O Gabinete para a Protecção de Dados Pessoais publicou o resultado de avaliação do relatório sobre a “Acção Conjunta de Privacy Sweep” de 2019


O Gabinete para a Protecção de Dados Pessoais de Macau (doravante designado por GPDP) participou na 7.ª edição da “Acção Conjunta de Privacy Sweep” com cerca de 20 autoridades da privacidade de todo o mundo, avaliou preliminarmente, através de um questionário, os riscos de tratamento de dados pessoais de algumas entidades privadas de Macau. O GPDP espera orientar, através desta acção, as entidades a melhorar e optimizar os processos e a conscientização relativos à protecção de dados pessoais, a partir dos cinco indicadores estabelecidos pela “Global Privacy Enforcement Network” (GPEN), e fornecer alguns métodos de referência.

Actualmente, a “Responsabilização de Privacidade” (Privacy Accountability) é enfatizada a nível internacional, promovendo a elevação da conscientização das entidades sobre a protecção de dados pessoais, para conhecer as suas responsabilidades desempenhadas e entender as consequências negativas resultantes da violação da lei. Sendo organização internacional, a GPEN realizou a “Acção Conjunta de Privacy Sweep” com o tema de “Comunicação sobre a fuga de dados” para responder ao dever de comunicação obrigatório de acidente de fuga de dados contido no Regulamento Geral sobre a Protecção de Dados Pessoais da União Europeia.

Embora não exista uma disposição relevante na Lei n.º 8/2005, Lei da Protecção de Dados Pessoais, em resposta à entrada em vigor da Lei n.º 13/2019, Lei da Cibersegurança, os operadores privados de infra-estruturas críticas têm deveres de dar conhecimento do facto à respectiva entidade de supervisão na ocorrência de incidentes de cibersegurança, bem como submeter anualmente um relatório de cibersegurança à respectiva entidade de supervisão. Considerando que o sistema relevante corresponde ao tema desta acção, sob a premissa de considerar a natureza de entidades e a quantidade de dados tratados, entre outros factores, o GPDP escolheu actividade bancária e seguradora dos “operadores privados de infra-estruturas críticas” definidos na lei referida como destinatário de avaliação.

Nos termos das regras adoptadas na GPEN, o GPDP fez a avaliação dos vários indicadores, tais como a consciência sobre o enquadramento legal relativo à regulamentação da fuga de dados, o procedimento interno do tratamento da fuga de dados, como impedir que incidentes semelhantes ocorram novamente, entre outros.

Segundo os resultados da avaliação, mais de 80% das entidades obtêm a pontuação “Muito bom” ou “Satisfeito” na auto-avaliação de cada indicador, isso reflecte que as entidades avaliadas têm confiança em lidar com acidentes de fuga de dados. Apesar disso, o GPDP ainda enfatiza que, com o rápido desenvolvimento da ciência e tecnologia, as entidades devem estar sempre vigilantes para melhorar e optimizar constantemente o sistema de dados e as políticas relacionadas, especialmente evitar a ocorrência de fuga de dados no tratamento de dados pessoais de uma grande quantidade de clientes, caso contrário, pode causar danos irreversíveis aos interessados e desempenhar as respectivas responsabilidades devido à violação de disposições.

O GPDP espera orientar, através desta acção, as entidades a melhorar e optimizar os processos e a conscientização relativos à protecção de dados pessoais, a partir dos cinco indicadores estabelecidos pela GPEN, e fornecer alguns métodos de referência, a título de exemplo, algumas entidades exigem que, em caso da ocorrência da fuga de dados grave, lhes seja comunicada dentro do prazo determinado e que se realize regularmente auto-avaliação de riscos; Quanto ao procedimento interno do tratamento da fuga de dados, implementam-se as orientações adequadas e regras de execução, entre outros; Disponibiliza-se pessoal ou grupo responsável exclusivo pela protecção de dados pessoais para tratar incidentes de fuga de dados; Relativamente à implementação de um gerenciamento eficaz, conservam-se registos ou diários sobre a fuga de dados ou possíveis incidentes de fuga, e fiscalizam-se, de forma contínua, as entidades para alcançarem os padrões de protecção de dados. A par disso, o GPDP publicou algumas definições de “acidente por violação/acidente grave” na política da privacidade de algumas entidades e os processos viáveis em geral para evitar que acidentes de fuga de dados ocorram novamente, para serem referências ao público.

O relatório sobre a “Acção Conjunta de Privacy Sweep” de 2019 já se encontra disponível em “download” da página electrónica do GPDP (www.gpdp.gov.mo) para os cidadãos interessados.



Há algo de errado com esta página?

Ajude-nos a melhorar o GOV.MO

* Campo obrigatório

Enviar