Canais de Denúncia: a sua empresa já cumpre esta lei?

Canais de Denúncia: a sua empresa já cumpre esta lei?

Dez 5, 2024 | Gestão e Administração, Infraestrutura e Cibersegurança

Mais do que a criação de um canal de denúncias, a Lei de Whistleblowing (ou Regime Geral de Proteção de Denunciantes de Infrações) trouxe novas obrigações legais a entidades públicas e privadas. Mas que obrigações são estas? E o que são, afinal, Canais de Denúncia? A sua empresa tem de cumprir esta lei?

Vamos descobrir neste artigo!

Lei n.º 93/2021: o novo regime de proteção de denunciantes

A Lei nº 93/2021 transpõe para Portugal um novo regime de âmbito europeu, a Diretiva (UE) 2019/1937, estabelecendo o regime geral de proteção de denunciantes de infrações, o RGPDI. Também conhecida por Lei de Whistleblowing, este diploma visa a proteção das pessoas que denunciam violações do direito europeu, tais como crimes ou omissões nos domínios de:

      • Contratação pública;
      • Segurança e conformidade de produtos;
      • Proteção do ambiente;
      • Saúde Pública;
      • Proteção da privacidade de dados pessoais;
      • Entre outros.

A Lei de Whistleblowing reforça, assim, a importância de se implementar um sistema robusto para assegurar a confidencialidade e o tratamento eficaz das denúncias, com transparência, independência e integridade. Se quer saber mais sobre este regime de proteção de denúncias, pode inscrever-se na nossa formação gratuita no âmbito do Emprego + Digital.

A sua empresa tem de cumprir esta lei?

Apenas estão legalmente obrigadas a implementar um canal de denúncias as seguintes entidades:

      • Empresas com 50 ou mais trabalhadores;
      • Independentemente do número de trabalhadores, as empresas abrangidas pela legislação relativa a serviços, produtos e mercados financeiros e prevenção do branqueamento de capitais e do financiamento do terrorismo, segurança dos transportes e proteção do ambiente;
      • Autarquias e municípios que empreguem 50 ou mais trabalhadores (exceto as autarquias locais que tenham menos de 10.000 habitantes).

Para cada uma destas situações, a implementação de um canal de denúncias visa proteger aqueles que denunciarem infrações e evitar represálias, o que obriga as entidades a um cuidado redobrado na proteção de denunciantes e no seguimento das denúncias.

 

Quem são os denunciantes?

A Lei 93/2021 estabelece o enquadramento legal: qualquer pessoa que, num contexto laboral, reporte infrações com fundamentos razoáveis, contribuindo para uma atividade mais segura e ética. Isso inclui:

      • Trabalhadores do setor privado, social ou público;
      • Prestadores de serviços ou fornecedores;
      • Titulares de participações sociais, incluindo pessoas pertencentes à gestão e membros não executivos;
      • Voluntários e estagiários.

Posto isto, vamos conhecer as principais obrigações na implementação da Lei de Whistleblowing.

 

Implementar um Canal de Denúncia: por onde começar?

A criação de um Canal de Denúncias tem um impacto principalmente organizacional, já que as entidades abrangidas devem implementar um sistema especializado que garanta anonimato, a proteção dos dados pessoais dos denunciantes e o tratamento das denúncias. Este sistema pode ser informático (software), telefónico ou presencial, desde que toda a informação seja tratada de forma sigilosa, com a devida proteção do denunciante, e dentro dos prazos previstos na lei. Auditorias regulares para avaliação da eficácia do canal tornam-se, por esse motivo, obrigatórias.

A empresa deve ainda adotar meios para formalizar os procedimentos de denúncia, nomeadamente, integrando o funcionamento dos Canais de Denúncia nos regulamentos internos e promovendo a formação profissional dos colaboradores para que saibam como funcionam os Canais de Denúncia.

 

Garanta o compliance com Formação!

A Academia GROW tem disponível uma formação de Whistleblowing e Canais de Denúncia, para garantir o compliance da sua organização. Esta formação é assegurada por Lúcia Marinho, a nossa especialista em RGPDI e Proteção de Dados, e permite capacitar a sua empresa com ferramentas e conhecimento para implementar o Regime Geral de Proteção de Denunciantes.

E já lhe dissemos que este curso é gratuito? Com o Programa Emprego Mais Digital, a Formação de Whistleblowing e Canais de Denúncia já tem inscrições abertas, por isso, reserve agora o seu lugar!

Fale connosco para mais informações!

Subscreva a nossa Newsletter!

Seja particular ou empresa, fique a par de todas as novidades, bem como dos nossos
cursos e conteúdos exclusivos!

Particulares

Empresas

Já conhece o novo regulamento da UE para produtos digitais?

Já conhece o novo regulamento da UE para produtos digitais?

Nov 26, 2024 | Infraestrutura e Cibersegurança

Se a sua empresa desenvolve produtos com componentes digitais, há novas regras e padrões de segurança que deve conhecer já! Falamos-lhe do regulamento UE 2024/2847, aplicável a todos os produtos que estejam direta ou indiretamente conectados a outros dispositivos ou redes (como câmaras, frigoríficos inteligentes, smartwatches, entre outros). Estas regras já estão em vigor e garantem a segurança digital de consumidores, empresas e demais infraestruturas. Vamos conhecer melhor o novo regulamento da UE para produtos digitais?

O que é o Regulamento UE 2024/2847?

Também conhecido por Regulamento de Ciber-Resiliência, o regulamento UE 2024/2847, de 23 de outubro de 2024, impõe novos requisitos de segurança para todos os produtos com componentes digitais que são vendidos no espaço europeu.

Posto isto, esta nova legislação salvaguarda os dados de consumidores, empresas e infraestruturas críticas para a sociedade, reforçando a confiança no mercado digital europeu e a sua resiliência contra ameaças cibernéticas. Ao abranger uma vasta gama de equipamentos – desde eletrodomésticos inteligentes a sistemas industriais – o novo regulamento para produtos digitais impõe novos padrões de segurança durante todo o ciclo de vida dos produtos.

O novo Regulamento de Ciber-Resiliência para produtos digitais compreende, então, um conjunto de obrigações para fabricantes, importadores e distribuidores, bem como procedimentos de avaliação da conformidade com o objetivo de:

    • Aumentar a confiança dos consumidores nos dispositivos conectados, incentivando a adoção de boas práticas de desenvolvimento;
    • Proteger infraestruturas críticas, mitigando os riscos para setores estratégicos da sociedade (energia, saúde e transportes);
    • Garantir que fabricantes, importadores e distribuidores assumem um papel ativo na cibersegurança.

Mas quais são, afinal, as novas regras para produtos digitais? É isso que vamos descobrir de seguida!

Quais são as novas regras para produtos digitais?

Este novo regulamento para produtos digitais reforça o compromisso com a segurança e resiliência digital face a ameaças cibernéticas, tendo por base 5 regras essenciais:

1. Segurança desde a conceção

Os fabricantes devem “assegurar que o produto foi concebido, desenvolvido e produzido em conformidade com os requisitos essenciais de cibersegurança”. Ou seja, devem incorporar medidas de segurança digital no design dos produtos, prevenindo vulnerabilidades desde a fase de conceção.

2. Certificação obrigatória: marcação CE

A marcação CE, explica este novo regulamento dos produtos digitais, deve ser colocada “de modo visível, legível e indelével no produto”. Esta certificação comprova a conformidade com os novos padrões e, por essa razão, caso não seja possível ser apresentada no produto, deve ser colocada na embalagem e na declaração de conformidade EU que acompanha o produto.

3. Comunicação de vulnerabilidades

Qualquer vulnerabilidade detetada deve ser comunicada às autoridades competentes e, quando aplicável, aos utilizadores. Esta medida aumenta a transparência e reduz os danos causados por falhas de segurança.

4. Sanções rigorosas

Embora existam exceções para pequenas e médias empresas, as entidades que não cumprirem o regulamento poderão incorrer em multas avultadas.

5. Responsabilidade partilhada

Importadores e distribuidores devem verificar se os produtos que comercializam estão em conformidade com as normas de segurança digital. Este é um passo importante para reforçar a cibersegurança em toda a cadeia de fornecimento.

Quer lidar com os desafios da era digital?

Com a cibersegurança e a proteção de dados no centro das atenções de entidades públicas e privadas, a Academia GROW tem várias formações disponíveis para preparar a sua equipa para os desafios da era digital, como:

 

Fale connosco para saber mais sobre estas e outras formações!

Subscreva a nossa Newsletter!

Seja particular ou empresa, fique a par de todas as novidades, bem como dos nossos
cursos e conteúdos exclusivos!

Particulares

Empresas

“O RGPD pode colocar as empresas à frente da concorrência”

“O RGPD pode colocar as empresas à frente da concorrência”

Mar 8, 2022 | Entrevistas Grow, Informática, Infraestrutura e Cibersegurança

Já não é novidade: hoje o RGPD coloca mesmo as empresas à frente da concorrência. Quem o diz é Lúcia Marinho, Encarregada de Proteção de Dados (DPO) e especialista na implementação do Regulamento Geral de Proteção de Dados (RGPD) nas empresas.

Com o ritmo acelerado da transformação digital e o cibercrime a aumentar, este é o momento certo para conversarmos com a formadora e percebermos melhor os desafios que as empresas enfrentam.

Vamos a isso?

 

Academia GROW: Além de pesadas coimas, o incumprimento do RGPD pode trazer sérias consequências para as empresas. Quais os perigos que estão em causa?

Lúcia Marinho (LM): Qualquer empresa trata informação sensível e confidencial relativa a dados pessoais de colaboradores, clientes ou fornecedores. A fuga dessa informação, não só é prejudicial para a empresa, como um “trunfo” para os seus concorrentes, que a podem usar em seu benefício.

Assim, falamos de vários perigos, nomeadamente:

  • Ataques cibernéticos;
  • Vulnerabilidade dos dados, principalmente se a empresa tiver colaboradores em teletrabalho, com redes domésticas pouco seguras;
  • Mais fragilidades com o trabalho em nuvem, já que temos vários dispositivos ligados em rede;
  • Vírus, worms e cavalos de Troia;
  • Hackers;
  • Spyware e software de propaganda invasiva;
  • Ataques de dia zero ou ataques de hora zero (ataques a falhas do sistema, que ainda são desconhecidas do usuário);
  • Roubo de dados ou intercetação dos mesmos em comunicações;
  • Ataques ao sistema informático;
  • Roubo de dados pessoais e identidade.

A segurança informática dá credibilidade às empresas. Mostra que a proteção de dados é uma preocupação de toda a organização e não apenas dos recursos técnicos.

GROW: E o que fazer perante esses perigos?

LM: A segurança da informação é um tema amplamente discutido, mas falta formação para que cada colaborador esteja sensibilizado para os riscos e tome consciência das responsabilidades. Hoje, uma empresa que adote metodologias de proteção de dados está a dar um passo para se diferenciar da concorrência. Por isso, é muito importante a implementação do RGPD e o cumprimento das práticas que reforçam a segurança dos dados.

 

GROW: Considera que o RGPD ainda não é plenamente compreendido quanto às suas vantagens?

LM: O RGPD pode colocar a empresa um passo à frente da concorrência. Mais do que deveres e coimas, deve ser visto como uma oportunidade para as empresas reverem as suas estruturas e processos, tornando-se mais eficientes.

Além de criar oportunidades de negócio, o RGPD impulsiona a internacionalização, promove o nível de confiança dos clientes e fortalece a relação com os stakeholders. Como? Mostrando uma empresa capaz de tratar qualquer dado de forma segura e de envolver todos os departamentos na segurança da informação.

Ou seja, a competitividade das empresas também passa pela segurança informática, por mostrarem que a proteção de dados é uma preocupação de toda a organização e não apenas dos recursos técnicos. É isso que dá credibilidade à empresa.

GROW: O colaborador, do ponto de vista da segurança da informação, é o elo mais fraco das empresas?

LM: Não o é propositadamente, com intenção de prejudicar, mas por falta de informação ou por erro acidental. Os erros de funcionários são, de resto, a principal ameaça para a segurança dos dados, superando até ataques de hackers.

“Todos os colaboradores – e, em especial, aqueles que lidam com dados pessoais e informação sensível – devem tomar consciência dos comportamentos a ter.”

GROW: Mas, se a presença digital é essencial para a competitividade das empresas, quais as medidas prioritárias a tomar?

LM: A transformação digital, embora vantajosa para as empresas, deve fazer-se acompanhar pela implementação de um sistema de proteção de dados, por medidas internas de salvaguardada da informação, que vão desde as políticas de proteção de dados pessoais à gestão dos recursos humanos.

E convém lembrar que as fragilidades não passam só pela estrutura da rede ou pelos backups.

A sensibilização e a formação são a forma mais eficaz de evitar o comprometimento de dados e as fugas de informação. Da administração aos quadros técnicos, todos os colaboradores – e, em especial, aqueles que lidam com dados pessoais e informação sensível – devem tomar consciência dos comportamentos a ter. Este é um passo decisivo para as empresas se colocarem à frente das ameaças da transformação digital e da concorrência. Quanto mais cedo as organizações cumprirem o RGPD, maior será a sua vantagem competitiva.

“Se a segurança informática tem um custo, o desconhecimento das regras e o seu incumprimento tem um custo ainda maior.”

GROW: A Eng.ª Lúcia Marinho dá às empresas, através da Academia GROW formações na área da Segurança Informática para Utilizadores. Que vantagens destaca destes cursos?

LM: A globalização e a rápida evolução tecnológica trouxeram novos desafios no que diz respeito à proteção de Dados Pessoais, pois a quantidade de informação pessoal partilhada pelos cidadãos não para de aumentar.

Mas as ameaças cibernéticas são ainda mais perigosas para as empresas sem colaboradores formados e informados. Do escritório ao chão de fábrica, todos devem saber quais as condutas de segurança de dados a adotar e quais os direitos que têm enquanto titulares de dados pessoais.

Se é verdade que a segurança informática tem um custo, o desconhecimento das regras e o seu incumprimento tem um custo ainda maior.

 

Aposte na sua formação!

A Academia GROW tem cursos à medida das suas necessidades e dos objetivos da sua empresa, por isso, fale connosco para mais informações!

Segurança Informática: 5 conselhos para prevenir em vez de remediar

Segurança Informática: 5 conselhos para prevenir em vez de remediar

Fev 22, 2022 | Informática, Infraestrutura e Cibersegurança

Já reparou como o início deste ano tem sido marcado pelo ataque informático a empresas e instituições de renome em Portugal? Da Vodafone aos Laboratórios Germano de Sousa, ou da Impresa ao site do Parlamento, o número de ciberataques tem aumentado consideravelmente.

Quanto? De acordo com o Centro Nacional de Cibersegurança (CNCS), entre 2020 e 2021, os esquemas de phishing aumentaram 43% e, a infeção por malware, 12%. Mas há outros dados que merecem atenção:

Portugal ocupa o 31.º lugar dos países mais afetados por ransomware, num total de 101 países (S21sec).

Menos de 1% das empresas portuguesas têm seguros de proteção contra cibertaques (MDS).

Apenas 9% das empresas têm em vigor todas as práticas de segurança recomendadas para o teletrabalho.

E 26% diz não ter uma solução para detetar e impedir ataques de ransomware (Check Point Software Technologies).

A sua empresa trata informação digital sensível e confidencial? E guarda dados de parceiros, clientes e colaboradores? Então já se apercebeu como o risco é real. A questão não é, portanto, se será alvo de um ataque cibernético, mas, sim: quando é que vai acontecer e quão preparada está a minha empresa?

E agora? Já podemos dizer que este é o momento certo para pôr em marcha uma estratégia de cibersegurança? Então vamos a isso!

 

Como implementar uma boa estratégia de cibersegurança?

O primeiro mito a esclarecer é que a fórmula mágica para salvaguardar os riscos cibernéticos a 100% não existe. Em vez disso, prevenção e formação são a sua melhor estratégia.

Não basta, então, cumprir o Regulamento Geral da Proteção de Dados. Para além das recomendações do RGPD, procure ser proativo e implementar uma filosofia de privacy by design.

Neste contexto, o jornal ECO e os especialistas da empresa de segurança, S21sec, definiram uma série de recomendações para qualquer empresário aplicar de imediato. Vamos conhecê-las?

 

1) Restringir as permissões ao estritamente necessário

Porque, atualmente, muitas empresas trabalham em ambientes digitais, cada colaborador só deve ter as permissões necessárias para o trabalho a executar. Com isso, irá limitar o alcance de um eventual ataque cibernético.

 

2) Usar a autenticação em dois passos

A autenticação multifator deve ser uma medida obrigatória. Como funciona? Com um nome de utilizador e uma senha, que seja extensa e combine letras, números e símbolos; e, num segundo nível, um código via SMS ou aplicação própria.

 

3) Não misturar assuntos profissionais com pessoais

Sistemas operativos obsoletos? Substitua-os. Atualizações por fazer? Execute-as já. Mas, acima de tudo, não use o computador profissional para tratar de assuntos pessoais. Em uníssono, isto vai facilitar – e muito – a sua vida!

 

4) Evite redes públicas de Wi-fi

Desconfie sempre de redes abertas, mesmo em aeroportos ou centros comerciais. Contudo, se tiver mesmo de ser, é recomendável adotar uma VPN, evitando assim que o seu tráfego online e identidade sejam intercetados por terceiros.

 

5) Faça backups regulares

Seja em suporte físico ou na cloud, é fundamental possuir cópias de segurança de todos os dados. Mas não se esqueça de testar essas cópias, preparando um plano de recuperação em caso de ataque.

 

A segurança informática começa consigo!

Do ponto de vista da segurança, as pessoas são o elo mais fraco das empresas. Mas vamos à boa notícia: a Academia GROW pode ajudar a sua empresa a estar mais segura e protegida no mundo cibernético.

Com o curso de Segurança Informática para Utilizadores, sob a orientação de uma formadora especialista em Proteção de Dados, aprenderá a identificar tanto os riscos como as boas práticas a adotar online. O objetivo? Tornar-se um elemento ativo na segurança digital da sua informação.

Fale connosco e proteja os dados da sua empresa!

A sua informação está segura? Tem a certeza?

A sua informação está segura? Tem a certeza?

Nov 17, 2021 | Informática, Infraestrutura e Cibersegurança

Como diz o célebre axioma da banda desenhada, “grande poder exige grande responsabilidade” – principalmente, quando a maior parte das nossas informações são armazenadas digitalmente.

A segurança informática é uma preocupação para si? Ainda não implementou o Regulamento Geral de Proteção de Dados (RGPD) na sua empresa? Sabe se cumpre todas as regras? Então, temos uma solução: dois Workshops gratuitos, organizados pela ESTRATEGOR e Academia GROW, que ajudarão a sua empresa a estar mais segura e a cumprir a lei.

Orientadas por Lúcia Marinho, licenciada em Engenharia e Gestão Industrial e Encarregada Certificada de Proteção de Dados, as sessões serão online e decorrerão nos próximos dias 25 de novembro e 6 de dezembro.

 

Faça a sua inscrição aqui e saiba como minimizar o risco.

 

Proteção de dados: evitar riscos… e multas!

Desde que entrou em vigor, parece que não ouvimos falar noutra coisa: dados, segurança informática, ciberataques… Mas será que o RGPD é mesmo importante?

79%: eis em quanto aumentou o número de ciberataques em Portugal, no ano passado, segundo o Centro Nacional de Cibersegurança. Os principais alvos? Cidadãos em geral e, logo a seguir, PME’s. Em caso de incumprimento das normas, as coimas podem ascender a 4% da faturação anual global ou €20.000.000.

Portanto, sem dúvida que é importante! Afinal, qualquer empresa armazena e gere informações de clientes, parceiros e colaboradores.

 

PME ou grande empresa, o RGPD é para todos

Se presta serviços, comercializa produtos, envia newsletters aos seus clientes ou sabe informações dos seus colaboradores, então tem uma grande responsabilidade: proteger esses dados sempre que identifiquem pessoas singulares (como o nome num endereço de email ou um contato telefónico).

A nomeação de um Encarregado de Proteção de Dados (DPO), que sensibilize a equipa e vigie o cumprimento das normas, dependerá de cada caso e da dimensão da organização. Por isso, não sendo uma figura obrigatória, deve pelo menos preparar os seus colaboradores para serem agentes ativos de segurança.

 

Formar para confiar!

Porque as pessoas são o elemento vulnerável desta equação, é importante que toda a equipa conheça as regras e saiba como aplicá-las. Se partilha desta visão, conheça o curso da Academia GROW sobre Segurança Informática para Utilizadores.

Contudo, a proteção de dados é mais do que uma obrigação. Implementar um sistema de proteção de dados na empresa é o mesmo que adotar uma norma de qualidade, como a ISO 9001: obriga a várias regras, mas reforça a confiança de parceiros e clientes.

Assim, da próxima vez que lhe perguntarem se os dados da sua empresa estão seguros, a resposta será um resoluto “sim”. Vamos a isso? Fale connosco para mais informações!

Subscreva a nossa Newsletter!

Seja particular ou empresa, fique a par de todas as novidades, bem como dos nossos
cursos e conteúdos exclusivos!

Particulares

Empresas