• Uma Administração Pública que gera confiança
    Uma Administração Pública que gera confiança
  • Serviços ágeis e integrados
    Serviços ágeis e integrados
  • Uma Administração Pública à sua medida
    Uma Administração Pública à sua medida
  • Uma Administração transparente e responsável
    Uma Administração transparente e responsável
  • Uma rede integrada para resolver os seus problemas
    Uma rede integrada para resolver os seus problemas
  • Um ecossistema simples e fluido ao serviço do cidadão
    Um ecossistema simples e fluido ao serviço do cidadão
  • Melhorar ainda mais o que foi bem feito
    Melhorar ainda mais o que foi bem feito
  • Foco nas pessoas e nas empresas
    Foco nas pessoas e nas empresas
  • Eficiência para melhorar a competitividade
    Eficiência para melhorar a competitividade
  • Um horizonte de esperança para descomplicar tudo
    Um horizonte de esperança para descomplicar tudo
  • Serviços públicos para todos. Sem barreiras.
    Serviços públicos para todos. Sem barreiras.

Proteção de Dados Pessoais na AP

Proteção de Dados Pessoais na Administração Pública

Opinião de Helder Fernandes, Diretor Regional do Património e de Gestão dos Serviços Partilhados, na edição impresa do JM, de 09ago2017, onde refere que "A PaGeSP no âmbito da sua missão de serviço público está focada em dotar-se das ferramentas que permitam responder aos requisitos técnicos que o RGPD comporta, entre outros, na gestão de dados pessoais, incluindo assegurar o direito ao esquecimento, e na vertente da cibersegurança."


dados pessoais AP

O Tratado de Lisboa veio consagrar a proteção de dados pessoais como um direito fundamental dos cidadãos europeus. Já antes, em 1998, Portugal foi precursor da proteção de dados pessoais através de um diploma legal que pretendia assegurar que o tratamento de dados pessoais se processasse de forma transparente e no estrito respeito pela reserva da vida privada, bem como pelos direitos, liberdades e garantias fundamentais.

Estas preocupações emergiram num contexto em que o mundo inteiro passou a depender gradual mas sistematicamente da internet e dos sistemas de gestão de informação. A começar pelo próprio Estado com o foco no domínio tributário, indo até ao sector bancário para referir dois exemplos mais óbvios, e claro, exemplos em que a sensibilidade em matéria de dados pessoais é significativa, uma vez que ninguém quererá que a sua situação fiscal ou financeira viesse a ficar exposta publicamente. Mais recentemente, o crescimento das redes sociais e os cada vez mais regulares e impactantes ciberataques, fizeram disparar alertas neste domínio.

Cabe às entidades públicas e privadas que tratam dados pessoais, assegurar a respetiva proteção nos termos do novo Regulamento Geral de Proteção de Dados (RGPD), já em vigor mas que terá aplicação plena a partir de 25 de maio de 2018 (faltam 9 meses), data até à qual, organismos públicos, associações e empresas terão de se adaptar aos requisitos estabelecidos naquele instrumento regulatório europeu, sob pena de sofrerem coimas na ordem dos milhões de euros.

O RGPD pretende essencialmente assegurar um controlo mais restrito sobre onde os seus dados pessoais estão armazenados e como são tratados. Exige também maior transparência no processo de gestão de dados pessoais, sua preservação e reporte ao respetivo titular. Para atingir estes objetivos o regulamento exige a implementação de políticas e controlos no contexto do processo de gestão de dados pessoais, imputando responsabilidades criminais e sancionatórias às entidades que tratam dados, criando mesmo um cargo, designado Responsável de Tratamento de Dados, com a missão de garantir a conformidade com o RGPD.

Como se vê o desafio que o novo regulamento nos coloca é transversal dentro das organizações. Reque uma abordagem holística e multidisciplinar. A virtuosidade está em articular as vertentes legais, tecnológica e processuais. A PaGeSP no âmbito da sua missão de serviço público está focada em dotar-se das ferramentas que permitam responder aos requisitos técnicos que o RGPD comporta, entre outros, na gestão de dados pessoais, incluindo assegurar o direito ao esquecimento, e na vertente da cibersegurança.

Nesta última vertente da cibersegurança, foram implementadas soluções de monitorização e auditoria a fim de proporcionar os instrumentos de controlo dos ativos tecnológicos (redes, repositórios de dados e aplicações) bem como permitir o rastreamento de incidentes que passam a ser abordados numa ótica de assunção pública dos mesmos, passando a ser enquadrados no contexto de gestão de incidentes e crises, se for o caso.

Ainda recentemente, em maio de 2017, foi ativado um gabinete de crise para lidar com uma ameaça global no ciberespaço, cujo efeito se traduzia pelo sequestro de dados (ransomware), o que configurava uma violação do RGPD, uma vez que impediria a gestão dos mesmos. Trabalha-se nesta fase para o estabelecimento de uma estrutura permanente de gestão, conhecida como centro de operações de segurança que dará uma resposta mais eficiente ao acrescido número de incidentes registados diariamente.

A articulação desta estrutura com mecanismos de gestão centralizada de identidades e acessos, defesa perimétrica e na nuvem, encriptação e adaptação das aplicações legadas através do redesenho de arquiteturas, irão aumentar o nível de resiliência dos sistemas de informação do Governo Regional e assim dar maiores garantias de proteção dos dados pessoais tratados pela administração pública regional.