CNPD participa em acção coordenada da UE para investigar uso de serviços cloud no sector público

Cibersegurança e InfoSec Notícias

A Comissão Nacional de Protecção de Dados participa na primeira acção coordenada de supervisão do Comité Europeu para a Protecção de Dados (CEPD) para investigar a utilização de serviços baseados na computação em nuvem (‘cloud’) pelo setor público.

O CEPD anunciou o início desta acção coordenada de supervisão, que envolve 22 autoridades de protecção de dados do Espaço Económico Europeu (EEE), incluindo a Autoridade Europeia de Protecção de Dados (AEPD), as quais nos próximos meses vão investigar como as entidades públicas estão a usar os serviços baseados em ‘cloud’.

No total, serão abrangidas mais de 80 entidades públicas de todo o EEE, cobrindo um vasto leque de domínios, tais como o da saúde, finanças, fiscal, educação, central de compras ou fornecedores de serviços de tecnologia, bem como instituições europeias.

As entidades públicas, a nível nacional e europeu, podem enfrentar dificuldades na aquisição de serviços de Tecnologia de Informação e de Comunicação que cumpram as regras de proteção de dados da UE.

Com base em trabalho preparatório comum, as autoridades de controlo participantes vão agora investigar o nível de cumprimento do RGPD pelas entidades públicas na utilização dos serviços baseados em ‘cloud’, designadamente as salvaguardas adoptadas na aquisição desses serviços, nas transferências internacionais de dados e nas cláusulas que regulam as relações de subcontratação.

Na sua investigação em Portugal, a CNPD irá ainda verificar como as organizações públicas estão a cumprir as suas obrigações legais em matéria de medidas de segurança neste contexto, uma vez que o recurso a produtos e serviços baseados na ‘cloud’ apresenta riscos e desafios específicos para proteger os tratamentos de dados pessoais.

A oportunidade desta investigação ficou reforçada pelo número e impacto dos incidentes de segurança ocorridos recentemente em Portugal, sendo imprescindível que as organizações sejam proactivas na avaliação dos riscos e na adoção de políticas preventivas ajustadas, que evitem violações de dados pessoais e, quando tal não for de todo possível, reduzam significativamente os seus efeitos.

Através desta acção coordenada, as autoridades de protecção de dados pretendem também incentivar a adopção das melhores práticas e, assim, assegurar uma adequada proteção de dados.

Este conjunto de ações decorre da decisão do CEPD, de outubro de 2020, de criar um quadro de supervisão coordenada (CEF – Coordinated Enforcement Framework), que constitui uma iniciativa-chave da Estratégia 2021-2023 do CEPD, com vista a reforçar a supervisão e a cooperação entre autoridades de controlo de protecção de dados.

Os resultados serão analisados de modo coordenado e agregados para permitir uma visão geral mais aprofundada. Até final deste ano, será publicado um relatório do CEPD com as conclusões dessa análise. A CNPD divulgará as conclusões da vertente nacional desta acção.

Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.