Muito se tem falado sobre o novo Regulamento Geral de Protecção de Dados, mas provavelmente ainda se tem feito pouco. Na prática, a partir de 25 de maio, as empresas e administração pública passam a ter que cumprir as regras do RGPD isto se não quiserem sofrer sanções cujas coimas podem ascender aos 20 milhões de euros ou 4% do volume de negócios anual.
Relativamente à administração pública, foi hoje publicado em Diário da República alguns “obrigações/requisitos técnicos”.
De acordo com o Diário da República de 28 de março de 2018, concretamente ao definido na Resolução do Conselho de Ministros n.º 41/2018, o Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, doravante designado RGPD, vai introduzir um novo regime em matéria de proteção de dados pessoais. Para além do reforço da proteção jurídica dos direitos dos titulares dos dados, o RGPD exige novas regras e procedimentos do ponto de vista tecnológico.
Nesta medida, o Governo considera fundamental definir orientações técnicas para a Administração Pública, recomendando-as ao setor empresarial do Estado, em matéria de arquitetura de segurança das redes e sistemas de informação e procedimentos a adotar de modo a cumprir as normas do RGPD.
Dos vários requisitos técnicos definidos, que estão organizados por segurança ao nível do Front-end, camada aplicacional e camada de Base de Dados, destaque para o facto de:
- Seguir as boas práticas de desenvolvimento
- Utilizar sessões seguras com protocolo de Segurança
- Recomenda-se o uso de Transport Layer Security (TLS), na sua versão mais recente
- Não guardar informação pessoal no browser, memória ou disco, para além do tempo da sessão e apenas na medida do necessário.
- Comunicação com camada aplicacional através de autenticação por certificado válido por período não superior a 2 anos, no caso de as camadas serem física ou logicamente distintas
- Prever cifra de informação pessoal (recomenda-se mínimo 2048 bit) apenas se a aplicação cliente tiver camada de BD física e logicamente distinta, usando preferencialmente tecnologia que permita interoperabilidade entre sistemas.
- Sempre que aplicável, a palavra-passe deve ter no mínimo 9 caracteres (13 caracteres para utilizadores com acesso privilegiado) e ser complexa. A sua composição deverá exigir a inclusão de 3 dos 4 seguintes conjuntos de caracteres: letras minúsculas (a…z), letras maiúsculas (A…Z), números (0…9) e caracteres especiais (~ ! @ # $ % ^ & * ( ) _ + | ` – = \ { } [ ] : “ ; ‘ < > ? , . /). Poderá, em alternativa, ser constituída por frases ou excertos de texto longo conhecidos pelo utilizador, sem caracter de «espaço».
- A palavra-passe dos administradores deve ter no mínimo 13 caracteres e ser complexa
- Dados armazenados (incluindo os existentes em volumes de salvaguarda — backups) devem ser cifrados e assinados digitalmente.
- Devem existir dois tipos de backups (online e offsite), que devem obedecer aos mesmos requisitos de segurança definidos para os sistemas produtivos.
Todos os requisitos podem ser consultados aqui.
Os requisitos referidos no documento devem ser implementados no prazo máximo de 18 meses após a data de entrada em vigor da presente resolução.