Gestão de risco em segurança da informação e privacidade no DNS.PT

Abstract

A evolução tecnológica permitiu um enorme progresso nas sociedades atuais, com inequívocos benefícios na vida moderna, em áreas tão diferentes, como a saúde, a educação, a segurança e o bem-estar económico. A evolução tecnológica levanta, no entanto, novas preocupações e desafios, nomeadamente ao nível da proteção da privacidade dos cidadãos a qual pode ser severamente comprometida por práticas abusivas de recolha, tratamento e utilização de dados pessoais. Para reforçar a coerência e a efetiva defesa dos direitos e das liberdades fundamentais dos titulares de dados pessoais foi assegurada uma verdadeira harmonização legislativa entre todos os Estados-Membros através da adoção do Regulamento Geral de Proteção de Dados (RGPD), 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016. Este novo quadro legislativo surge com o objetivo de proteger a privacidade das pessoas singulares através da criação de novas obrigações no tratamento de dados pessoais. Este novo regulamento sugere, em particular no n.º 1 do artigo 35.º, a avaliação de impacto na privacidade sempre que exista um tratamento “suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares”, não estabelecendo, contudo, um processo formal para a sua concretização, indicando apenas alguns princípios enformadores para a sua realização. É sob este enquadramento que se construiu um modelo para gestão do risco em segurança da informação e privacidade para o contexto da Associação DNS.PT, a entidade responsável pela gestão, registo e manutenção do domínio de topo de Portugal .PT. Foi ainda desenvolvido um protótipo aplicacional para assegurar, por um lado, a aplicação das melhores práticas no .PT quanto ao tratamento dos dados pessoais como também à conformidade com o RGPD.

The technological evolution has allowed tremendous progress in today's societies, with unequivocal benefits in modern life, in such different areas as health, education, security and economy. However, this evolution raises new concerns and challenges, particularly in terms of protecting citizens' privacy, which can be severely compromised by abusive collection, processing and use of personal data. In order to strengthen the coherence and effective protection of the rights and fundamental freedoms of personal data holders, a genuine legislative harmonization between all Member States was ensured through the adoption of the General Data Protection Regulation (GDPR), 2016/679 of the European Parliament and of the Council of 27 April 2016. This new legislative framework arises with the aim of protecting the privacy of natural persons by creating new obligations in the processing of personal data. This new regulation suggests, in particular in number 1 of article 35, the impact’s assessment on privacy whenever personal data processing is "likely to involve a high risk to the rights and freedoms of natural persons", but does not establish a formal process for its implementation, indicating only a few principles for its realization. It is under this environment, that a model for information security and privacy risk management was developed for the context of DNS.PT, the entity responsible for the management, registration and maintenance of the Top-Level-Domain for Portugal .PT. An application prototype was developed to ensure, on one hand, the application of best practices in DNS.PT regarding the processing of personal data as well as the compliance with GDPR.