É crucial que o software a ser utilizado ou desenvolvido possua as funcionalidades de proteção de dados adequadas aos riscos do projeto. Estas funcionalidades são particularmente importantes quando a licença de utilização não foi celebrada com a instituição, uma vez que a responsabilidade pelo cumprimento do RGPD recai sobre a equipa de investigação. As seguintes funcionalidades são requisitos de segurança e conformidade que a generalidade do software que trata dados pessoais deve incluir:
• Controlo de acessos granular: Essencial para limitar o acesso aos dados apenas ao pessoal estritamente necessário.
• Encriptação de dados em trânsito, e em repouso: A encriptação em repouso (no armazenamento) é essencial para dados sensíveis ou em cenários de risco moderado ou elevado.
• Atualizações de segurança: A aplicação regular de patches e correções é fundamental para a gestão contínua da segurança.
• Registo de acessos e atividades: Permite monitorizar quem acedeu aos dados, sendo crucial para o dever de demonstração de conformidade e para auditorias.
• Cópia de segurança (backup) e recuperação: Garante a disponibilidade e resiliência dos sistemas e serviços de tratamento em caso de incidente.
• Disponibilização de um aviso de privacidade, gestão da retenção de dados e gestão dos direitos dos titulares: Garantir o cumprimento dos direitos previstos no RGPD e documentar e gerir a base de licitude do tratamento (incluindo mecanismos de gestão de consentimento, quando esta for a base legal aplicável).
Dependendo do risco dos dados objeto de tratamento, outras funcionalidades podem ser ponderadas, por exemplo:
• Técnicas de anonimização ou pseudonimização: A sua inclusão deve ser ponderada quando se pretender que o software trate dados sensíveis, grandes volumes de dados ou em cenários de risco moderado ou elevado.
• Autenticação forte (MFA – Multi-Factor Authentication): Essencial para proteger acessos administrativos e de utilizadores privilegiados.
Se o software não suportar as funcionalidades consideradas necessárias, deve considerar a utilização de outro software ou a adição dessas funcionalidades ao sistema que está a desenvolver.