A 14 de Abril de 2016 o Parlamento Europeu aprovou, finalmente, o Regulamento Geral de Proteção de Dados (RGPD), que veio substituir anterior diretiva 95/46/EC vertida para o ordenamento jurídico Português na Lei n.º 67/98 de 26 de Outubro ainda em vigor.

Este regulamento, cuja aplicação efetiva e vinculativa será a 25 de Maio do 2018 tem como escopo a harmonização das leis que regulam esta matéria nos países da UE, mas acima de tudo criar uma nova consciência e abordagem sobre a forma como são vistos e tratados os dados pessoais.

A Webmadeira é, neste ambito, o controlador de todos os dados que coleta dos seus clientes e, para prestação dos serviços subscritos e respetivo suporte, processador enquanto agente de alojamento dos seus dados, registo de domínios ou venda de certificados SSL.

Consentimento

Como controlador a Webmadeira garante que o consentimento da coleta dos dados cliente subscritor, no ato do preenchimento da sua ficha de cliente, é obtido de maneira ativa e consciente. Esta informação também nunca será partilhada ou vendida a terceiros.

Direito ao acesso

Como controlador, a Webmadeira sempre permitiu, e continuará a faze-lo, o acesso aos dados de cliente a partir da área de cliente, onde é possível visualizar e alterar os mesmos.

Direito a portabilidade

A Webmadeira, enquanto controlador, permite o titular dos dados de cliente, neste momento através de contacto via email, e futuramente através da area de cliente, pedir que os seus dados sejam disponibilizados para download. Facultaremos o mesmo num ficheiro csv.

Enquanto processador, o cliente tem a possibilidade de exportar, via CPanel, um backup integral do seu alojamento, que poderá ser importado por outro prestador de alojamento, ou explorado pelo cliente e instalado numa máquina sua.

Direito ao esquecimento

Enquanto controlador, a Webmadeira permite que o cliente remova a sua conta. No acto de remoção, a informação relativa aos serviços adquiridos ficará guardada na base de dados da Webmadeira para efeitos de facturação e finanças. Estes dados são contudo apenas guardados e não processados.

Enquanto processador, a Webmadeira não é responsável pela informação que os nossos clientes guardam nos seus alojamentos.

Pseudonomização e anonimização

Como controlador, a Webmadeira faz uso do ID de cliente, ID de serviço, ID de pagamento ou ID de ticket para identificar o cliente, e não os seus dados pessoais.

Direito à oposição à tomada de decisões automatizadas e à criação de perfil “profiling”

Na Webmadeira não existem tratamentos automatizados, incluíndo a definição de perfis.

Obrigação do uso da privacy by design, privacy by default e Data Minimisation

Enquanto, controlador, a Webmadeira cumpre com os requisitos inerentes ao que se entende por privacy by design e by default, usando os meios de segurança adaptados, com certificados de segurança e pseudonomização desde a subscrição de serviço, encriptação de dados, firewall, antivirus & antimalware, não guardando senhas em texto plano ou passivéis de serem recuperadas.

Enquanto processador, a Webmadeira utiliza servidores geridos e monitorizados pelaAlmouroltec – Serviços de Informática e Internet Lda (PTisp). A declaração RGPD pode ser consultada aqui. O modo como os servidores são protegidos e monitorizados aplica-se também aos servidores utilizados pela Webmadeira.

Enquanto processador, a PTisp garante:

  • Os acessos físicos à sua infraestrutura, controlados por Circuito Fechado de Televisão, são controlados 24 horas/dia pelo pessoal responsável da segurança. Existem câmaras nas zonas comuns tanto nos interiores como nos exteriores e o acesso às salas técnicas é totalmente proibido; sistema do controlo global para a deteção de presença de intrusos no edifício. A segurança baseia-se na presença de pessoal 24×7 que dispõe de todos os sistemas necessários para o controlo de todas as zonas do edifício desde o posto de controlo. A segurança é ainda responsável pelo registo humano de acessos aos quais acresce o controle por RFID;
  • A nossa rede é composta por trânsito de vários operadores Tier 1, presença em vários pontos de troca de tráfego ( GigaPix, ESpanix, DE-CIX ), bem como múltiplos acordos de peering privado;
  • Os vários Datacenters encontram-se interligados permitindo trocas de tráfego público e privado de forma segura e com latências reduzidas. Como opção disponibilizamos serviço de VPN quer seja “client to site” ou “site to site”, permitindo acesso seguro e por rede privada aos serviços e infra estrutura alojada nos vários Datacenter;
  • Toda a infraestrutura é monitorizada 24x7x365 a partir dos nossos NOC, disponibilizando gráficos com métricas e latência de acesso aos serviços para os vários clientes ( serviços que o incluam ). Em caso de eventos a equipa de operações é notificada e são tomadas as ações necessárias à normalização do serviço. Possuímos SIEM (security information and event management) eficiente bem como política de Gestão de vulnerabilidades, com Monitorização 24x7x365.

Encarregado de Proteção de Dados (“DPO – Data Protection Officer”) e o responsável pelo tratamento e proteção dos dados pessoais

A Webmadeira, como empresa tendo menos de 250 empregados, e não fazendo uso de dados pessoais sensíveis, não existe um DPO na Webmadeira.

Segundo o artº 9 do RGPD são dados sensíveis todos os que revelem a origem racial ou étnica, as opiniões políticas, as convições religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

Responsabilidade por fundamento na coleta e processamento de dados

Havendo minimização na coleta, todos os dados que são processados pela Webmadeira, enquanto controlador encontram o seu fundamento na subscrição dos serviços por cláusulas contratuais gerais, e ora assim, na necessidade intrínseca à sua prestação. Fora estas a Webmadeira não recolhe ou processa quaisquer outros dados e todos os que lhe possam ser facultados pelo titular de forma voluntária e discricionária são ignorados e excluídos de processamento.

Enquanto processador, todos os dados armazenados nos nossos servidores foram recebidos com base na contratação do referido serviço e assim prevalecem enquanto o serviço/contrato prevalecer. Fora este tempo fica a obrigação residual, também advinda do próprio contrato, de manter, durante os tempos definidos os backups dos conteúdos anteriormente alojados.

Fugas de informação e falhas de segurança – data breaches

A Webmadeira compromete-se, como desde sempre, a tomar os passos necessários para salvaguardar os dados dos clientes.