A CNPD participa na primeira ação coordenada de supervisão do Comité Europeu para a Proteção de Dados (CEPD) para investigar a utilização de serviços baseados na computação em nuvem ('cloud') pelo setor público.
O CEPD anunciou hoje o início desta ação coordenada de supervisão, que envolve 22 autoridades de proteção de dados do Espaço Económico Europeu (EEE), incluindo a Autoridade Europeia de Proteção de Dados (AEPD), as quais nos próximos meses vão investigar como as entidades públicas estão a usar os serviços baseados em 'cloud'.
No total, serão abrangidas mais de 80 entidades públicas de todo o EEE, cobrindo um vasto leque de domínios, tais como o da saúde, finanças, fiscal, educação, central de compras ou fornecedores de serviços de tecnologia, bem como instituições europeias.
As entidades públicas, a nível nacional e europeu, podem enfrentar dificuldades na aquisição de serviços de Tecnologia de Informação e de Comunicação que cumpram as regras de proteção de dados da UE. Com base em trabalho preparatório comum, as autoridades de controlo participantes vão agora investigar o nível de cumprimento do RGPD pelas entidades públicas na utilização dos serviços baseados em 'cloud', designadamente as salvaguardas adotadas na aquisição desses serviços, nas transferências internacionais de dados e nas cláusulas que regulam as relações de subcontratação.
Na sua investigação em Portugal, a CNPD irá ainda verificar como as organizações públicas estão a cumprir as suas obrigações legais em matéria de medidas de segurança neste contexto, uma vez que o recurso a produtos e serviços baseados na 'cloud' apresenta riscos e desafios específicos para proteger os tratamentos de dados pessoais.
A oportunidade desta investigação ficou reforçada pelo número e impacto dos incidentes de segurança ocorridos recentemente em Portugal, sendo imprescindível que as organizações sejam proactivas na avaliação dos riscos e na adoção de políticas preventivas ajustadas, que evitem violações de dados pessoais e, quando tal não for de todo possível, reduzam significativamente os seus efeitos.
Através desta ação coordenada, as autoridades de proteção de dados pretendem também incentivar a adoção das melhores práticas e, assim, assegurar uma adequada proteção de dados. Este conjunto de ações decorre da decisão do CEPD, de outubro de 2020, de criar um quadro de supervisão coordenada (CEF – Coordinated Enforcement Framework), que constitui uma iniciativa-chave da Estratégia 2021-2023 do CEPD, com vista a reforçar a supervisão e a cooperação entre autoridades de controlo de proteção de dados.
Os resultados serão analisados de modo coordenado e agregados para permitir uma visão geral mais aprofundada. Até final deste ano, será publicado um relatório do CEPD com as conclusões dessa análise. A CNPD divulgará as conclusões da vertente nacional desta ação.
