A protecção de dados e a segurança da informação voltam à ordem do dia s. Por haver suspeitas de acessos ilegítimos e de partilha de dados entre entidades que disputam votos. Por haver desconfiança de expedientes que envolvem algoritmos, favores políticos e alguma vista grossa. Como são tratados os nossos dados pessoais nesta Região? Este é o ponto de partida da reflexão assinada por Miguel Rodrigues. Até porque por muito que quem manda fale em segurança, parece ter sido muito fácil ‘hackear’ o site do Governo.
Com muitos avanços e recuos, foi, finalmente, aprovada na Assembleia da República, no passado dia 14 de junho, a nova Lei de Protecção de dados (LPD).
Esta lei e consequente aprovação tardia, deriva da aplicação do Regulamento Europeu de Proteção de Dados. Estabelece as regras relativas ao tratamento de dados pessoais referentes a pessoas singulares na UE, quer seja por uma pessoa singular ou coletiva.
Muitas das nossas instituições ainda vivem em estado de negação, o que faz com que o Regulamento Geral da Proteção de Dados Pessoais seja ainda entendido por muitos como o “RGP Quê?”.
O RGPD entrou em vigor em abril de 2016 , é de aplicação obrigatória desde 25 de maio de 2018. Portugal teve dois anos para o implementar e fazer a sua transposição para a lei nacional. Como sempre fomos dos últimos, e sempre com a tendência para viver num total estado de negação, à espera para ver o que o “vizinho do lado” iria fazer, na vã esperança de que não seria realidade.
Ao contrário do que muitos pensavam, as entidades públicas também vão pagar as coimas por violação ou por divulgação de dados pessoais, mas, em casos excecionais e bem fundamentados, podem pedir à Comissão Nacional de Proteção de Dados – CNPD a isenção da aplicação do RGPD por um período de duração de três anos.
Vivemos anos com uma Lei de Proteção de Dados (LPD) que foi ficando desajustada à realidade tecnológica. A LPD datava de 1998 mas mesmo nesta lei antiga e desajustada, já havia regras de cumprimento obrigatório, que poucos cumpriam e onde o crime compensava em virtude das coimas serem muito baixas para os ganhos que uma entidade poderia obter com os acessos indevidos à informação, a sua manipulação, a sua partilha, tudo isto aliado à grande falta de meios de fiscalização (que ainda existe).
Não obstante, mesmo com a entrada em vigor do RGPD e a aprovação recente da nova LPD, continuamos a assistir a uma “dança” de informação com dados pessoais entre instituições.
Assistimos a fugas de informação, a partilhas de dados pessoais na internet (e não só) oriundas de diversas fontes e que ocorrem por simples incúria, desconhecimento, fragilidades dos sistemas ou porque era já normal essa troca de informações entre instituições sem que o verdadeiro “dono dos dados”, ou seja, nós, tenhamos dado o devido consentimento para tal.
Facilmente se verifica a existência online de formulários de recolha de informação, por exemplo, para filiações partidárias, criados de forma incorreta, sem que se cumpra uma das regras mais elementares que o RGPD trouxe para a nossa realidade: o consentimento e a limitação da finalidade do tratamento dos dados.
Recentemente, centenas de documentos da empresa Atlanticoline (Açores) com imagens de cartões de cidadão de familiares e utilizadores dos navios, dados pessoais de menores e comprovativos de pagamento assim como acordos judiciais, foram divulgados na internet.
No Hospital do Barreiro-Montijo, detetaram-se falsos perfis médicos para acesso ao sistema informático clínico do hospital. Havia mais de 900 perfis “médico” criados e com permissão para consultar todo o historial clínico dos utentes para apenas 296 médicos reais. O Hospital foi multado em 400 mil euros.
Até Bruxelas expôs dados pessoais de autarcas de toda a Europa devido a uma falha de segurança.
A segurança da informação não começa nem se resolve apenas com soluções tecnológicas, como muitos pensam. A segurança da informação começa com a sensibilização das estruturas de topo das organizações e dos seus quadros, pela definição de regras internas e de procedimentos bem delineados e aprovados, com boas práticas e trabalho no manuseamento da informação.
Muito se tem lido, ouvido e falado sobre cibersegurança e estratégia, esquecemos que a segurança começa dentro de casa, com a educação dos utilizadores. De nada serve termos o state of the art em tecnologia, e comprarmos quilos da mesma, se falhamos internamente no elo mais fraco de um sistema: o ser humano, as suas fragilidades, desatenções e pouca formação.
Mais importante do que divagar sobre legislação e a cibersegurança, é definir normas internas e boas práticas, para isso basta seguir as regras presentes em normas internacionais aliadas ao trabalho contínuo de monitorização. Sim, dá muito trabalho!
Hoje em dia, com um simples “clique” estamos a partilhar informações, de uma forma completamente aberta ao mundo.
São as redes sociais, as partilhas de informações em fóruns de discussão, as partilhas de opinião em páginas de órgãos de comunicação social, entre outras, e tudo fica disponível para todos.
Vivemos num mundo por vezes falso onde nem tudo o que parece é, passamos a descurar as regras básicas não só do bom senso, mas também da boa educação. Muitos julgam esconder-se por detrás de uma internet supostamente anónima, a calúnia gratuita fácil, as ofensas verbais, alimentando sentimentos de impunidade e falsas sensações de segurança, escondidos por um teclado ou via de um perfil falso criado numa rede social qualquer, pensando, erradamente, que são anónimos quando na verdade são todos localizáveis, com mais ou menos dificuldade, mas são sempre localizáveis. São apenas mais uma variável dentro do mundo digital.
Este acesso desmedido aos nossos dados, localizações e informações, levanta muitas questões e quase ninguém se preocupa com isso, principalmente o utilizador final e principal responsável por elas. Por onde andam os nossos dados? Quem é que acede? O que fazem com eles? Como é que as nossas instituições, públicas e privadas, estão a abordar estas questões da privacidade e da segurança da informação?
Em jeito de raio-x ao estado da implementação do RGPD e da segurança da informação, passamos de uma histeria coletiva pré/pós 25 de maio de 2018 que durou sensivelmente um mês e meio e que fizeram do RGPD um bicho papão, para um silêncio ensurdecedor e preocupante.
Existe um baixo grau de maturidade para este tipo de questões e para as novas exigências europeias, relativa às medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União Europeia.
Poucos planeiam e organizam ou não sabem o que querem, formam mal só para cumprir as horas obrigatórias por lei, e apenas esperam.
O fator crítico para o sucesso, é o conhecimento dos processos, saber quem faz o quê, como o faz e por onde circula a informação.
Uma boa construção inicia-se pelos alicerces e não pelo telhado e muitos projetos falham por causa disso mesmo.
Muitos estão deveras atrasados e nem pensaram muito bem no assunto. Alguns a meio-gás e com trabalho de casa feito e poucos estão com uma implementação consolidada.
Há os que cortam acessos e paralisam instituições em nome do RGPD e há também aqueles que não querem abordar o assunto porque quanto menos se falar dele, melhor.
Possivelmente ainda há aqueles, mesmo recebendo instruções superiores para o fazer simplesmente não as cumprem, seja por inércia, esquecimento ou incompetência.
Faz-me recordar uma frase do gato na estória de “Alice no País das Maravilhas” – “Para quem não sabe para aonde vai, qualquer caminho serve”.
Quo Vadis RAM?