個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

Resumo das Queixas
Print

No: 0018/2015/IP

Título: Omissão de medidas de segurança adequadas em website

Razão: Participação

Breve:

    Um cidadão considerou que um website da Empresa A, destinado à recolha de dados pessoais, não tinha medidas de segurança adequadas e, por isso, pediu a intervenção do GPDP.

Análise:

    Segundo as informações obtidas pelo GPDP, a Empresa A recolheu as informações incluindo o nome, o n.º de documento de identificação, a data de nascimento, o n.º de telemóvel e o endereço de e-mail, através de um website. Nos termos da alínea 1) do n.º 1 do artigo 4.º da Lei da Protecção de Dados Pessoais (Lei n.º 8/2005), estas informações são relativas a pessoas singulares identificáveis, sendo por isso dados pessoais. De acordo com o artigo 3.º n.º 1 da Lei n.º 8/2005, o tratamento desses dados pessoais está sujeito às disposições deste Lei.
  A Empresa A, por sua vez, explicou que tinha adoptado as seguintes medidas de segurança para o website acima referido: (1) o website foi criado sob a protecção de vários firewall e routers, possuindo assim várias medidas de protecção, nomeadamente a filtragem de vírus e o sistema de detecção de intrusos; (2) Os firewall tinham a base de dados de vulnerabilidades (actualizada em tempo real), que podia proteger efectivamente as ameaças contra o website; (3) Os dados pessoais recolhidos foram armazenados num banco de dados independente completamente separado do servidor do website.   A par disso, os respectivos dados pessoais que eram protegidos por firewall só podiam ser obtidos por determinadas portas internas; (4) Todas as informações de banco de dados foram armazenadas de forma encriptada. Para além disso, depois da intervenção do GPDP, a Empresa A adoptou medidas de aperfeiçoamento – solicitou um certificado junto de uma autoridade de certificação reconhecida a nível internacional e adoptou um sistema de SSL para que os dados sejam criptografados antes da transmissão.
  No entanto, é verdade que, antes da adopção de medidas de aperfeiçoamento, a Empresa A não efectuou a encriptação de dados na sua transmissão da Internet e existiu um risco emergente sobre a fuga de informações, violando assim o artigo 15.º da Lei da Protecção de Dados Pessoais.

Resultado:

    Na investigação não se provou a existência da fuga de informações e, a par disso, a violação do artigo 15.º da Lei acima referida não constitui uma ilegalidade administrativa. Neste sentido, depois de a Empesa A ter adoptado as medidas de aperfeiçoamento, o caso foi arquivado.

Referência:
Consulte a “Lei da Protecção de Dados Pessoais”, artigos 3.º, 4.º e 15.º.

Voltar

Avenida da Praia Grande, N.º 804, Edif. China Plaza, 17.º andar, Macau Tel:(853) 2871 6006 Fax:(853) 2871 6116