A CNPD, Comissão Nacional de Proteção de dados, divulgou no passado dia 27 de janeiro a Diretriz/2023/1, aprovada em 10 de janeiro, com orientações para as organizações sobre medidas de segurança que devem adotar para minimizar as consequências para os direitos das pessoas decorrentes de ataques a sistemas de informação.
As medidas são dirigidas particularmente aos responsáveis pelos tratamentos e aos subcontratantes, pretendendo sensibilizá-los para as suas obrigações legais no domínio da segurança dos tratamentos e para a necessidade de realizarem um maior investimento nesta área – são os mesmos «incentivados a definir antecipadamente e a colocar em prática planos de prevenção, para que possam proteger os seus sistemas e infraestrutura e ter mecanismos prontos a detetar uma violação de dados pessoais e mitigar rapidamente os efeitos negativos sobre os direitos dos respetivos titulares. Esse plano de resposta a incidentes deve incluir uma avaliação do risco para estas pessoas singulares, que permita ao responsável pelo tratamento concluir se deve notificar a violação de dados, quer à autoridade de controlo, quer aos titulares dos dados afetados».
Refere a CNPD que os crescentes ataques a sistemas de informação verifi
cados no último ano afetaram na sua grande maioria dados pessoais, revelando que os riscos teriam sido menores e o impacto nos direitos dos titulares dos dados mais reduzidos se as organizações estivessem dotadas de medidas de segurança adequadas.
A Diretriz elenca um conjunto de medidas organizativas e de medidas técnicas que devem ser consideradas pelas organizações nos seus planos de prevenção e de minimização dos riscos.
