Saltar para o conteudo
Avanet
Nova Lei Suíça de Proteção de Dados (nDSG) – O que é extremamente importante desde 01.09.2023?

Nova Lei Suíça de Proteção de Dados (nDSG) – O que é extremamente importante desde 01.09.2023?

A nova Lei de Proteção de Dados (nDSG) e as respetivas portarias entraram em vigor na Suíça a 1 de setembro de 2023. A alteração legal adapta a proteção de dados à tecnologia e à sociedade atuais. As pessoas devem compreender e controlar melhor a forma como os seus dados são utilizados. Isto já era há muito necessário, considerando que a antiga Lei de Proteção de Dados ainda datava de 1992. A Google foi fundada em 1998 e o Facebook (Meta) entrou online em 2004. O mais tardar aí começou a recolha de dados 🐙 em grande escala. O RGPD também está em vigor desde maio de 2018, e a Suíça seguiu agora o mesmo caminho, embora com uma diferença essencial nas sanções.

Vou explicar já de seguida porque é que a segurança de TI se torna ainda mais importante com isto e porque é que muitos só agora estão a reagir.

Por que era necessária uma nova lei?

A nova Lei Suíça de Proteção de Dados tem dois objetivos principais:

  • Atualiza as regras para as adaptar às tecnologias atuais, como a cloud, as redes sociais, a IA, o Big Data e a IoT. Isto visa dar às pessoas mais controlo sobre os seus próprios dados.
  • Garante que a proteção de dados na Suíça seja elevada ao nível da UE. Isto é importante para que o intercâmbio de dados entre a Suíça 🇨🇭 e a UE 🇪🇺 continue a ser possível sem problemas. A lei também tem em conta regras da UE e acordos internacionais de proteção de dados.

Dados pessoais? Isso não me diz respeito!

Diz respeito a todos os que lidam com dados pessoais. Tanto no trabalho como numa associação ou na vida privada (com exceção de amigos e família). Assim que informações se referem direta ou indiretamente a uma pessoa singular identificada ou identificável, são consideradas dados pessoais. Isto inclui não apenas nome e morada, mas também elementos como endereço IP ou endereço de e-mail. Quando estes dados são recolhidos, armazenados, utilizados, alterados ou eliminados, fala-se de tratamento, e a Lei de Proteção de Dados atualizada aplica-se.

Privacy by Design e Privacy by Default

Privacy by Default” e “Privacy by Design” significam que as empresas devem incorporar a proteção de dados nas suas tecnologias e configurações desde o início. Isto significa que, ao desenvolver aplicações ou websites, as regras de proteção de dados devem ser consideradas logo na fase de planeamento. Além disso, as configurações predefinidas devem ser sempre a opção mais favorável à proteção de dados. Por exemplo, se um website tiver uma área de membros, o nome do utilizador não deve estar visível por defeito.

Minimizar a recolha de dados ao estritamente necessário

Quando algo é criado de raiz (Privacy by Default), é naturalmente mais fácil ter isto em conta; posteriormente, dá sempre um pouco mais de trabalho. É importante que os dados sejam utilizados apenas para o fim para o qual foram originalmente recolhidos. Só podem ser utilizados para outros fins se existir um motivo válido, como o cumprimento de um contrato, ou se a pessoa em causa der o seu consentimento expresso.

Se os dados deixarem de ser necessários para o fim original, devem ser eliminados ou anonimizados sem demora.

Cookies 🍪

A questão irritante dos cookies e dos respetivos banners.

Cookies são pequenos ficheiros de texto que os websites armazenam no computador ou dispositivo móvel do utilizador. São frequentemente utilizados para melhorar a experiência do utilizador, guardando definições ou acompanhando o comportamento de utilização. Na nova Lei de Proteção de Dados, os cookies são relevantes porque muitas vezes recolhem dados pessoais. A lei exige, por isso, que os utilizadores sejam informados de forma clara e transparente sobre que cookies são utilizados e para que finalidade. Além disso, os utilizadores têm de dar o seu consentimento antes de os cookies serem definidos. As configurações predefinidas visíveis no banner de cookies devem ser favoráveis à proteção de dados. Isto significa que apenas os cookies estritamente necessários devem ser ativados automaticamente.

No entanto, operar um website sem cookies que recolham dados de utilizador já não é difícil. Graças ao RGPD, existem várias ferramentas novas disponíveis como alternativas que levam a proteção de dados a sério. O nosso website não utiliza cookies.

Política de Privacidade

A Política de Privacidade é um documento essencial que deve estar presente em qualquer website empresarial. Informa visitantes e clientes sobre quais dados pessoais são recolhidos, como esses dados são utilizados e armazenados, e quais os direitos que os titulares dos dados têm em relação aos seus dados. Além disso, uma política de privacidade clara e compreensível não é apenas uma boa prática empresarial, mas também legalmente exigida, especialmente à luz das novas leis de proteção de dados. Deve ser regularmente atualizada para refletir novos requisitos legais ou alterações nas práticas de tratamento de dados.

O direito sobre os próprios dados

Qualquer pessoa tem direito a informações sobre os dados armazenados. Esta informação deve geralmente ser fornecida no prazo de 30 dias e sem custos para a pessoa em questão. As pessoas têm o direito de fazer retificar dados incorretos ou de solicitar a eliminação de dados. No entanto, estes direitos não são absolutos e estão sujeitos a restrições, como, por exemplo, a obrigação de conservação.

Segurança de TI

Passemos agora ao tema principal deste artigo: como proteger os dados. Como pode ver, existem vários locais numa empresa onde os dados são recolhidos e, consequentemente, armazenados. Tudo o que está armazenado em algum lugar pode ser roubado, encriptado, alterado ou apagado. Com os meios técnicos necessários, tem agora a oportunidade de evitar alterações indesejadas.

A introdução da nova Lei de Proteção de Dados (nDSG) na Suíça aumentou significativamente a importância da segurança de TI nas empresas, especialmente nas pequenas e médias empresas (PME). Embora a segurança de TI sempre tenha sido um fator crítico, a nDSG reforçou ainda mais a urgência deste tema. Desde a entrada em vigor da lei, a 1 de setembro de 2023, recebemos um aumento significativo de pedidos de PME que pretendem reforçar as suas medidas de segurança de TI.

Que outra pessoa trate disso

Muitos dos pedidos que recebemos apontavam para o serviço Managed Detection and Response (MDR). As empresas querem delegar responsabilidade e reconhecem que a segurança de TI não fica resolvida simplesmente com a instalação de uma firewall e com o Windows Defender já existente.

Assim, faz sentido entregar esta tarefa a prestadores de serviços externos que trabalham a tempo inteiro em threat hunting, que não fazem outra coisa e que conhecem muito bem este meio. É uma decisão inteligente, porque o MDR oferece monitorização e resposta proativas a incidentes de segurança, em linha com os requisitos da nDSG. Se tiver outros sistemas na empresa, também pode enviar estes dados de telemetria de terceiros para a Sophos. Isto significa que esses dados também podem ser considerados numa análise de segurança abrangente.

Ainda assim, continua-se a ouvir pessoas dizer que conseguem fazer isto sozinhas, subestimando o alcance do tema. Aqui recomendo este artigo com os vídeos; é provável que mude rapidamente de opinião: The Ransomware Documentary

Refiro-me aqui principalmente ao endpoint, mas o mesmo se aplica, claro, também ao firewall. A configuração, manutenção, auditoria e pentest devem ser realizados por pessoal qualificado ou, se não disponível, externalizados a um prestador de serviços externo como nós.

Security Audit - Testar sempre de novo

Enquanto a maioria das pessoas considera as inspeções e manutenções regulares dos seus automóveis como algo natural, pois são impostas por lei, a segurança de TI é frequentemente negligenciada. No entanto, é precisamente nos dias de hoje, em que o panorama das ameaças está em constante crescimento e mudança, que é indispensável colocar os sistemas de TI à prova continuamente.

Um passo importante no sentido de uma segurança de TI robusta são as auditorias e pentests regulares. Enquanto as auditorias verificam o cumprimento das diretrizes de segurança, os pentests simulam ataques cibernéticos para identificar vulnerabilidades no sistema. Ambos os métodos são importantes para garantir que as medidas de segurança cumprem os requisitos atuais.

Algumas Melhores Práticas de Cibersegurança

No nosso artigo de blog recentemente publicado “Recomendações Sophos – Cybersecurity Best Practices”, destacámos vários pontos importantes para a segurança de TI. Muitos destes pontos poderiam cair na categoria de “negligência” se não forem observados, especialmente à luz da nova nDSG.

Obrigação de notificação

EDÖB é a sigla do Encarregado Federal da Proteção de Dados e da Transparência na Suíça. Trata-se de uma autoridade independente que supervisiona e aplica a proteção de dados a nível federal. Na nova Lei de Proteção de Dados (nDSG), o EDÖB desempenha um papel importante, pois é responsável por supervisionar o cumprimento da lei. Em caso de violações de proteção de dados que representem um risco elevado para as pessoas afetadas, estas devem ser comunicadas ao EDÖB. A autoridade também pode emitir instruções e aplicar sanções se as disposições de proteção de dados não forem cumpridas.

Centro Nacional de Cibersegurança (NCSC) Reportar incidente
report.ncsc.admin.ch

No âmbito da nDSG, os ciberataques que resultem numa violação da segurança dos dados devem ser comunicados ao EDÖB. Isto aplica-se em particular quando o ataque representa um risco elevado para os direitos de personalidade ou direitos fundamentais das pessoas afetadas.

Uma violação da segurança dos dados ocorre quando dados pessoais são perdidos, eliminados, destruídos, alterados ou tornados acessíveis a pessoas não autorizadas de forma acidental ou ilícita. Isto deve ser comunicado ao EDÖB sem demora. A comunicação deve ser feita o mais rapidamente possível, em regra no prazo de 72 horas após a tomada de conhecimento do ataque. O EDÖB é a autoridade competente para receber estas comunicações e continuar a acompanhar a situação. O incidente deve também ser comunicado ao NCSC: Comunicar incidente ao Centro Nacional de Cibersegurança (NCSC)

Um cenário como este deve ser pensado com antecedência e não apenas quando a emergência surge.

Responsabilidade penal

Em caso de violações intencionais da nDSG, como a violação de deveres de informação, acesso, cooperação ou diligência, pessoas singulares podem ser punidas com multas até 250.000 CHF. Em caso de infrações em operações empresariais, as empresas podem ser multadas em até 50.000 CHF se a identificação das pessoas responsáveis implicar um esforço desproporcionado – e se para essas pessoas estivesse em causa uma multa máxima de 50.000 CHF.

Esta é também a diferença essencial em relação ao RGPD. Em matéria de responsabilidade penal, importa ter especialmente em conta que, desde 1 de setembro de 2023, a violação de determinadas obrigações pode gerar responsabilidade não para a empresa, mas para a pessoa singular responsável. As pessoas responsáveis podem ser membros da direção, outras pessoas com poder de decisão na empresa ou também aquelas que cometeram uma violação de dever (por exemplo, violação do sigilo). No direito suíço, contudo, apenas a prática consciente é punível.

Uma multa de até 250.000 CHF pode ser imposta na Suíça por várias infrações de proteção de dados, incluindo:

  • Falta de transparência ou ausência de política de privacidade
  • Ausência de acordos contratuais com processadores de dados
  • Falhas na segurança dos dados, como medidas técnicas e organizacionais (TOMs) insuficientes
  • Transferência de dados pessoais para países sem proteção de dados adequada, sem precauções de segurança adicionais ou sem uma exceção válida, como um consentimento
  • Incumprimento da obrigação de fornecer informações
  • Desrespeito pelo chamado “pequeno segredo profissional”

A Lei Suíça de Proteção de Dados revista prevê também consequências penais para as pessoas responsáveis por tais infrações.

FAQ sobre a nova nDSG

O que é a nova Lei de Proteção de Dados da Suíça?

É uma revisão da Lei de Proteção de Dados de 1992, que entrou em vigor a 1 de setembro de 2023, para reforçar a proteção de dados na Suíça e adaptá-la ao Regulamento Geral de Proteção de Dados da UE.

Quais são as sanções por violações da nDSG?

As penalidades podem ascender a 250.000 CHF, sendo também possíveis sanções criminais contra indivíduos.

O que significa "Privacy by Design"?

É um princípio segundo o qual a proteção de dados e a segurança dos dados são integradas desde o início no planeamento e desenvolvimento de projetos.

As empresas têm de informar os utilizadores sobre o tratamento dos seus dados?

Sim, as empresas devem informar os seus utilizadores de forma clara e explícita sobre quais dados são recolhidos e com que finalidade.

A nDSG também se aplica a empresas fora da Suíça?

Sim, a lei tem um âmbito de aplicação transfronteiriço e aplica-se a qualquer website que processe dados pessoais de indivíduos na Suíça, independentemente da sua localização.

Que requisitos a nova nDSG impõe ao consentimento?

O consentimento deve ser específico, informado e voluntário, devendo os utilizadores ter a opção de dar o seu consentimento para diferentes categorias de cookies.

Quem é afetado pela nova Lei de Proteção de Dados?

Todos os que trabalham com dados pessoais são afetados pela lei. Isso aplica-se a empresas, associações, mas também a indivíduos, desde que a utilização dos dados vá além do âmbito privado, como família e amigos.

Isenção de responsabilidade ⚖️

Por favor, note que esta publicação de blog é apenas um breve resumo de aspetos da nova Lei de Proteção de Dados que consideramos importantes. Não somos especialistas jurídicos nem advogados. Para aconselhamento jurídico completo, deve consultar um advogado qualificado para garantir que cumpre todos os requisitos legais. A nossa principal fonte aqui foi Admin.ch :: Comunicado de imprensa :: Nova lei de proteção de dados a partir de 1 de setembro de 2023

Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.