Segurança da informação vs. proteção de dados
Trata-se de uma questão para a nossa ISO ou para o nosso DPO, ou é praticamente a mesma coisa em ambos os casos? Quem é exatamente responsável por este incidente e será necessário comunicá-lo? Para discutir as semelhanças e diferenças entre a segurança da informação e a proteção de dados, o primeiro passo é definir as duas áreas.
A legislação europeia em matéria de proteção de dados protege principalmente as pessoas singulares e destina-se a proteger contra o tratamento não autorizado de dados pessoais. Isto remonta ao direito de autodeterminação informativa, que tem sido protegido ainda mais fortemente desde a introdução do Regulamento Geral sobre a Proteção de Dados e da legislação conexa. Consequentemente, pode dizer-se que o tratamento de dados pessoais é fundamentalmente proibido, exceto se o tratamento for permitido por regulamentos legais ou por consentimento.
Por outro lado, a segurança da informação é comparável ao anexo dos nossos acordos de processamento de encomendas, os TOM, nomeadamente as medidas técnicas e organizacionais para proteger os dados. A segurança da informação diz respeito à proteção de vários objectivos de proteção, tais como:
- Confidencialidade,
- Integridade,
- Disponibilidade.
Para cumprir os requisitos rigorosos de várias leis e da proteção de dados, as empresas devem implementar as medidas técnicas e organizacionais mais robustas para evitar violações da proteção de dados e ciberataques.
As diferenças residem na motivação
Enquanto a aplicação de medidas de proteção de dados obedece, na sua maioria, a requisitos legais, a aplicação da segurança da informação nas empresas não está tão fortemente regulamentada. Existem várias normas e especificações, mas não existe qualquer obrigação em matéria de segurança da informação, tal como a obrigação, ao abrigo das leis de proteção de dados, de nomear um representante acima de uma determinada dimensão. Assim, as diferenças residem na motivação. Enquanto a segurança da informação deve ser implementada por interesse próprio de todas as empresas, a implementação dos requisitos de proteção de dados é regulada por lei e, pelo menos no sector privado, assegurada por medidas de sanção.
Conflitos entre os dois domínios
Podem surgir conflitos, especialmente quando se considera o armazenamento de dados pessoais. Por exemplo, este conflito surge quando armazenamos cópias de segurança das bases de dados dos nossos clientes para garantir o objetivo de proteção da disponibilidade. No entanto, ao fazê-lo, estamos potencialmente a agir contra os princípios da proteção de dados. O que acontece, de facto, se um cliente apresentar um pedido do titular dos dados e tivermos de eliminar todos os dados pessoais? Na prática, um caso difícil é a limpeza das gerações de cópias de segurança precisamente para estes pedidos dos titulares dos dados. Do ponto de vista da segurança, queremos manter as cópias de segurança em caso de emergência; do ponto de vista da proteção de dados, temos de eliminar partes dos dados e cumprir as nossas obrigações para com as pessoas em causa. Outro exemplo são os ficheiros de registo. Ao monitorizar os registos de ligação, podemos verificar que utilizadores tomaram que ação. Desta forma, garantimos a integridade e podemos provar quando algo corre mal. No entanto, do ponto de vista da proteção de dados, o armazenamento de dados é proibido por enquanto, a menos que recebamos o consentimento ou que exista uma base legal.
Em resumo, pode dizer-se que a proteção de dados e a segurança da informação são temas que devem ser considerados de forma holística. No entanto, existe um potencial de conflito devido aos diferentes objectivos destas áreas. Na Increase Your Skills, a nossa tarefa é educar as pessoas em ambas as áreas da melhor forma possível e, assim, garantir um nível eficaz de segurança e também de proteção de dados.