3 abr

Umbraco & GDPR - O Gestor de Conteúdos que o Ajuda a Cumprir

Por Gonçalo Dias umbraco,RGPD

O RGPD (Regulamento Geral de Proteção de Dados). Não é de certeza o nome mais bonito de que nos conseguiríamos lembrar, mas com toda a certeza um dos mais utilizados atualmente no mundo empresarial. Certo? Como é que conseguimos garantir que cumprimos os novos regulamentos? Será com certeza a questão mais colocada. Como? A equipa de desenvolvimento do Umbraco delineou um plano para garantir que todas as empresas cumprem o regulamento e verificou não só que foi um desafio menor do que o previsto, mas também que o Umbraco já cumpria muitos destes requisitos.

 

Porquê toda a atenção no RGPD

Porque é necessário. Como provavelmente já sabe, o prazo final para a implementação do RGPD está a chegar dentro de 4 meses (25 de Maio de 2018). O RGPD já teve várias caras, foi visto como desnecessário, foi temido, talvez até odiado e muitas outras coisas nada simpáticas. Vamos admitir que inicialmente soou como algo monstruoso, mas só inicialmente.

Como muitas outras coisas, quando mergulhamos deixa de parecer tão mau. Requer trabalho – possivelmente bastante. Mas na realidade vai criar uma cultura melhor, centrada na segurança da informação. Existem ainda algumas incertezas. É território desconhecido e a lei não é uma ciência exata. As coisas ainda não são 100% claras e a forma como algumas coisas serão ainda terá de ser determinado.

 

O QUE ESTÁ A MUDAR NOS WEBSITES PARA QUE CUMPRAM O RGPD

 

Umbraco e o RGPD

O RGPD é tanto uma questão de processos quanto é técnica. As regras variam de país para país mas para o Umbraco na Dinamarca não existe uma alteração muito grande pois o RGPD é muito parecido ao que existe actualmente.

Durante o trabalho com o Umbraco e RGPD percebemos que a grande diferença nas regras é que agora as empresas são obrigadas a documentar que têm a proteção de dados e segurança sob controlo.

Colocando o RGPD em contexto, é semelhante a quando os camiões foram obrigados a instalar tacógrafos para registar a informação relativa à condução dos veículos, documentando a velocidade, distância e horas de trabalho do condutor. As regras de condução e descanso são as mesmas que eram anteriormente, a diferença é que o condutor passou a ter de documentar que já estava a cumprir a lei. É na realidade a mesma história com o Umbraco e o RGPD.

 

 O QUE É O UMBRACO?

 

 O RGPD no Gestor de Conteúdos Umbraco, foi abordado em 4 vertentes:

1 – Os produtos – CMS e Umbraco Forms

Como descrito é já possível utilizar o CMS Umbraco e o Umbraco Forms e estar de acordo com o RGPD. Isto não significa que não possa ser mais simples. Assim, a equipa Umbraco está a trabalhar para que a utilização do Umbraco e Umbraco Forms seja mais simples ao mesmo tempo que se cumpre o regulamento.

Estas são as áreas em que a equipa Umbraco está a trabalhar:

  • API para registar o consentimento fornecendo assim uma forma simples de registar que a pessoa deu um consentimento para uma ação. Isto vai permitir a pesquisa, reporting e auditoria do consentimento de uma pessoa ou ação.
  • Visto no RGPD ser obrigatória a necessidade de saber que utilizadores fizeram o quê, irá existir um registo mais detalhado das ações do utilizador no back office. Por exemplo:” O utilizador X deu permissão ao utilizador Y para aceder à seção Z”.
  • A possibilidade de marcar membros e propriedade de formulário como “Sensível (sensitive)”. Se estes estiverem marcados como sensitive não serão apresentados no back office a qualquer utilizador, exceto aqueles que fazem parte de Grupos de Utilizador marcados como autorizados para ler este tipo de informação.
  • Os formulários vão ter uma opção para não guardar informação de forma standard o que irá garantir aos programadores para criarem workflows customizados para guardar os dados de modo customizado.
  • Capacidade de exportar a informação de membros na forma de ficheiro.

Serão sucessivamente lançadas melhorias, esperando que a maioria esteja disponível até ao final de fevereiro, permitindo a implementação de upgrades.

 

2 – Cloud Umbraco

Porque quer o CMS Umbraco quer os Forms Umbraco fazem parte da Cloud Umbraco, o descrito acima é também aplicável á Cloud Umbraco.

A Umbraco é um processador de dados, que processa os dados de todos os clientes. Visto não haver a capacidade de, neste caso, distinguir dados protegidos de outros, toda a informação é tratada de modo protegido. Desta forma a Umbraco criou um Data Processor Agreement (DPA – Acordo de Processamento de Dados) assegurando que como Data Processor cumprem os requisitos e regulamentos necessários.

Muitos advogados deram o seu parecer de como o Acordo deveria ser redigido e se deveria ou não ser assinado individualmente por cada um dos utilizadores que cada um tem. O consenso foi de que é suficiente se a empresa tiver um DPA (Acordo de Processamento de Dados) permitindo por sua vez aos clientes/utilizadores por sua vez, documentar que o seu fornecedor cumpre o regulamento e assim eles próprios o fazem. Visto o Umbraco Cloud ser um produto standard, existem poucas ou nenhumas variações na forma como os dados são tratados. A equipa Umbraco criou este DPA que será ligado aos Termos & Condições gerais. Consequentemente os clientes da Umbraco, como a ExecFactor, podem fazer o Download e documentar que estão de acordo com os regulamentos.

 

3 – Obter um DPA dos próprios fornecedores

A Umbraco também usa fornecedores, e assim tiveram de documentar que os seus fornecedores estão também de acordo com o regulamento. Foi necessário mapear a informação que têm, que sistemas possuem (ERP, Sistema de Email, Sistema de processamento de salários, etc.) e perceber se são controladores de dados e/ou processadores.

Foi nomeada uma pessoa responsável por cada um dos sistemas. Ele/Ela é responsável por obter os DPA’s relevantes garantindo que toda a informação guardada tem um propósito e que é revista/apagada regularmente etc.

Para os sistemas analógicos, é também necessário garantir a segurança dos dados, utilizando por exemplo um destruidor de papel.

 

4 – Aplicar as melhores práticas e melhorar a cultura de segurança de informação

A quarta área em que a Umbraco está a trabalhar é na melhoria constante dos seus standards, processos etc. de forma a que em qualquer altura seja garantido que as melhores práticas estão a ser aplicadas. Isso inclui, não estando limitado, a garantir a utilização de autenticação com 2 métodos, existência de propósito para qualquer acesso a dados, criptografia sempre que relevante, pseudonimização/anonimização, acordo de confidencialidade com todos os elementos da equipa.

A Umbraco, entende ser necessário criar e seguir não apenas as melhores práticas mas também trabalhar de modo cativo para uma cultura que garante que os dados são tratados de modo correcto.

Porque a cima de tudo estamos a falar da segurança de todos nós, como cidadãos.

Partilhe este Artigo