Sistema de gestão integrada de privacidade e segurança da informação : alinhamento com o regulamento geral sobre a proteção de dados

Abstract

Dissertation presented as the partial requirement for obtaining a Master's degree in Information Management, specialization in Information Systems and Technologies ManagementO setor da saúde é geralmente caraterizado pelo elevado número de processos que envolvem o tratamento de dados pessoais, bem como pelo recurso a soluções tecnológicas de várias gerações, muitas vezes incompativeis entre si e com diferentes níveis de segurança. Neste contexto, cuja vulnerabilidade é agravada pelas últimas tendências para interoperabilidade dos sistemas e para o incremento de transparência nos dados da saúde, o processo da preparação para a aplicação simultânea dos requisitos do Regulamento Geral de Proteção de Dados (internacionalmente designado GDPR - acrónimo de General Data Protection Regulation) e da nova Diretiva de Segurança das Redes e da Informação (Diretiva SRI) – já apartir de maio 2018 - torna-se ainda mais desafiante. As condições a que se encontra sujeito o tratamento de dados pessoais em Portugal, bem como os requisitos mínimos para o nível de adequação e cumprimento das respetivas regras do GDPR e da Diretiva SRI, foram divulgadas junto das entidades integrantes do Serviço Nacional de Saúde (SNS) pela Serviços Partilhados do Ministério da Saúde, E.P.E. (SPMS) através do “Guia de Privacidade da Informação do Setor da Saúde em Portugal” (Guia) onde foram também consolidadas algumas boas práticas e ações especificamente dirigidas aos diferentes perfis de intervenientes e de Entidades. O Guia estabelece que as organizações do Ministério da Saúde (MS) e do SNS devem operar de acordo com os princípios e práticas gerais de boas práticas de segurança da informação (ex. ISO 27001), mesmo que não possuam uma certificação. Por outras palavras, para além da implementação dos controlos de privacidade e segurança da informação propriamente ditos, é necessário implementar um Sistema de Gestão Integrada de Segurança da Informação e Privacidade (SGISIP) que deverá garantir o cumprimento de obrigações que vão para além do campo de segurança da informação, obrigações tais como a garantia de direitos dos titulares de dados e as questões da licitude e lealdade do tratamento. No intuito de aprofundar a definição do SGISIP para o setor da saúde e facilitar a sua implementação, foi decidido resumir o âmbito do presente trabalho ao desenvolvimento de uma framework genérica que possa ser utilizada pelas entidades deste setor para conduzir o processo de preparação para a aplicação do GDPR. O resultado do presente trabalho deverá ser encarado como crucial para a preparação de um sistema de avaliação tripartido do nível de cumprimento - do GDPR, da norma ISO/IEC 27001:2013, bem como dos requisitos do Guia da SPMS - e, consequentemente, no desencadear do desenvolvimento do roadmap da implementação do SGISIP. A abordagem proposta não é limitada apenas ao campo da implementação de controlos. Adicionalmente, permite estabelecer mecanismos que possibilitam definir o âmbito da implementação dos mesmos, bem como sustentar e melhorar os controlos implementados, ajudando as organizações a cumprir ininterruptamente com as obrigações inerentes a responsável pelo tratamento ou subcontratante, especialmente no que diz respeito à obrigação de assegurar e poder comprovar a qualquer momento que o tratamento é realizado em conformidade com o GDPR