooperação estratégica e o intercâmbio de informações entre os Estados-Membros e de desenvolver a confiança entre eles, cria uma rede de equipas de resposta a incidentes de segurança informática («rede de CSIRT») a fim de contribuir para o desenvolvimento da confiança entre os Estados-Membros e de promover uma cooperação operacional célere e eficaz, estabelece requisitos de segurança e de notificação para os operadores de serviços essenciais e para os prestadores de serviços digitais e, ainda, estabelece a obrigação de os Estados-Membros designarem as autoridades nacionais competentes, os pontos de contacto únicos e as CSIRT com atribuições relacionadas com a segurança das redes e dos sistemas de informação.

 

  • Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019: relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.º 526/2013 (Regulamento Cibersegurança). Tem em vista assegurar o bom funcionamento do mercado interno e, simultaneamente, a alcançar um nível elevado de cibersegurança, de ciber-resiliência e de confiança no seio da União Europeia.

 

  • Regulamento (UE) 2021/887 do Parlamento Europeu e do Conselho, de 20 de maio de 2021: cria o Centro Europeu de Competências Industriais, Tecnológicas e de Investigação em Cibersegurança e a Rede de Centros Nacionais de Coordenação. Define as regras para a designação de centros nacionais de coordenação assim como as regras para o estabelecimento da Comunidade de Competências em Cibersegurança.

 

  • Regulamento (UE) 2019/796 do Conselho, de 17 de maio de 2019: relativo a medidas restritivas contra os ciberataques que constituem uma ameaça para União ou os seus Estados-Membros. Aplica-se aos ciberataques com um efeito significativo, nomeadamente a tentativas de ciberataques com um efeito potencialmente significativo, que constituem uma ameaça externa para a União ou para os seus Estados-Membros.

 

  • Regulamento de Execução UE Nº 2020/1744 do Conselho, de 20 de novembro de 2020: dá execução ao Regulamento (UE) 2019/796 relativo a medidas restritivas contra os ciberataques que constituem uma ameaça para a União ou os seus Estados-Membros.

 

PROCESSO LEGISLATIVO EUROPEU 

 

  • Proposta de Diretiva (COM/2020/823 final) do Parlamento Europeu e do Conselho: relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União e que revoga a Diretiva (UE) 2016/1148 (Diretiva NIS II). Estabelece a obrigação de os Estados-Membros adotarem estratégias nacionais de cibersegurança e de designarem autoridades nacionais competentes, pontos de contacto únicos e equipas de resposta a incidentes de segurança informática (CSIRT), impõe obrigações de gestão dos riscos de cibersegurança e de notificação às entidades qualificadas como entidades essenciais e como entidades importantes e impõe obrigações em matéria de partilha de informações sobre cibersegurança.

 

  • Proposta de Regulamento (COM/2020/595 final) do Parlamento Europeu e do Conselho: relativo à resiliência operacional digital do setor financeiro e que altera os regulamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014 e (UE) n.º 909/2014 (Regulamento DORA). Estabelece requisitos uniformes no que respeita à segurança das redes e sistemas de informação que apoiam os processos operacionais das entidades financeiras necessários para alcançar um elevado nível de resiliência operacional digital.

 

  • Proposta de Regulamento (COM/2022/57 final) do Parlamento Europeu e do Conselho: estabelece o programa Conectividade Segura da União para o período 2023-2027. Define os objetivos do programa e as regras aplicáveis às atividades, às infraestruturas e aos serviços do programa, aos participantes no programa, ao orçamento para o período 2023-2027, às formas de financiamento da União e as regras para a concessão desse financiamento, bem como as regras de execução do programa.

 

  • Proposta de Regulamento (COM/2021/281 final) do Parlamento Europeu e do Conselho: altera o Regulamento (UE) n.º 910/2014 no respeitante à criação de um Quadro Europeu para a Identidade Digital. Visa assegurar o correto funcionamento do mercado interno e alcançar um nível adequado de segurança dos meios de identificação eletrónica e dos serviços de confiança. Entre outros, o regulamento estabelece as condições em que os Estados-Membros prestam, reconhecem e aceitam os meios de identificação eletrónica para identificar pessoas singulares e coletivas no quadro de um sistema de identificação eletrónica notificado de outro Estado-Membro, estabelece normas aplicáveis aos serviços de confiança, nomeadamente às transações eletrónicas, institui um quadro legal para as assinaturas eletrónicas, os selos eletrónicos, os selos temporais eletrónicos, os documentos eletrónicos, os serviços de envio registado eletrónico e os serviços de certificados para autenticação de sítios Web, o arquivo eletrónico e o certificado eletrónico de atributos, a gestão de dispositivos de criação de assinaturas e de selos eletrónicos à distância e os livros-razão eletrónicos.

 

 

  • Proposta de Diretiva (COM/2020/829 final) do Parlamento Europeu e do Conselho: relativa à resiliência das entidades críticas. Estabelece a obrigação de os Estados-Membros tomarem determinadas medidas destinadas a assegurar a prestação, no mercado interno, de serviços essenciais para a manutenção de funções sociais ou de atividades económicas vitais, em especial de identificarem as entidades críticas e as entidades que devem ser tratadas como equivalentes em certos aspetos, e de lhes permitir cumprir as suas obrigações, bem como obrigações para as entidades críticas destinadas a reforçar a sua resiliência e a melhorar a sua capacidade de prestar esses serviços no mercado interno.

Dia da proteção de dados

2022 promete ser um ano fascinante e exigente para as organizações em matéria de privacidade e proteção de dados, pelo que estas devem estar preparadas para os novos desafios legais que se avizinham, bem como para a previsível intensificação das ações de fiscalização das autoridades de controlo.

Para assinalar o Dia da Proteção de Dados (celebrado no dia 28 de janeiro, data do aniversário da adoção da Convenção 108 do Conselho da Europa sobre a proteção de dados pessoais), a VdA irá percorrer os temas em destaque para este ano, as tendências, os desafios e as ações a adotar pelas organizações para que acompanhem esta área do direito em constante evolução.

É fundamental que as organizações definam claramente as suas prioridades de negócio e identifiquem as suas vulnerabilidades e áreas de maior exposição a riscos. A VdA tem uma vasta experiência no aconselhamento jurídico às organizações no âmbito da criação de planos de privacidade abrangentes, bem como na adoção de soluções inovadoras e tecnológicas para a utilização de dados, de forma a enfrentar os riscos digitais. Trabalharemos em equipa com os nossos clientes para lidar com os crescentes e complexos requisitos legais e regulamentares associados à proteção de dados pessoais.

Saiba mais sobre o artigo da equipa VdA – Vieira de Almeida»

 

Referenciais

CIBERSEGURANÇA

  • PAS 555 – A PAS 555 constitui uma framework holística para uma cibersegurança eficaz. Considera os aspectos técnicos, físicos, culturais e comportamentais relacionados com a abordagem de uma organização para lidar com ciberameaças. Este standard aplica-se a toda a organização, bem como à sua cadeia de fornecimento e inclui os aspetos relacionados com a liderança e governança eficazes. Visa evitar os perigos que podem surgir quando as medidas de segurança não abrangem todo o negócio. É uma abordagem flexível, que pode ser aplicada a qualquer organização, independentemente do seu tamanho ou tipo, seja comercial, sem fins lucrativos ou setor público.

 

  • CSA CCM – A CSA (Cloud Security Alliance – Aliança para a Segurança em Nuvem) definiu a CCM (Cloud Controls Matrix – Matriz de Controlos para a Nuvem) como um conjunto de controlos de modo a optimizar a segurança da informação para utilizadores de tecnologias em nuvem. Esta matriz oferece às organizações um conjunto de diretrizes que as auxilia a otimizar a segurança da sua informação, para que estas não se limitem a confiar nas garantias oferecidas pelo fornecedor.

 

  • ISO/IEC 27001:2013 – A ISO 27001 é um standard internacional que define as especificações necessárias para um sistema de gestão de segurança da informação (SGSI). A sua abordagem de melhores práticas ajuda as organizações a gerir a sua segurança da informação, dirigindo-se às pessoas e processos, bem como à tecnologia. Esta norma identificar um conjunto de 114 controlos de segurança das melhores práticas que podem ser aplicados com base nos riscos a que a organização está exposta. Estes controlos são implementados como parte de uma ampla estrutura organizacional para alcançar uma conformidade avaliada e certificada externamente. A certificação independente da norma é reconhecida em todo o mundo como uma indicação de que o SGSI em questão está alinhado com as melhores práticas de segurança da informação.

 

  • ISO/IEC 27002:2022 – Controlos para a Segurança da Informação – Este documento fornece um conjunto de controlos de segurança da informação de referência, incluindo orientações de implementação. Este documento foi concebido para ser utilizado por organizações: a) no contexto de um sistema de gestão da segurança da informação (SGSI) baseado na ISO/IEC 27001; b) para a implementação de controlos de segurança da informação baseados nas melhores práticas internacionalmente reconhecidas; c) para o desenvolvimento de diretrizes de gestão da segurança da informação específicas da organização.

 

  • ISO/IEC 27005: 2011 – A ISO/IEC 27005:2011 fornece orientações para a gestão dos riscos de segurança da informação. Apoia os conceitos gerais especificados na ISO/IEC 27001 e foi concebida para ajudar à implementação da segurança da informação com base numa abordagem de gestão de risco.

 

  • ISO/IEC 27017:2015 — Código de prática para controlos de segurança da informação com base na ISO/IEC 27002 para serviços em nuvem – A ISO/IEC 27017:2015 fornece orientações para os controlos de segurança da informação aplicáveis ao fornecimento e utilização de serviços em nuvem: – orientações adicionais de implementação para controlos relevantes especificados na norma ISO/IEC 27002; – controlos adicionais com orientações de implementação especificamente relacionadas com os serviços na nuvem.

 

  • ISO/IEC 27031:2011 – A ISO 27031 engloba a preparação das TIC (tecnologias de informação e comunicação) para a continuidade do negócio. Fornece um quadro de métodos e processos para desenvolver o programa IRBC (ICT readiness for business continuity – capacidade de resposta das TIC para a continuidade de negócio) de uma organização.

 

  • ISO/IEC 27032 – A ISO 27032 é a norma que fornece orientações relativamente à gestão da cibersegurança. Esta norma reconhece os vectores em que os ciberataques se baseiam e inclui directrizes para proteger a informação para além das fronteiras da organização. Tal pode incluir parcerias, colaborações ou outros acordos de partilha de informação com clientes e fornecedores. Como parte da série de normas de segurança da informação ISO 27000, a ISO 27032 pode ser integrada com o SGSI, revendo e expandindo a avaliação dos riscos de segurança da informação e atualizando as políticas, processos e formação de que a organização necessita.

 

  • ISO 22301:2019 – A ISO 22301 fornece um quadro relativo às melhores práticas para a implementação de um SGCN (sistema de gestão da continuidade de negócio) optimizado. Tal permite às organizações minimizar a perturbação do negócio e continuar a operar no caso de se verificar um incidente.

 

  • NIST CSF (Cybersecurity Framework) – Esta framework foca-se nos elementos motrizes do negócio para orientar as atividades de cibersegurança, considerando os riscos de cibersegurança como parte dos processos de gestão de risco da organização. Esta framework é constituída por três partes: a parte central, os níveis de implementação e os perfis da framework. A parte central caracteriza-se por ser um conjunto de atividades de cibersegurança, resultados e referências informativas que são comuns entre setores e infraestruturas críticas. A parte central fornece uma orientação detalhada para o desenvolvimento de perfis organizacionais individuais. Após a análise da parte relativa a perfis, a parte central auxilia a organização a alinhar e priorizar a sua cibersegurança, as atividades a desenvolver atendendo aos seus requisitos de negócio/missão, a sua tolerância ao risco e os recursos a utilizar. A parte relativa aos níveis de implementação proporciona um mecanismo para que as  organizações possam ver e compreender as características da sua abordagem à gestão do risco de cibersegurança, o que permitirá priorizar e cumprir os objectivos de cibersegurança.

Nota: Em Portugal, o Centro Nacional de Cibersegurança (CNCS) desenhou o Quadro Nacional de Referência para a Cibersegurança (QNRCS) que é baseado na NIST CSF e apoia à implementação da Diretiva NIS

 

  • COBIT (Control Objectives for Information and Related Technologies)  – O COBIT é uma framework criada pelo ISACA para a gestão de tecnologia de informação e governança de IT.

PRIVACIDADE/ PROTEÇÃO DE DADOS

 

  • ISO/IEC 29100:2011 – A ISO/IEC 29100:2011 fornece uma framework de privacidade que:  – especifica uma terminologia comum de privacidade ; – define os atores e os seus papéis no processamento de informação pessoal identificável (IPI); – descreve considerações sobre a salvaguarda da privacidade; e – fornece referências aos princípios de privacidade conhecidos para as tecnologias de informação. A ISO/IEC 29100:2011 é aplicável a pessoas singulares e organizações envolvidas na especificação, aquisição, arquitetura, concepção, desenvolvimento, teste, manutenção, administração e operação de sistemas ou serviços de tecnologias de informação e comunicação onde são necessários controlos de privacidade para o processamento de IPI.

 

  • ISO/IEC 27018:2019 – Código de prática para proteção de informações pessoais identificáveis (IPI) em nuvens públicas que atuam como processadores de IPI – Este documento estabelece objetivos, controlos e orientações comummente aceites para a implementação de medidas de proteção da Informação Pessoal Identificável (IPI) em conformidade com os princípios de privacidade da ISO/IEC 29100 para o ambiente de computação na nuvem pública. Em particular, especifica orientações baseadas na ISO/IEC 27002, tendo em consideração os requisitos regulamentares para a proteção das informações pessoais identificáveis, que podem ser aplicáveis no contexto do(s) ambiente(s) de risco de segurança da informação de um fornecedor de serviços públicos em nuvem.

 

  • ISO/IEC 27701:2019 — Extensão à ISO/IEC 27001 e ISO/IEC 27002 para a gestão da informação sobre privacidade – Requisitos e diretrizes – Este documento especifica requisitos e fornece orientações para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Informações de Privacidade (SGIP) sob a forma de uma extensão à ISO/IEC 27001 e ISO/IEC 27002 para a gestão da privacidade no contexto da organização. É aplicável a todos os tipos e dimensões de organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que são responsáveis pelo tratamento ou subcontratados que processam dados pessoais no âmbito de um SGSI.

 

 

A solidez cibernética em tempos adversos

 

Se é certo que as novas tecnologias têm transformado Organizações inteiras, em todos os setores de atividade, ao longo dos últimos anos, nunca tal progresso foi tão importante e tão intenso como em 2020.

Como o CEO da Microsoft, Satya Nadella, afirmou: “Em apenas 2 meses, assistimos a uma transformação digital equivalente a 2 anos”.

2020 foi um ano atípico, devido à crise pandémica causada pela COVID-19, o digital superou todas as barreiras e mudou formas de estar e de trabalhar, tornando-as mais práticas, eficientes e, sobretudo, mais seguras para as pessoas poderem operar no novo normal.

Contudo, a cada vez maior sofisticação tecnológica tem, também, o seu lado potencialmente negativo. Ao deslocarem toda a sua estrutura e atividades para este meio, as empresas ficaram inevitavelmente mais expostas a riscos externos, nomeadamente ataques cibernéticos. Segundo a equipa CERT.PT, serviço integrante do Centro Nacional de Cibersegurança (CNCS) verifica-se um registo de 394 incidentes no 2º trimestre de 2020, o que se traduz num crescimento de 124% face aos 176 incidentes registados no mesmo trimestre do ano anterior.

Os incidentes desta natureza têm o potencial de afetar criticamente não só as operações das empresas, mas também de causar sérios danos financeiros e reputacionais.O trabalho remoto veio garantir segurança ao nível da exposição individual, mas também tornou, inversamente, a segurança das empresas mais vulnerável.

Chegados aqui, importa olhar para dentro e começar a dar os primeiros passos sobre um tema que muito tem sido abordado, mas ainda pouco aprofundado internamente – a cibersegurança.

Uma das conclusões do nosso Cyber Survey Portugal 2021 a de que a maioria das Organizações em Portugal estão dispostas a investir mais em cibersegurança por forma a mitigar e prevenir eventuais ameaças, tais como por exemplo o phishing, ataques de malware ransomware, mas carecem de uma estratégia desenvolvida para esta área, bem como de equipas especializadas.

 

 

Publicações Complementares

Jornada 2030 BCSD Portugal

A Jornada 2030 do BCSD Portugal é a agenda comum das empresas pela sustentabilidade em Portugal, a qual é composta por 20 objetivos, 20 metas e 20 indicadores transversais ambientais, sociais e de governo corporativo (ESG – Environment, Social and Governance). 

Consulte o documento»

Disclaimer: A compilação de legislação e referenciais apresentada na presente newsletter não é, nem pretende ser, exaustiva. Esta newsletter reúne apenas alguns dos diplomas e referenciais disponíveis, considerados de particular relevância na matéria em causa, pelo que nenhuma das entidades que colabora na presente compilação se responsabiliza por uma compilação exaustiva da informação disponível. Mais ainda, a presente newsletter não se destina a qualquer entidade ou situação particular e, por isso, não substitui o aconselhamento profissional.