| 32.1 – Levando em consideração as técnicas mais avançadas, os custos de implementação, a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante devem aplicar medidas técnicas e organizativas adequadas para assegurar um nível de segurança apropriado ao risco. Essas medidas incluem, conforme adequado: a) A pseudonimização e a cifragem dos dados pessoais; b) A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento; c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico; d) Um processo para testar, avaliar e revisar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento. |
1. Síntese
Os responsáveis pelo tratamento e os subcontratantes devem implementar medidas técnicas e organizativas adequadas para assegurar um nível de segurança apropriado ao risco, considerando o estado da técnica, os custos de implementação e a natureza, o âmbito, o contexto e as finalidades do tratamento, além dos riscos para os direitos e liberdades das pessoas físicas. Entre as medidas, incluem-se a pseudonimização e criptografia dos dados pessoais, a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de tratamento, a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico, e um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.
2. Fundamentação
Este parágrafo estabelece a obrigação de proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteração ou divulgação acidental. A implementação de medidas técnicas e organizativas visa minimizar os riscos associados ao tratamento de dados, assegurando a proteção dos direitos dos titulares dos dados.
3. Por que é Necessário?
Garantir que os dados pessoais sejam protegidos contra riscos potenciais que possam comprometer a confidencialidade, integridade e disponibilidade dos dados. A segurança dos dados é essencial para proteger a privacidade dos indivíduos e manter a confiança no tratamento de dados.
4. Cenário Hipotético
Uma empresa de saúde implementa criptografia para proteger os dados dos pacientes armazenados em seus servidores e sistemas de backup redundantes para assegurar a disponibilidade dos dados em caso de falha técnica. Além disso, realiza testes regulares de segurança e avaliações de risco para garantir que as medidas de segurança estejam atualizadas e eficazes.
5. Benefícios
Assegura que os dados pessoais estejam protegidos contra ameaças internas e externas, minimizando o risco de violação de dados. Promove a confiança dos titulares de dados no tratamento de suas informações e ajuda a garantir a conformidade com o GDPR.
6. Implementação
A empresa deve realizar uma avaliação de risco para identificar possíveis ameaças ao tratamento de dados, implementar medidas de segurança como criptografia e pseudonimização, e estabelecer procedimentos para testar e avaliar regularmente a eficácia dessas medidas. A formação contínua dos funcionários sobre práticas de segurança também é crucial.
7. Penalidade
As penalidades por não conformidade com o Artigo 32 do GDPR podem incluir multas administrativas que podem chegar a até 2% do faturamento anual global da empresa infratora ou 10 milhões de euros, dependendo do que for mais elevado. ACESSE.
8. Conclusão Implementar medidas de segurança robustas é fundamental para proteger os dados pessoais contra riscos e garantir a conformidade com o GDPR, promovendo a proteção dos direitos dos titulares dos dados.