Introdução
O novo RGPD - Regulamento Geral de Proteção de Dados (GDPR – General Data Protection Regulation) tem efeito a partir do dia 25 de Maio de 2018 e irá ter um impacto significativo na forma como cada empresa e organização processa os dados pessoais dos cidadãos europeus.
Este regulamento introduz novas responsabilidades para as empresas no que diz respeito ao processamento de dados pessoais, permitindo dessa forma aos cidadãos da União Europeia a proteção da sua privacidade e controlo sob a forma como os seus dados são processados, substituindo assim a Diretiva 95/46/CE relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
O RGPD será aplicado de forma homogénea em todos os países membros da União Europeia, possibilitando um melhor entendimento dos cidadãos relativamente aos seus direitos de privacidade.
Todas as pessoas singulares e coletivas que efetuem o tratamento de dados pessoais de cidadãos europeus necessitam de aplicar e cumprir este regulamento, pelo que este não terá que ser aplicado apenas por Empresas, mas também empresários em nome individual ou qualquer pessoa singular que faça o tratamento de dados de uma outra pessoa singular.
Definições
Dados Pessoais (Personal Data) é qualquer informação relativa a uma pessoa singular que permita identificar de forma direta ou indireta o titular dos respetivos dados, como por exemplo o seu Nome, Número de Identificação Nacional, Dados de Localização, Identificador Único, Endereço de E-mail, entre outros.
Tratamento ou Processamento (Processing) de dados é qualquer tipo de processo que possa ser efetuado sobre os dados pessoais de uma pessoa, como por exemplo a recolha, registo, manutenção, alteração, armazenamento, recuperação, consulta, difusão ou divulgação, comparação, apagamento ou destruição desses mesmos dados.
Titular dos Dados (Data Subject) é a pessoa singular a quem os Dados Pessoais que vão ser tratados dizem respeito.
Responsável pelo Tratamento (Data Controller) é a pessoa ou entidade que irá determinar a forma como os dados pessoais de uma pessoa singular serão tratados.
Subcontratante (Data Processor) é uma pessoa singular ou pessoa coletiva que irá efetuar tratamento de dados pessoais de uma pessoa singular em representação do Responsável pelo Tratamento, como por exemplo um fornecedor de serviços de verificação da validade dos dados, uma agência que forneça a gestão de campanhas de Marketing ou um fornecedor de Alojamento Web que permita o armazenamento de um site ou loja online com dados de clientes.
Autoridade de Controlo (Supervisory Authority) é uma autoridade pública independente de controlo criada pelo Estado-Membro que irá ser responsável pela fiscalização da aplicação do RGPD, sendo no caso de Portugal a CNPD (Comissão Nacional de Proteção de Dados.
Mais detalhes e definições relativamente aos termos utilizados no regulamento podem ser encontrados no Artigo 4º do RGPD.
As suas responsabilidades perante o RGPD
Se utiliza os nossos serviços para armazenar ou processar dados pessoais de pessoas singulares residentes na Europa, como por exemplo listas de dados de clientes de uma loja online, subscritores de um serviço fornecido pelo seu site, utilizadores registados no seu site (mesmo que sejam pessoas que não lhe estejam a fazer qualquer pagamento), estará a representar o papel de Data Controller, ou seja, Responsável pelo Tratamento dos dados.
Como Responsável pelo Tratamento dos dados, o RGPD exige-lhe não só que cumpra com o regulamento mas também que se certifique de que, qualquer serviço que utilize por parte de um Subcontratante em que seja feito o tratamento de dados de uma pessoa singular, esteja também em conformidade com os termos do regulamento.
Ou seja, quando utiliza qualquer serviço fornecido por um Subcontratante em que irá utilizar o mesmo para o tratamento de dados pessoais, deverá certificar-se de que este cumpre todos os requisitos do Regulamento Geral de Proteção de Dados e exige um vínculo presente que certifique essa situação.
O nosso compromisso perante o RGPD
Como seu fornecedor de soluções de Alojamento Web, onde pode armazenar informações contendo dados pessoais de pessoas singulares e outras informações sensíveis, é nosso compromisso garantir que todos os procedimentos de processamento são efetuados de forma transparente, segura e em conformidade com o novo Regulamento Geral de Proteção de Dados.
A maioria das exigências feitas pelo RGPD no que diz respeito à segurança e métodos de tratamento de dados fazem já parte da implementação técnica dos nossos serviços e dos procedimentos internos seguidos pela nossa empresa.
Esta declaração reforça o nosso interesse e esforço em implementar as medidas do RGPD de forma a estar em conformidade com o mesmo no momento em que este entrar em vigor no dia 25 de Maio de 2018.
Para assegurar o cumprimento do regulamento, iremos até ao prazo de implementação do RGPD:
- Proceder à implementação e atualização de Políticas Externas/Internas (Exemplo: Política de Privacidade, Política de Proteção de Dados, Política de Retenção de Dados, Política e Procedimentos de Segurança, Política de Controlo de Acessos) atendendo as novas exigências do RGPD;
- Adoção de códigos de conduta e instruções internas com respeito a Proteção e Privacidade dos Dados Pessoais;
- Garantir aos nossos clientes o Direito ao Esquecimento, Direito à portabilidade e Direito a Retificação dos seus dados pessoais;
- Redigir um Acordo de Proteção de Dados (DPA – Data Protection Agreement) com os nossos clientes/revendedores que indique os moldes em que é feito o tratamento de dados e comprove a nossa conformidade com o RGPD;
- Fornecer formação aos nossos colaboradores relacionada com o RGPD, técnicas de segurança avançadas e medidas de Proteção de Dados em geral;
- Efetuar o levantamento de todos os procedimentos e configurações de serviços e sistemas de forma a assegurar que estes estejam em conformidade com o RGPD;
- Identificar que dados são transmitidos e certificar-nos que os nossos parceiros e fornecedores (Exemplo: Registrars, Registries, Certificate Authorities) com quem existe troca de informação de Dados Pessoais necessária ao fornecimento dos serviços cumprem os requisitos do RGPD;
- Celebrar um Acordo de Proteção de Dados (DPA) com os fornecedores e subcontratantes com quem exige difusão de fluxo de dados pessoais;
- Definir procedimentos de notificação de violação de dados pessoais à Autoridade de Controlo, Responsáveis pelo Tratamento e Titulares dos Dados;
- Proceder a uma Avaliação de Impacto de Privacidade (Data Protection Impact Assessment);
- Sujeitar todos os procedimentos que exijam o fornecimento de dados pessoais a uma política de proteção de dados desde a concepção e por defeito;
O nosso papel como Subcontratante
Quando envia dados para os nossos servidores, o cliente é o dono e responsável dos mesmos, independentemente de estes estarem armazenados em ambiente de Alojamento Web Partilhado ou em ambiente de Alojamento Web Dedicado.
Ao efetuar o envio de dados pessoais para a nossa infraestrutura, está a assumir o papel de Responsável pelo Tratamento (Data Controller) e a WebTuga o papel de Subcontratante (Data Processor).
O tipo de tratamento feito pela WebTuga dos dados que envia para os servidores é no entanto limitado, na medida em apenas fazemos o tratamento conforme estipulado nos termos de fornecimento do serviço, como armazenamento dos dados e cópias de segurança, não sendo feito qualquer processamento adicional dos dados em proveito próprio da WebTuga.
Não é também partilhada qualquer informação com terceiros, a menos que essa informação seja necessária para o fornecimento de um serviço (Exemplo: Registo de Domínio, Emissão de Certificado SSL, Processamento de Pagamento de Serviços) ou solicitada por uma entidade judicial autorizada, sendo seguidos todos os procedimentos de políticas internas em igual conformidade com a lei de forma a garantir que o pedido é legítimo e a entidade tem autoridade para a execução do mesmo.
Localização dos Dados
Todas as nossas soluções de Alojamento Web onde são armazenados os dados dos seus serviços são fornecidas através de servidores próprios da WebTuga alojados em regime de Colocation em Datacenters presentes em Portugal:
Datacenter WebTuga OPO
Localização: Maia, Porto
Certificações:
- ISO-9001 (Gestão de Qualidade)
- ISO-27001 (Gestão de Segurança da Informação)
- ISO-14001 (Gestão de Qualidade Ambiental)
Datacenter WebTuga LS1
Localização: Prior-Velho, Lisboa
Certificações:
- ISO-9001 (Gestão de Qualidade)
- ISO-27001 (Gestão de Segurança da Informação)
- ISO-14001 (Gestão de Qualidade Ambiental)
- ISO-50001 (Gestão de Energia)
Datacenter WebTuga LS2
Localização: Matinha, Lisboa
Certificações:
- ISO-9001 (Gestão de Qualidade)
- ISO-27001 (Gestão de Segurança da Informação)
- ISO-14001 (Gestão de Qualidade Ambiental)
Nenhuma informação associada a Dados Pessoais que aloje no armazenamento do seu serviço de alojamento é transferida para servidores fora da EEA (European Economic Area).
Segurança
Medidas de Segurança
Os nossos Administradores de Sistemas (Sysadmins) implementam medidas de segurança e prevenção em todos os servidores e mantêm os sistemas atualizados de forma a garantir a segurança contínua dos nossos servidores e sistemas.
Isto significa que todas as atualizações de segurança são aplicadas pelos nossos sistemas de forma prioritária e todas as mudanças ou atualizações dos nossos próprios sistemas são efetuadas sempre com a proteção dos dados e a privacidade dos mesmos em mente.
Nos serviços geridos em que existe um contrato de manutenção dos sistemas, são igualmente aplicadas medidas de segurança e efetuadas atualizações regulares de forma a proporcionar a maior segurança possível.
Acesso aos Servidores
O acesso remoto aos servidores pelos nossos administradores de servidores onde são armazenados os dados dos serviços é apenas efectuado através de redes privadas cifradas.
Adicionalmente, a autenticação nos serviços é efectuada com recurso a combinação de chaves públicas/privadas, em que cada utilizador tem associada uma chave única automaticamente renovável.
Os serviços com acesso público disponibilizados ao cliente, nomeadamente o Centro de Suporte, Área de Clientes, cPanel, WHM, Plesk, Webmail entre outros, utilizam protocolos de acesso seguro como HTTPS, SCP, SSH, IMAPS, POP3S, estando ainda protegidos por sistemas de análise de tráfego, como WAF (Web Application Firewall), IDS (Intrusion Detection Systems) e sistemas de BFD (Brute Force Detection), impedindo assim tentativas de autenticação automatizada.
Para efeitos de recolha de dados de monitorização de estado de rede e serviços, transferência de dados entre servidores para efeito de balanceamento de carga e execução de cópias de segurança, é utilizada uma rede interna privada igualmente cifrada sendo feita a transferência dos dados através de protocolos seguros tais como SCP e RSync over SSH.
As cópias de segurança da nossa infra-estrutura são armazenadas em volumes encriptados.
O acesso físico aos Datacenters onde mantemos infraestrutura técnica está protegido por Segurança Física permanente (24/7), sistemas de vigilância CCTV, controlo de acessos, identificação biométrica e chave única de acesso ao bastidor.
Apenas poderão aceder fisicamente aos servidores colaboradores da WebTuga previamente autorizados para efeitos de instalação, manutenção ou substituição de hardware.
Instrução a Colaboradores
Todos os nossos colaboradores recebem regularmente formação e documentação interna com vista a prepararem-se e estarem por dentro das políticas e boas práticas referentes à proteção e privacidade de dados.
De forma a garantir a conformidade com o RGPD, a WebTuga irá promover internamente um código de conduta de forma a definir de que forma serão tratados os dados armazenados nos nossos servidores.
Notificação de Violação de Segurança
É do conhecimento geral que por mais medidas de segurança que possam ser implementadas, nenhum sistema pode ser considerado 100% seguro.
Apesar de todos os esforços exercidos pelos nossos colaboradores em manter os servidores, serviços e sistemas seguros e atualizados, através da sua manutenção e monitorização regular, existe sempre a remota possibilidade de a qualquer momento ser descoberta uma falha 0-Day em algum software/firmware ou explorada uma falha de segurança que não tenha ainda sido corrigida pelos desenvolvedores do software e permitir o acesso a dados pessoais armazenados pelos nossos clientes por parte de pessoas não autorizadas.
Caso se verifique que essa falha de segurança permitiu a violação de dados pessoais, o artigo 33º do RGPD exige que o Responsável pelo Tratamento dos dados notifique desse facto a Autoridade de Controlo, por exemplo a CNPD, sem demora injustificada e sempre que possível dentro de um prazo de 72 horas após tomar conhecimento da mesma.
Cabe à WebTuga, como Subcontratante notificar o seu cliente (Responsável pelo Tratamento) sem demora justificada quando verificar uma situação de violação de dados pessoais.
O cliente, como Responsável pelo Tratamento, deverá notificar o titular dos dados sempre que a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades de pessoas singulares.
Nos termos do artigo 34º do RGPD, essa notificação deverá ser feita sem demoras, indicando e descrevendo de forma clara a natureza da violação dos dados, o número aproximado de titulares de dados afetados, as categorias de informação e que tipo de dados foram comprometidos.
Deverá ainda ser indicado um contacto para onde os titulares dos dados possam solicitar mais informação e descritas as medidas de atenuação e prevenção implementadas para reduzir os efeitos negativos dessa violação.
Compromisso de Conformidade RGPD
Este documento esclarece a nossa abordagem relativamente à conformidade com o Regulamento Geral de Proteção de Dados, ajudando os nossos clientes a cumprirem também com os requisitos do RGPD.
Queremos tornar a preparação para a entrada em vigor do novo regulamento RGPD um processo simples para os nossos clientes, sendo nosso objetivo realizar e garantir todos os procedimentos necessários para o cumprimento do mesmo.