Saltar para o conteudo
Avanet
Nova Lei Suíça de Proteção de Dados (nLPD) – O que é extremamente importante desde 01.09.2023?

Nova Lei Suíça de Proteção de Dados (nLPD) – O que é extremamente importante desde 01.09.2023?

4. OUTUBRO 2023

A nova Lei de Proteção de Dados (nLPD) e os regulamentos associados entraram em vigor na Suíça a 1 de setembro de 2023. A alteração legal adapta a proteção de dados à tecnologia e sociedade atuais. As pessoas devem ser capazes de compreender e controlar melhor como os seus dados são utilizados. Isto também é muito necessário, considerando que a antiga Lei de Proteção de Dados data de 1992. O Google foi fundado em 1998 e o Facebook (Meta) foi lançado online em 2004. O mais tardar, isto marcou o início da recolha de dados em grande escala 🐙. O RGPD também está em vigor desde maio de 2018, e a Suíça seguiu agora o exemplo, embora com uma diferença significativa nas penalidades.

Explicarei por que a segurança de TI se torna ainda mais importante como resultado e por que muitos só agora estão a reagir.

Por que era necessária uma nova lei?

A nova Lei Suíça de Proteção de Dados tem dois objetivos principais:

  • Atualiza as regras para as adaptar às tecnologias atuais, como a cloud, as redes sociais, a IA, o Big Data e a IoT. Isto visa dar às pessoas mais controlo sobre os seus próprios dados.
  • Garante que a proteção de dados na Suíça seja elevada ao nível da UE. Isso é importante para que a troca de dados entre a Suíça 🇨🇭 e a UE 🇪🇺 possa continuar sem problemas. A lei também leva em consideração os regulamentos da UE e os acordos internacionais de proteção de dados.

Dados pessoais? Não me diz respeito!

Diz respeito a todos os que lidam com dados pessoais. Tanto no trabalho como numa associação ou na vida privada (excluindo amigos e família). Assim que a informação se refere direta ou indiretamente a uma pessoa singular específica, é considerada dado pessoal. Isso inclui não apenas nome e endereço, mas também coisas como o endereço IP ou endereço de e-mail. Se tais dados são recolhidos, armazenados, utilizados, alterados ou eliminados, fala-se de tratamento e a Lei de Proteção de Dados atualizada é aplicada.

Privacidade por Design e Privacidade por Defeito

A “Privacidade por Defeito” e a “Privacidade por Design” significam que as empresas devem incorporar a proteção de dados na sua tecnologia e configurações desde o início. Isso significa que, ao desenvolver aplicações ou websites, as regras de proteção de dados devem ser consideradas já na fase de planeamento. Além disso, as configurações padrão devem ser sempre a opção mais favorável à proteção de dados. Por exemplo, se um website tiver uma área de membros, o nome do utilizador não deve estar visível por defeito.

Minimizar a recolha de dados ao estritamente necessário

Quando algo é construído de novo (Privacidade por Defeito), é naturalmente mais fácil ter isso em conta; depois, é sempre um pouco mais complexo. É importante que os dados sejam utilizados apenas para o fim para o qual foram originalmente recolhidos. Podem ser utilizados para outros fins apenas se houver uma razão válida, como o cumprimento de um contrato, ou se a pessoa em causa o consentir expressamente.

Se os dados deixarem de ser necessários para o fim original, devem ser eliminados ou anonimizados sem demora.

Cookies 🍪

A coisa irritante com os cookies e os respetivos banners de cookies.

Cookies são pequenos ficheiros de texto que são armazenados por websites no computador ou dispositivo móvel do utilizador. São frequentemente utilizados para melhorar a experiência do utilizador, guardando definições ou monitorizando o comportamento do utilizador. Na nova Lei de Proteção de Dados, os cookies são relevantes porque frequentemente recolhem dados pessoais. A lei exige, portanto, que os utilizadores sejam informados de forma clara e inequívoca sobre quais os cookies que são utilizados e para que finalidade. Além disso, os utilizadores devem dar o seu consentimento antes que os cookies possam ser definidos. As definições padrão que podem ser vistas no banner de cookies devem ser favoráveis à proteção de dados. Isso significa que apenas os cookies absolutamente necessários devem ser ativados automaticamente.

No entanto, operar um website sem cookies que recolham dados de utilizador já não é difícil. Graças ao RGPD, existem várias ferramentas novas disponíveis como alternativas que levam a proteção de dados a sério. O nosso website não utiliza cookies.

Política de Privacidade

A Política de Privacidade é um documento essencial que deve estar presente em qualquer website empresarial. Informa visitantes e clientes sobre quais dados pessoais são recolhidos, como esses dados são utilizados e armazenados, e quais os direitos que os titulares dos dados têm em relação aos seus dados. Além disso, uma política de privacidade clara e compreensível não é apenas uma boa prática empresarial, mas também legalmente exigida, especialmente à luz das novas leis de proteção de dados. Deve ser regularmente atualizada para refletir novos requisitos legais ou alterações nas práticas de tratamento de dados.

O direito sobre os seus dados

Qualquer pessoa tem direito a informações sobre os dados armazenados. Esta informação deve geralmente ser fornecida no prazo de 30 dias e sem custos para a pessoa em questão. As pessoas têm o direito de fazer retificar dados incorretos ou de solicitar a eliminação de dados. No entanto, estes direitos não são absolutos e estão sujeitos a restrições, como, por exemplo, a obrigação de conservação.

Segurança de TI

Passemos agora ao tema principal deste artigo: como proteger os dados. Como pode ver, existem vários locais numa empresa onde os dados são recolhidos e, consequentemente, armazenados. Tudo o que está armazenado em algum lugar pode ser roubado, encriptado, alterado ou apagado. Com os meios técnicos necessários, tem agora a oportunidade de evitar alterações indesejadas.

A introdução da nova Lei de Proteção de Dados (nLPD) na Suíça aumentou significativamente a importância da segurança de TI nas empresas, especialmente nas pequenas e médias empresas (PME). Embora a segurança de TI sempre tenha sido um fator crítico, a nLPD intensificou ainda mais a urgência deste tema. Desde a entrada em vigor da lei, a 1 de setembro de 2023, recebemos um aumento significativo de pedidos de PMEs que pretendem reforçar as suas medidas de segurança de TI.

Alguém mais deveria cuidar disso

Muitas das solicitações que recebemos visavam o serviço Managed Detection and Response (MDR). As empresas querem delegar responsabilidades e reconhecem que a segurança de TI não é simplesmente resolvida com a instalação de um firewall e do Windows Defender já existente.

Assim, é óbvio delegar esta tarefa a prestadores de serviços externos que se ocupem a tempo inteiro do tema e que se dediquem à caça de ameaças, que não façam mais nada e que conheçam extremamente bem a cena. Esta é uma decisão inteligente, pois o MDR oferece uma monitorização e resposta proativas a incidentes de segurança, o que está em linha com os requisitos da nLPD. Se agora tiver outros sistemas na empresa, também pode enviar estes dados de telemetria de terceiros para a Sophos. Isso significa que estes dados também podem ser tidos em conta para uma análise de segurança abrangente.

No entanto, continua-se a ouvir falar de pessoas que pensam que podem fazê-lo sozinhas e subestimam o significado deste tema. Aqui posso recomendar este artigo com os vídeos e mudará rapidamente de opinião: O Documentário sobre Ransomware

Refiro-me aqui principalmente ao endpoint, mas o mesmo se aplica, claro, também ao firewall. A configuração, manutenção, auditoria e pentest devem ser realizados por pessoal qualificado ou, se não disponível, externalizados a um prestador de serviços externo como nós.

Auditoria de Segurança - Testar sempre de novo

Enquanto a maioria das pessoas considera as inspeções e manutenções regulares dos seus automóveis como algo natural, pois são impostas por lei, a segurança de TI é frequentemente negligenciada. No entanto, é precisamente nos dias de hoje, em que o panorama das ameaças está em constante crescimento e mudança, que é indispensável colocar os sistemas de TI à prova continuamente.

Um passo importante no sentido de uma segurança de TI robusta são as auditorias e pentests regulares. Enquanto as auditorias verificam o cumprimento das diretrizes de segurança, os pentests simulam ataques cibernéticos para identificar vulnerabilidades no sistema. Ambos os métodos são importantes para garantir que as medidas de segurança cumprem os requisitos atuais.

Algumas Melhores Práticas de Cibersegurança

Na nossa publicação de blog recentemente publicada “Recomendações Sophos – Melhores Práticas de Cibersegurança”, destacamos vários pontos que são importantes para a segurança de TI. Muitos destes pontos poderiam ser considerados “negligência” se não forem observados, especialmente à luz da nova nLPD.

Obrigação de notificação

O PFPDT significa Encarregado Federal da Proteção de Dados e Transparência na Suíça. É uma autoridade independente que monitoriza e aplica a proteção de dados a nível federal. Na nova Lei de Proteção de Dados (nLPD), o PFPDT desempenha um papel importante, pois é responsável por monitorizar o cumprimento da lei. Em caso de violações de dados que representem um alto risco para os direitos pessoais ou fundamentais dos titulares dos dados, estas devem ser comunicadas ao PFPDT. Pode também emitir instruções e impor sanções se as disposições de proteção de dados não forem cumpridas.

Centro Nacional de Cibersegurança (NCSC) Reportar incidente
report.ncsc.admin.ch

No âmbito da nLPD, os ciberataques que resultem numa violação da segurança dos dados devem ser comunicados ao PFPDT. Isto ocorre, em particular, se o ataque representar um alto risco para os direitos pessoais ou os direitos fundamentais das pessoas em causa.

Uma violação da segurança dos dados ocorre quando dados pessoais são perdidos, eliminados, destruídos, alterados ou tornados acessíveis a pessoas não autorizadas de forma não intencional ou ilícita. Isso deve ser comunicado ao PFPDT sem demora. A notificação deve ser feita o mais rapidamente possível, normalmente no prazo de 72 horas após o conhecimento do ataque. O PFPDT é a autoridade competente para receber tais notificações e monitorizar a situação. No entanto, o incidente também deve ser comunicado ao NCSC: Comunicar incidente ao Centro Nacional de Cibersegurança (NCSC)

Um cenário como este deve ser pensado com antecedência e não apenas quando a emergência surge.

Punibilidade

Em caso de violações intencionais da nLPD, como violação dos deveres de informação, acesso, cooperação ou diligência, os indivíduos podem ser multados em até 250.000 CHF. Em caso de infrações em operações comerciais, as empresas podem ser multadas em até 50.000 CHF se a identificação das pessoas culpadas implicar um esforço desproporcionado – e se uma multa máxima de 50.000 CHF seria considerada para estas.

Esta é também a diferença essencial para o RGPD. No que diz respeito à punibilidade, deve-se ter especialmente em conta que, a partir de 1 de setembro de 2023, a violação de certas obrigações dará origem a uma punibilidade que não recai sobre a empresa, mas sobre a pessoa singular responsável. As pessoas responsáveis podem ser tanto membros da direção como outras pessoas com poder de decisão na empresa, ou ainda as pessoas que cometeram uma violação do dever (por exemplo, violação do sigilo). No direito suíço, no entanto, apenas a prática consciente é punível.

Uma multa de até 250.000 CHF pode ser imposta na Suíça por várias infrações de proteção de dados, incluindo:

  • Falta de transparência ou ausência de política de privacidade
  • Ausência de acordos contratuais com processadores de dados
  • Falhas na segurança dos dados, como medidas técnicas e organizacionais (TOMs) insuficientes
  • Transferência de dados pessoais para países sem proteção de dados adequada, sem precauções de segurança adicionais ou sem uma exceção válida, como um consentimento
  • Incumprimento da obrigação de fornecer informações
  • Desrespeito pelo chamado “pequeno segredo profissional”

A Lei Suíça de Proteção de Dados revista também prevê consequências criminais para indivíduos que são responsáveis por tais infrações.

FAQ sobre a nova nLPD

O que é a nova Lei de Proteção de Dados da Suíça?

É uma revisão da Lei de Proteção de Dados de 1992, que entrou em vigor a 1 de setembro de 2023, para reforçar a proteção de dados na Suíça e adaptá-la ao Regulamento Geral de Proteção de Dados da UE.

Quais são as penalidades por violações da nLPD?

As penalidades podem ascender a 250.000 CHF, sendo também possíveis sanções criminais contra indivíduos.

O que significa "Privacy by Design"?

É um princípio segundo o qual a proteção de dados e a segurança dos dados são integradas desde o início no planeamento e desenvolvimento de projetos.

As empresas têm de informar os utilizadores sobre o tratamento dos seus dados?

Sim, as empresas devem informar os seus utilizadores de forma clara e explícita sobre quais dados são recolhidos e com que finalidade.

A nLPD também se aplica a empresas fora da Suíça?

Sim, a lei tem um âmbito de aplicação transfronteiriço e aplica-se a qualquer website que processe dados pessoais de indivíduos na Suíça, independentemente da sua localização.

Que requisitos a nova nLPD impõe ao consentimento?

O consentimento deve ser específico, informado e voluntário, devendo os utilizadores ter a opção de dar o seu consentimento para diferentes categorias de cookies.

Quem é afetado pela nova Lei de Proteção de Dados?

Todos os que trabalham com dados pessoais são afetados pela lei. Isso aplica-se a empresas, associações, mas também a indivíduos, desde que a utilização dos dados vá além do âmbito privado, como família e amigos.

Isenção de responsabilidade ⚖️

Por favor, note que esta publicação de blog é apenas um breve resumo de aspetos da nova Lei de Proteção de Dados que consideramos importantes. Não somos especialistas jurídicos nem advogados. Para aconselhamento jurídico completo, deve consultar um advogado qualificado para garantir que cumpre todos os requisitos legais. A nossa principal fonte aqui foi Admin.ch :: Comunicado de imprensa :: Nova lei de proteção de dados a partir de 1 de setembro de 2023

Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.