O presente procedimento estabelece as regras internas de deteção, reporte, avaliação, contenção, mitigação, documentação, notificação e encerramento de incidentes de segurança e de violações de dados pessoais no contexto da aplicação LEXIUM, em conformidade com o Regulamento (UE) 2016/679 (RGPD), em especial os artigos 33.º e 34.º, e com a Lei n.º 58/2019, de 8 de agosto.
Nos termos do RGPD, uma violação de dados pessoais corresponde a uma violação de segurança que provoque, de modo acidental ou ilícito, a destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
Este procedimento aplica-se a toda a atividade da OfiSync Tech relacionada com a App LEXIUM, quer nos tratamentos em que a OfiSync Tech atua como responsável pelo tratamento, quer naqueles em que atua como subcontratante por conta do utilizador profissional.
1. Objetivos
O presente procedimento tem os seguintes objetivos:
Assegurar a deteção e resposta rápida a incidentes de segurança.
Permitir a correta qualificação de incidentes com impacto em dados pessoais.
Garantir o cumprimento dos deveres de documentação, escalonamento e notificação previstos no RGPD.
Minimizar impactos sobre titulares dos dados, utilizadores, clientes e sobre a continuidade do serviço.
Estabelecer responsabilidades internas claras e rastreáveis.
2. Âmbito material
O presente procedimento aplica-se, designadamente, a incidentes relacionados com:
acesso não autorizado a contas, bases de dados ou ficheiros;
perda, destruição, indisponibilidade ou corrupção de dados;
exposição acidental de dados a terceiros não autorizados;
erro humano com impacto na confidencialidade, integridade ou disponibilidade;
malware, ransomware, phishing, comprometimento de credenciais ou exploração de vulnerabilidades;
envio indevido de dados pessoais;
falha de fornecedores, integrações ou infraestruturas com impacto relevante na proteção de dados pessoais.
3. Definições operacionais
Para efeitos do presente procedimento, entende-se por:
Incidente de segurança: qualquer evento que comprometa ou possa comprometer a confidencialidade, integridade, disponibilidade, autenticidade ou resiliência de sistemas, serviços ou dados.
Violação de dados pessoais: incidente de segurança que afete dados pessoais e se enquadre na definição do artigo 4.º, n.º 12, do RGPD.
Quase-incidente: evento detetado a tempo, sem impacto consumado, mas revelador de vulnerabilidade ou risco relevante.
Conhecimento da violação: momento em que existam elementos suficientes para considerar razoavelmente confirmado que ocorreu uma violação de dados pessoais, iniciando-se a partir daí a contagem do prazo de 72 horas para notificação à autoridade de controlo, quando aplicável.
4. Papéis e responsabilidades
4.1. Direção / gestão da OfiSync Tech
Compete à direção ou órgão de gestão:
assegurar recursos adequados para a gestão de incidentes;
decidir sobre medidas críticas de contenção, continuidade e comunicação externa;
validar, quando aplicável, notificações à CNPD e comunicações públicas ou a titulares dos dados.
4.2. Responsável interno pela gestão de incidentes
Deve ser designado internamente um responsável pela coordenação operacional dos incidentes, com funções de:
receção e triagem inicial de alertas;
abertura de registo do incidente;
coordenação técnica e documental da resposta;
articulação com suporte técnico, direção e, quando exista, encarregado de proteção de dados ou consultor externo;
controlo de prazos legais e contratuais.
4.3. Equipa técnica / suporte
Compete à equipa técnica ou a prestadores técnicos autorizados:
investigar a origem, extensão e impacto do incidente;
aplicar medidas de contenção e remediação;
preservar evidência técnica relevante;
apoiar a avaliação do risco e a elaboração da documentação do incidente.
4.4. Colaboradores e utilizadores internos autorizados
Todos os colaboradores, prestadores ou pessoas com acesso a sistemas da OfiSync Tech devem comunicar imediatamente qualquer incidente suspeito ou confirmado ao responsável interno pela gestão de incidentes, utilizando os canais definidos internamente.
5. Deteção e comunicação interna do incidente
Qualquer incidente suspeito deve ser comunicado imediatamente após a sua deteção, mesmo quando ainda não estejam esclarecidos todos os factos.
A comunicação interna inicial deve conter, sempre que possível:
data e hora da deteção;
pessoa que detetou o incidente;
descrição sumária do ocorrido;
sistemas, contas ou dados potencialmente afetados;
medidas já adotadas;
indicação sobre possível envolvimento de dados pessoais.
Não é permitido atrasar o reporte com o objetivo de obter confirmação total do incidente. A investigação detalhada decorre após a comunicação inicial e a abertura formal do processo interno.
6. Registo inicial e classificação
Após a receção do alerta, deve ser imediatamente criado um registo de incidente, com número interno, data, hora, origem, descrição preliminar e estado do processo.
Nessa fase, o incidente deve ser classificado provisoriamente quanto a:
natureza técnica do evento;
presença ou não de dados pessoais;
provável impacto na confidencialidade, integridade e disponibilidade;
urgência operacional;
necessidade de escalonamento imediato.
Todos os incidentes, incluindo os que não deem origem a notificação à CNPD, devem ser documentados, uma vez que o artigo 33.º, n.º 5, do RGPD exige o registo das violações de dados pessoais, respetivos factos, efeitos e medidas corretivas adotadas.
7. Contenção imediata
Sempre que necessário, devem ser adotadas sem demora medidas de contenção proporcionais ao risco, incluindo, consoante o caso:
bloqueio ou suspensão de contas e sessões;
revogação ou rotação de credenciais e chaves;
isolamento de sistemas, bases de dados, dispositivos ou serviços afetados;
suspensão temporária de integrações ou funcionalidades expostas;
interrupção de fluxos de sincronização ou partilha de dados;
ativação de procedimentos de backup, restauração ou failover, quando apropriado.
As medidas de contenção devem procurar limitar a propagação do incidente sem destruir evidência técnica relevante para análise posterior.
8. Investigação e avaliação preliminar
Após a contenção inicial, deve ser conduzida investigação técnica e factual para apurar, na medida do possível:
o que aconteceu;
quando começou e quando foi detetado;
qual a causa provável;
que sistemas e dados foram afetados;
se houve acesso, perda, divulgação, alteração ou indisponibilidade de dados pessoais;
se a violação está em curso ou já cessou;
quais as medidas adotadas e as medidas adicionais necessárias.
A investigação deve ser suficientemente célere para permitir a decisão atempada sobre a eventual obrigação de notificação à CNPD no prazo de 72 horas após o conhecimento da violação.
9. Avaliação do risco para os titulares
Sempre que esteja em causa uma violação de dados pessoais, deve ser efetuada avaliação documentada do risco para os direitos e liberdades das pessoas singulares, ponderando, entre outros, os seguintes fatores:
tipo e sensibilidade dos dados afetados;
volume de dados e número de titulares envolvidos;
facilidade de identificação dos titulares;
gravidade das consequências potenciais;
existência de menores ou dados especialmente sensíveis;
possibilidade de discriminação, fraude, usurpação de identidade, perda financeira, dano reputacional ou quebra de segredo profissional;
existência de medidas de proteção como cifragem, pseudonimização ou segregação eficaz.
A avaliação deve concluir, de forma fundamentada, se:
não existe risco para os direitos e liberdades dos titulares;
existe risco, implicando notificação à CNPD, salvo fundamento legal em contrário;
existe risco elevado, implicando, em princípio, também comunicação aos titulares dos dados, sem demora injustificada.
10. Critério de notificação à CNPD
Quando a violação de dados pessoais seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares, deve ser efetuada notificação à CNPD no prazo máximo de 72 horas após o conhecimento da violação, nos termos do artigo 33.º, n.º 1, do RGPD.
Se a notificação não puder ser apresentada dentro de 72 horas, deverá ser acompanhada dos motivos do atraso, podendo a informação ser prestada por fases, à medida que fique disponível.
Mesmo quando se conclua pela não notificação à CNPD, a decisão e a respetiva fundamentação devem ser documentadas no processo interno do incidente.
11. Conteúdo mínimo da notificação à CNPD
A notificação à CNPD deve conter, pelo menos, na medida do possível:
a descrição da natureza da violação de dados pessoais;
as categorias e o número aproximado de titulares afetados;
as categorias e o número aproximado de registos de dados pessoais em causa;
o nome e os contactos do ponto de contacto relevante;
as consequências prováveis da violação;
as medidas adotadas ou propostas para remediar a violação e mitigar os seus efeitos negativos.
A CNPD disponibiliza formulário próprio para este efeito.
12. Comunicação aos titulares dos dados
Quando a violação de dados pessoais seja suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, os titulares afetados devem ser informados sem demora injustificada, em linguagem clara e simples, nos termos do artigo 34.º do RGPD.
A comunicação aos titulares deve incluir, pelo menos:
descrição clara da natureza da violação;
ponto de contacto para obtenção de mais informações;
prováveis consequências da violação;
medidas adotadas ou propostas para a remediação;
medidas práticas que os titulares possam tomar para se protegerem, quando pertinente.
A comunicação aos titulares pode não ser exigida quando se verifique alguma das exceções legalmente previstas, designadamente quando:
os dados estejam protegidos por medidas que os tornem ininteligíveis para pessoas não autorizadas, como cifragem eficaz;
tenham sido tomadas medidas subsequentes que façam desaparecer o elevado risco;
a comunicação individual implique um esforço desproporcionado, caso em que deverá ser adotada comunicação pública ou medida equivalente.
13. Regra específica quando a OfiSync Tech atua como subcontratante
Quando a OfiSync Tech trate dados pessoais por conta do utilizador profissional da App, deve notificá-lo sem demora injustificada após tomar conhecimento de uma violação de dados pessoais relativa a esses dados, para que o utilizador profissional, enquanto responsável pelo tratamento, possa decidir e cumprir as obrigações dos artigos 33.º e 34.º do RGPD.
Nesses casos, a decisão formal de notificação à CNPD e de comunicação aos titulares cabe, em regra, ao utilizador profissional, sem prejuízo do dever da OfiSync Tech de prestar toda a assistência razoavelmente necessária, nos termos do artigo 28.º, n.º 3, alínea f), do RGPD.
A comunicação ao utilizador profissional deve ser efetuada, preferencialmente, por escrito e incluir informação suficiente sobre a natureza da violação, impacto provável, dados afetados, medidas adotadas e medidas propostas.
14. Preservação de prova e cadeia documental
Durante e após a gestão do incidente, devem ser preservados, na medida do necessário e do proporcional, os elementos de prova relevantes, incluindo logs, alertas, capturas, ficheiros de configuração, registos de acesso, relatórios técnicos e comunicações internas ou externas relacionadas com o incidente.
O acesso à documentação do incidente deve ser restrito às pessoas que necessitem de a conhecer para fins de gestão, auditoria, defesa de direitos ou cumprimento regulatório.
15. Medidas corretivas e preventivas
Concluída a resposta imediata, devem ser definidas medidas corretivas e preventivas, designadamente:
correção da vulnerabilidade explorada;
reforço de autenticação e controlo de acessos;
revisão de permissões, perfis e segregação de funções;
atualização de software, dependências e configurações;
melhoria de monitorização e alertas;
formação adicional a colaboradores;
revisão de políticas, procedimentos e cláusulas contratuais com prestadores.
Sempre que o incidente revele falha estrutural ou risco recorrente, deve ser desencadeada revisão mais ampla das medidas técnicas e organizativas implementadas.
16. Encerramento do incidente
Um incidente só deve ser formalmente encerrado quando:
a causa provável tenha sido identificada ou razoavelmente delimitada;
as medidas imediatas de contenção estejam concluídas;
a avaliação de risco esteja documentada;
as notificações legais ou contratuais tenham sido efetuadas, quando devidas;
as medidas corretivas essenciais estejam definidas ou implementadas;
o registo do incidente esteja completo.
O encerramento deve ser validado pelo responsável interno pela gestão de incidentes e, quando a gravidade o justifique, pela direção ou gestão da OfiSync Tech.
17. Registo obrigatório das violações e arquivo
Deve existir um registo interno de violações de dados pessoais, autónomo ou integrado no registo de incidentes, contendo pelo menos:
número e identificação do incidente;
data da ocorrência e da deteção;
descrição factual do sucedido;
categorias de dados e titulares afetados;
avaliação do risco;
decisão sobre notificação à CNPD e sua fundamentação;
decisão sobre comunicação aos titulares e sua fundamentação;
medidas de contenção, correção e prevenção adotadas;
datas relevantes e responsáveis intervenientes.
Este registo deve ser conservado para fins de auditoria, responsabilização e demonstração de conformidade perante a CNPD, nos termos do artigo 33.º, n.º 5, do RGPD.
18. Formação e revisão do procedimento
A OfiSync Tech deve assegurar que as pessoas com acesso relevante a sistemas, dados ou operações da App conhecem este procedimento e recebem formação adequada sobre reporte imediato de incidentes, boas práticas de segurança e critérios básicos de escalonamento.
O presente procedimento deve ser revisto periodicamente e sempre que ocorram alterações significativas na arquitetura técnica da App, nos fluxos de dados, nos fornecedores críticos, nos riscos identificados ou no enquadramento jurídico aplicável.
19. Contactos operacionais
Para efeitos internos, a OfiSync Tech deve manter atualizada uma lista de contactos operacionais de emergência, incluindo, pelo menos:
responsável interno pela gestão de incidentes;
direção/gestão;
suporte técnico principal;
contacto jurídico ou de proteção de dados, interno ou externo;
contacto do prestador de infraestrutura relevante, quando aplicável.
20. Autoridade de controlo
Em Portugal, a autoridade de controlo competente em matéria de proteção de dados pessoais é a Comissão Nacional de Proteção de Dados (CNPD), disponível em www.cnpd.pt. A CNPD disponibiliza formulário específico para notificação de violações de dados pessoais ao abrigo do artigo 33.º do RGPD.