SumárioA introdução do Regulamento Geral da Proteção de Dados(RGPD) enceta para a maioria das organizações da União Europeia novasobrigações de conformidade.

O RGPD tem muito que ver com o âmbito e a forma como osdados pessoais são processados. Isto é, como são adotados os procedimentos e aspolíticas necessárias caso a caso para a recolha, salvaguarda e tratamento dosdados dos cidadãos, tendo presente à partida que são exigidas às organizaçõesevidências destes aspetos.O desafio é tanto maior quanto maior forem as dinâmicassociais das organizações, os seus processos e a complexidade das suas relações.É nos produtos de software que está assente a gestão e o controlo dageneralidade destes processos, sendo por essa razão correto afirmar-se que oimpacto do RGPD no que ao software diz respeito é enorme, em especial no seuciclo de desenvolvimento.Arriscamos a dizer, inclusive, que nenhuma outra matéria comcarácter legal teve tanto impacto no ciclo de vida do software e noscorrespondentes processos de adaptação das organizações como esta. Issoacontece porque se trata de um projeto de dimensão Europeia, em primeiro lugar,mas também pela sua abrangência em termos globais, considerando que a UE, osseus cidadãos e as suas organizações têm relações com praticamente todo omundo.GDPR ao longo do ciclo de vida do softwareO ciclo de vida de desenvolvimento software é normalmentereferenciado num modelo em seis fases: 1) análise e definição de requisitos (oque fazer); 2) projeto (como fazer); 3) implementação (fazer); 4) testes(testar); 5) colocação em produção e 6) manutenção.

Estas seis 6 fases sãoessenciais para a concretização de bons projetos de software e nos dias quecorrem já não existe nenhuma software house que, independentemente dametodologia ou metodologias adotadas (Agile, DevOPS, entre outras), não tenhaem consideração estas fases na execução dos seus projetos.Neste documento indicamos alguns aspetos que consideramosserem, pontos de partida, essenciais para o cumprimento dos requisitos do RGPDao longo do ciclo de vida do software. Em muitos casos serão necessáriasalterações de fundo às aplicações, que irão desde a arquitetura ao transportede dados e naturalmente às interfaces de utilização. Somos, por isso, em crerque o sucesso dos projetos estará pendente da análise dos requisitos do GDPRlogo nas primeiras fases do desenvolvimento. Boas práticas para o desenvolvimento de software1.         Desenho earquitetura do sistema (privacy by design) a.         Identifiquedesde logo as necessidades de recolha e tratamento de dados pessoais naprimeira fase do ciclo de desenvolvimento.

b.         Tenha ematenção a proporcionalidade da recolha de dados pessoais.c.

         Realize umPIA (Privacy Impact Assessment). 2.         Segurança,confidencialidade e integridadea.         Desenvolva eimplemente uma política de segurança de informação na sua organização.b.         Implementesempre mecanismos de autenticação nas suas aplicações.c.         Estabeleçaníveis de acesso à informação em função do perfil e dos privilégios dosutilizadores, tendo em atenção o acesso a dados pessoais.

d.         Dote as suasaplicações de registos de auditoria de sistema (logs).e.

         O uso detécnicas de pseudonimização e encriptação são necessários sempre que existamdados sensíveis, devendo ser adequados ao tipo de dados a proteger (de acordocom a política de segurança de informação e a avaliação de risco documentada doPIA). 3.         Âmbito eautorização explícita para recolha e tratamento de dadosEsta é uma responsabilidade exclusiva do responsável pelotratamento dos dados, no entanto: a.         Por omissãodeve ser garantida a privacidade de todos os dados pessoais (privacy bydefault). b.         Todas asalterações às definições por omissão devem ser registadas (logs), previamenteautorizadas pelo titular dos dados e evidenciáveis.c.

         Garanta quenos seus contratos existem as cláusulas necessárias por forma a determinar quemé o responsável e/ou o(s) subcontratante (es), relembrando que aresponsabilidade relativa ao âmbito e à autorização da recolha cabe sempre aoresponsável. d.         Casopretenda disponibilizar opções para o registo do consentimento explícito para arecolha, consulta ou ainda atualização de dados pessoais pelo titular, énecessário garantir que existe evidência de quem, quando e como deu autorizaçãoe respetivo âmbito, não podendo os dados serem tratados fora desse âmbito.

e.         Evite dar oacesso direto aos dados pessoais, implementando serviços de disponibilização dedados a pedido, tais como API’s ou webservices. 4.         Portabilidadee acessibilidade de dadosa.

         Permita aexportação de todos os dados pessoais num formato aberto (open standard), semcomprometer a segurança e a privacidade da transmissão.b.         Sempre quepossível, adotar normas abertas para a transferência de dados entresubcontratantes (data processors), sem comprometer a segurança e a privacidadeda transmissão.

c.         Previamenteà portabilidade deve ser solicitado ao titular dos dados o seu consentimento eser-lhe dado conhecimento dos dados a transmitir. 5.

         Apagamento eminimização da informação disponívela.         Reavalie omodelo de dados e, no limite, crie funcionalidades que permitam apagar dadospessoais sem comprometer a integridade da informação de negócio ou qualqueroutro tipo de detalhe.b.         Tenha formasde evidenciar que o apagamento ou a destruição dos dados e que o mesmo aaconteceu a pedido do titular ou pela extinção do âmbito.c.         Os dados quepor razões legais sejam excluídos do direito ao apagamento devem ser segregadospor forma a evitar acesso não autorizado.

 6.         Atenção ao”profiling” (para o fim)a.         Não efetuetratamento nem combine dados pessoais para os quais não tem autorização dotitular.b.         Tenha ematenção metadados, identificadores pessoais (PiD) e a recolha de dados pessoaisprovenientes de serviços de “Singe Sign On”.c.

         Caso estejaa utilizar dados pessoais tornados públicos, deve evidenciar que à data darecolha estes eram públicos, sem prejuízo de mais tarde o titular dos dadospoder reivindicar os seus direitos de acesso, correção e apagamento.   

x

Hi!
I'm Katy!

Would you like to get a custom essay? How about receiving a customized one?

Check it out