Relatório de Atividades da CNPD

No conjunto de 2017 e 2018, CNPD entrega ao Estado quase 2 milhões de euros.

A CNPD apresentou, recentemente, o Relatório de Atividades do biénio 2017-2018 que evidencia uma atividade notável em 2018 se atendermos a que foi penalizada com mais de 7 milhões de euros de cativações e obrigada a uma aflitiva ausência de investimentos. Com uma despesa anual em 2018 de 1,7 milhões de euros e receitas de 2,4 milhões de euros a CNPD compromete o seu desempenho para se constituir fonte de receitas para o Estado. Pura e simplesmente lamentável!

É com uma palavra de apreço que assistimos à prestação de contas que a CNPD fez da sua atividade durante o período 2017-2018 que pode ser consultada aqui.

É um relatório com muito conteúdo que descreve com o detalhe adequado as diversas atividades realizadas ao longo destes 2 anos e que estão agrupadas pelas seguintes rubricas: atividade decisória e processual, atividade consultiva e orientadora, atividade fiscalizadora e sancionatória, atividade de sensibilização pública, atividade internacional, atividade de gestão interna (desafios e gestão).

Atividade consultiva e orientadora

O relatório informa que a CNPD, no final de 2018, tinha 20 trabalhadores, 6 vogais e 1 presidente, totalizado 27 colaboradores, dos quais 67% com um nível de escolaridade igual ou superior à licenciatura.

Refere o Relatório que só no primeiro mês a seguir à aplicação do RGPG, a CNPD teve mais de 1.500 solicitações, sobretudo por correio eletrónico e por telefone, o que obviamente representou um enorme esforço para a instituição.

Continue reading “Relatório de Atividades da CNPD”

Na senda do artigo 80 do RGPD

O futuro das ações coletivas sobre proteção de dados

Max Schrems, fundador da ONG “Europa versus Facebook” e atual leader da ONG Noyb.eu (None of Your Business) é um ativista da proteção de dados que tem vindo a mostrar a relevância do artigo 80 do RGPD.

O ativismo de Max Schrems tem consequências! Ser “à-prova-de-Schrems” é mais que um selo de conformidade. Não faltam motivos para Schrems ser malquisto por muitos. Max Schrems foi responsável pelo desmoronar do acordo Safe Harbor EU-U.S. referente à recolha, utilização e retenção de dados pessoais. Max Schrems denunciou irregularidades de privacidade da Facebook, Apple, Microsoft, Skype e Yahoo.


“In practice many individual users are not willing to file legal actions against obvious privacy violations, because of (often rather trivial) costs if a case is lost. This leads to almost no litigation in privacy cases, even if costs are low”

Max Schrems

O RGPD, no artigo 80, introduziu a possibilidade de serem criadas ONGs (organizações não-governamentais) ou associações sem fins lucrativos, que sejam devidamente constituídas ao abrigo do direito de um Estado-Membro representativas dos titulares dos dados que podem apresentar queixa em nome dos lesados por violações de dados. Mais, os Estados-Membros podem prever que essas organizações possam nesse Estado-Membro, apresentar uma reclamação à autoridade de controlo competente caso considerem que os direitos dos titulares foram violados em virtude do tratamento, e isto, independentemente de um mandato conferido pelo titular dos dados.

A Dra. Cristina Pimenta Coelho, no livro “Comentário ao Regulamento Geral de Proteção de Dados”, interpreta o artigo 80 referindo que “um lugar paralelo que podemos encontrar no ordenamento jurídico interno é o das associações sindicais que, de acordo com o artigo 56.° da Constituição da República Portuguesa “representam”, ou melhor, defendem por “direito próprio” os direitos e interesses, individuais ou coletivos, dos trabalhadores, não sendo meras representantes ou mandatárias dos trabalhadores.”

É impossível referir o artigo 80 sem mencionar as queixas da Noyb e da “La Quadrature du Net” à CNIL (autoridade para a proteção de dados de França) que fundamentaram a coima de 57 milhões de euros à Google.

Continue reading “Na senda do artigo 80 do RGPD”

ICO: – “RGPD numa fase critica”

Qual a principal fonte de inconformidade RGPD?

Quer o caso da violação de dados do Yahoo, quer o caso do Facebook, demonstram bem falhas organizativas que sustentam a tese da presidente da ICO.

Segundo a ICO estamos a entrar numa fase critica de afirmação do RGPD que requer um novo foco na proteção holística de dados, incorporando uma sólida governança dos dados pessoais em todos os processos da atividade da organização.

No passado dia 8 de Abril, Elizabeth Denham, presidente da ICO (a autoridade para a proteção de dados pessoais do Reino Unido) na conferência Data Protection Practitioners 2019 (aqui) afirmou, perante mais de 800 pessoas, a absoluta necessidade de considerar adequadamente o principio da accountability (responsabilidade ou responsabilidade demonstrada).

We find ourselves at a critical stage. For me, the crucial, crucial change the law brought was around accountability. Accountability encapsulates everything the GDPR is about.”

Elizabeth Denham, Information Commissioner (ICO)

Este é, de resto, um tema recorrente deste blog como se pode ver aqui, aqui e aqui, entre outros.

Mas qual a relação da afirmação de Elizabeth Denham com os casos do Yahoo e do Facebook?

Continue reading “ICO: – “RGPD numa fase critica””

Um caso de coima relativa ao artigo 14 do RGPD

Poderá o princípio da proporcionalidade ser um pretexto para a arbitrariedade?

Que argumentação, que justificações, que perguntas são razoáveis para testar o princípio da proporcionalidade? E, sobretudo, que método utilizar para testar o princípio da proporcionalidade?

A autoridade polaca para a proteção de dados pessoais (UODO), aplicou uma coima (comunicado da UODO aqui) que suscita uma questão interessante sobre a aplicação do princípio da proporcionalidade no que respeita ao direito de o titular dos dados ser informado quando os seus dados pessoais não são recolhidos junto de si. Tivesse a UODO explicado de forma completa a fundamentação da coima, poderíamos ter um caso de estudo, assim, teremos que aguardar pela decisão do tribunal. De qualquer forma importa reter as linhas vermelhas traçadas pela UODO.

Continue reading “Um caso de coima relativa ao artigo 14 do RGPD”

A primeira coima dinamarquesa

Deficiente pseudonimização pode vir a custar 2,8% da faturação.

A autoridade dinamarquesa de controlo dos dados pessoais (DPA) solicitou a imposição de uma coima de 1,2 milhões de coroas dinamarquesas (€160.751) à empresa de táxis TAXA 4×53, por deficiente pseudonimização e minimização de dados.

A notícia pode ser lida aqui.

A centenária empresa de táxis dinamarquesa com mais de 800 táxis em Copenhaga é líder de mercado e mantém uma base de dados com um histórico de nove milhões de viagens.  

Embora a aplicação da coima esteja reservada ao tribunal, verifica-se que de uma forma geral os tribunais tendem a estar alinhados com as penalidades propostas pelos reguladores. À medida que for sendo criada jurisprudência a DPA dinamarquesa poderá vir a aplicar coimas, mas como este ainda é o primeiro caso, tudo terá que ser resolvido em tribunal.

Continue reading “A primeira coima dinamarquesa”

A inconformidade dos “cookies walls”

O uso de cookies e a eventual obtenção do respetivo consentimento têm que seguir a Directiva ePrivacy e o RGPD.

A autoridade holandesa de controlo dos dados pessoais (DPA) clarificou (aqui) que os “cookies walls” são, em muitos casos, uma prática irregular que não respeita o RGPD.

O tema é controverso e em última instância irá caber ao Tribunal de Justiça da União Europeia dar clareza jurídica a esta questão. É de esperar alguma resistência a este entendimento da autoridade holandesa de controlo dos dados pessoais, não só porque a sua adequabilidade depende das condições particulares de cada caso, como o benefício obtido pela utilização dos cookies é demasiado importante para não merecer oposição.

Nem na diretiva 2002/58/CE (ou «ePrivacy Directive») do Parlamento Europeu e do Conselho de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações eletrónicas, depois transposta para o ordenamento jurídico português através da Lei 41/2004 de 18 agosto e alterada pela Lei 46/2012 de 29 agosto, nem no RGPD conseguimos encontrar uma resposta simples para a questão. A única solução é acrescentar um pouco de ponderação aos princípios evocados pela lei e com sentido de proporcionalidade utilizar prudência e respeito pelo titular dos dados.

Para uma clara perceção das fronteiras da ePrivacy e o do RGDP consulte-se (aqui) o documento publicado este mês pela EDPB (European Data Protection Board – Conselho Europeu para a Proteção de Dados), intitulado “Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities”.

Recapitulemos o conceito de cookie e entendamos a que tipo de cookies se refere a DPA holandesa.

Continue reading “A inconformidade dos “cookies walls””

Será que a CNPD vai inspecionar a ASAE?

É razoável suspeitar que a ASAE cometeu uma grave violação de dados pessoais.

Será que a CNPD afirmou que a ASAE vai poder analisar quem financiou a greve dos enfermeiros? Ou será que a CNPD se limitou a dizer à plataforma PPL de crowdfunding que deveria dar acesso à ASAE aos dados pessoais constantes da sua plataforma?

No sítio da CNPD (aqui) pode ler-se que a CNPD entendeu que, de acordo com a legislação de proteção de dados pessoais, «nada obsta» à disponibilização à ASAE, «para a prossecução das atribuições e o estrito exercício das competências em que está legalmente investida», da informação por esta solicitada à detentora da plataforma de financiamento colaborativo PPL.

Ora isto são duas coisas totalmente diferentes. Uma coisa é dizer-se que a ASAE pode aceder aos dados na prossecução das suas atribuições e competências e outra coisa é dizer-se que a ASAE pode aceder aos dados pessoais para identificar quem financiou a greve dos enfermeiros para avaliação da licitude sobre o financiamento da greve.

É que pelo que tem sido dito as atribuições e competências da ASAE em matéria de financiamento colaborativo circunscrevem-se à prevenção e combate ao branqueamento de capitais e ao financiamento do terrorismo.

Clarifique-se que branqueamento de capitais é a transformação, por via de atividades criminosas que visam a dissimulação da origem ou do proprietário real dos fundos, dos proventos resultantes de atividades ilícitas, em capitais reutilizáveis nos termos da lei, dando-lhes uma aparência de legalidade.

Tal como se pode ver aqui, o processo de branqueamento engloba três fases distintas e sucessivas:

1 – Colocação: os bens e rendimentos são colocados nos circuitos financeiros e não financeiros;

2 – Circulação: os bens e rendimentos são objeto de múltiplas e repetidas operações, com o propósito de os distanciar da sua origem criminosa, apagando (branqueando) os vestígios da sua proveniência e propriedade;

3 – Integração: os bens e rendimentos, depois de reciclados, são reintroduzidos nos circuitos económicos legítimos (por exemplo, através da sua utilização na aquisição de bens e serviços).

Note-se que a polémica sobre o financiamento da greve dos enfermeiros não suscita nenhuma questão ao nível da colocação, circulação ou integração.  

Aqui a ASAE dá nota da sua autoridade para fiscalizar as plataformas de financiamento como a PLL afirmando que no âmbito das medidas de natureza preventiva e repressiva de combate ao branqueamento de capitais e do financiamento do terrorismo, decorrente da Lei n.º 83/2017 de 18 de agosto, as entidades gestoras de plataformas de financiamento, passam a ser entidades equiparadas a entidades obrigadas, sendo-lhe assim aplicado o referido regime, ainda que simplificado, conforme o art.º 5 deste diploma.

Ora a prevenção e combate ao branqueamento de capitais e ao financiamento do terrorismo nada tem a ver com o efetivo propósito da ASAE.

Podemos tentar acreditar na versão oficial expressa pelo inspetor-geral da ASAE, Pedro Gaspar, ao Expresso de que “as circunstâncias atuais precipitaram uma avaliação prévia às seis campanhas ativas, entre as quais a dos enfermeiros”, e que “não existiu qualquer indicação do Governo”. Portanto, estarão a ver as campanhas de financiamento com a finalidade da prevenção e combate ao branqueamento de capitais e ao financiamento do terrorismo, se bem que o deslize sobre “as circunstâncias atuais”, deixe perceber a verdadeira intenção política.

No meio da polémica, o PS defendeu no Parlamento uma mudança no regime do crowdfunding, criado em 2015 precisamente através de uma proposta sua, para que acabe o carácter anónimo das contribuições. Os socialistas querem assim saber, no futuro, quem financia, por exemplo, as greves que estão a paralisar diversos serviços hospitalares. Diga-se que a forma como as pessoas financiaram a greve dos enfermeiros não teve nada de anónimo. Todas as doações foram feitas através do sistema bancário e, portanto, totalmente identificadas.

E esta é a verdade objetiva, a finalidade da ASAE é saber quem financiou a greve dos enfermeiros no quadro de um confronto politico-sindical. Vejamos o que dizia a imprensa (aqui): “Qual é o objetivo da investigação? Validar todas as informações dadas pelos enfermeiros em greve quanto à origem dos fundos, averiguar quanto foi o dinheiro angariado e se há incompatibilidade nas doações”. Ora isto não é combate ao branqueamento de capitais e ao financiamento do terrorismo. Isto é tratamento de dados para fins políticos.

O mais grave é que todos sabíamos disso e a CNPD também. A CNPD poderá ter dado uma resposta correta à PPL, mas não alertou a ASAE para o facto de que o acesso aos dados para a finalidade pretendida não era lícito. É razoável pensar que a CNPD agiu de forma informada e consciente, fechando os olhos à provável violação de dados que a ASAE estava a preparar.  Se assim foi, é altamente criticável. Agora só resta saber se vai ser conivente com a ASAE ou se vai fiscalizar à posteriori. Na minha opinião a CNPD tinha informação suficiente para saber que a ASAE estava a preparar-se para uma finalidade ilícita e deveria ter atuado de forma preventiva. A CNPD devia ter evitado a provável violação de dados.

Assumindo que a ASAE fez um tratamento em larga escala de categorias especiais de dados, espera-se que tenha realizado a respectiva Avaliação de Impacto sobre Proteção de Dados (AIPED) e que tenha agido de forma proporcional. Seria muito positivo que a CNPD reconhecesse a razoabilidade da atuação da ASAE validando o referido AIPD.

É legitimo pensar se não teria feito sentido, a ASAE ter realizado uma consulta prévia à CNPD sobre a análise de impacto do tratamento de dados. Importa reter a seguinte passagem do GRUPO DE TRABALHO DO ARTIGO 29 WP 248 :

d) Existe uma obrigação de publicar a AIPD? Não, mas a publicação de um resumo pode fomentar a confiança, e a AIPD completa deve ser comunicada à autoridade de controlo em caso de consulta prévia ou se tal for solicitado pela autoridade de proteção de dados.
A publicação de uma AIPD não é um requisito jurídico do RGPD, essa decisão recai sobre o responsável pelo tratamento. Contudo, os responsáveis pelo tratamento devem considerar, pelo menos, a publicação parcial da AIPD, por exemplo, um resumo ou uma conclusão.
A finalidade dessa publicação parcial seria ajudar a fomentar a confiança nas operações de tratamento do responsável pelo tratamento e demonstrar responsabilidade e transparência. Considera-se uma boa prática publicar uma AIPD quando os membros do público são afetados pela operação de tratamento. Acontece em especial quando a AIPD é realizada por uma autoridade pública.

WP 248 – Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE) 2016/679

Péssimo será se não tivermos notícia de uma inspeção da CNPD à ASAE. É que estamos a falar de dados pessoais relacionados com sindicalismo e política, isto são mais que dados sensíveis, isto são categorias especiais de dados pessoais.

Mau já foi a CNPD não ter atuado preventivamente protegendo à priori os dados pessoais associados a uma luta politico-sindical.

Pior, foi não termos visto juristas ou a própria Ordem dos Advogados no espaço publico a clarificarem esta situação.

A lição aprendida é: Cuidado com “o longo braço” do Estado.

A questão do controlo

Quando as pessoas interagem no ciberespaço com tecnologias criadas para minar a sua privacidade é difícil dizer que cabe às pessoas controlar a sua privacidade.

Conheço uma única pessoa que não utiliza a aplicação WhatsApp porque não concordou com a política de privacidade. Pergunto-me, aliás, quantas pessoas usam e concordaram conscientemente com a política de privacidade da WhatsApp?

Não conheço uma única pessoa que utilize a aplicação Mobdro para ver televisão e tenha lido o aviso de privacidade. Não acredito que alguém na ânsia de ver um Porto-Benfica se dê ao cuidado de ler a política de privacidade.

Certo é que nem todas as aplicações suscitam a mesma necessidade de adesão que a Mobdro ou a WhatsApp, mas em muitos casos a funcionalidade pretendida pelo utilizador acaba por ser soberana e ditar uma aceitação menos consciente, ou menos livre, ou mais condicionada, da política de privacidade. De uma forma geral a alternativa de serviço pago versus serviço por contrapartida de utilização dos dados pessoais é uma opção razoável, mas muitas vezes essa opção não é disponibilizada ao utilizador da aplicação.

Em qualquer o caso, fica a pergunta se será humanamente possível ou concebível que alguém tenha lido todas as politicais de privacidade das aplicações que tem instaladas nos seus dispositivos eletrónicos.

A resposta parece evidente e é por isso que Woodrow Hartzog (WH) afirma que os ganhos em privacidade virão de melhores regras para as aplicações informáticas e não pelo dito “controlo” exercido pelos utilizadores. Contudo, o modelo de negócio predominante na Internet consiste em recolher o máximo de dados possível e vendê-los ou usá-los para alcançar ou persuadir os utilizadores. O valor dos dados pessoais leva a que a generalidade das empresas decida dar primazia às estratégias que maximizem a recolha de dados.

O ano passado postei (aqui) sobre a intervenção de Woodrow Hartzog no IAPP Europe Data Protection Congress, relativa à questão do controlo e agora que volto ao tema refiro que o vídeo dessa apresentação já está disponível no youtube (aqui). Ainda a este propósito, e porque se falamos de controlo de privacidade temos que ter ideias claras sobre privacidade importa ver um outro vídeo de WH que alerta para o facto de que a privacidade é uma palavra cada vez mais vazia de sentido que teima em resistir a considerar devidamente o conceito de obscuridade (obscurity) e que pode ser visto aqui.

Nesta objetiva dificuldade em defender o direito à privacidade fica a dúvida se, em termos práticos, o que vai sobressair do RGPD não será, sobretudo, a regulação da liberdade de circulação dos dados pessoais que é o que alimenta a economia do Big Data.

O considerando nº7 do RGPD refere que “Esta evolução [tecnológica e da globalização] exige um quadro de proteção de dados sólido e mais coerente na União, apoiado por uma aplicação rigorosa das regras, pois é importante gerar a confiança necessária ao desenvolvimento da economia digital no conjunto do mercado interno. As pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais. Deverá ser reforçada a segurança jurídica e a segurança prática para as pessoas singulares, os operadores económicos e as autoridades públicas”. A segurança prática dos operadores económicos parece estar a ser conseguida, já a segurança prática das pessoas singulares parece não estar muito bem entregue a esse conceito de as pessoas ficarem responsáveis pelo controlo da sua privacidade. É que como referido anteriormente, não há condições para tal.

Note-se que a regulação da liberdade de circulação dos dados pessoais que é o que alimenta a economia do Big Data não é uma questão menor. É, de resto, tão grande que poderá por em risco a própria ideia de privacidade. A ideologia do Dataísmo que dá suporte à economia do Big Data transmite a ideia que num futuro mais ou menos próximo a privacidade será tida como uma anomalia.

A ideologia do Dataísmo apresentada inicialmente por David Brooks, em 2013, e desenvolvida posteriormente pelo historiador israelita Yuval Noah Harari considera a informação como o “valor supremo” que tenderá a esmagar a privacidade, até porque, o próprio utilizador optará sempre a favor da operacionalidade em detrimento da privacidade. E acrescento eu, que optará de forma descontrolada, deitando pelo chão qualquer esperança de que “as pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais”.

Poderá encontrar uma boa síntese da ideologia do Dataísmo no artigo de António Covas no Observador (aqui).

Nesta perspetiva, a tendência será para o RGPD ser, sobretudo, o quadro jurídico para a economia do Big Data e uma salvaguarda contra o Estado-Big-Brother. No caso português parece que o legislador está apostado em desenvolver legislação no sentido de garantir que o RGPD não obstaculize o Estado-Big-Brother. Aguardemos pela legislação nacional para aplicação do RGPD, legislação que já tarde e há muito tempo.

A Bandalheira é para continuar

O Relatório Anual da EDPS publicado a 26 Fevereiro 2019 apresenta um supervisor ativo que demonstra competência e trabalho realizado.

Quer o Relatório anual da EDPS (aqui)  quer o podcast da EDPS (aqui) evidenciam uma grande valorização do princípio da accountability o que devia ser tomado pelo poder político português como um exemplo para as instituições publicas portuguesas.

No país dos “donos disto tudo”, dos Isaltinos, dos Sócrates, dos Tomás Correias/Montepios/apoiado-pelas-melhores-elites, da endogamia do governo, todos sabemos que a falta de transparência e a falta de accountability não são penalizadas na opinião publica e nas eleições pelo que o poder político pouco se preocupa com tal.

 E, portanto, o que é de esperar é que o legislador português não siga os bons exemplos europeus, designadamente da EDPS levando avante o seu plano de desresponsabilização das instituições publicas portuguesas através da isenção de coimas por não conformidade com o RGPD. Pelo menos, é essa a “narrativa”  posta a circular nos últimos meses e de que é, o mais recente exemplo, a noticia do jornal publico (aqui). Ao que parece, o teste da opinião publica está a ser superado com sucesso, o que levará os políticos a consolidarem o atual sistema de gestão desresponsabilizada. Uma gestão da coisa publica que permita o aproveitamento das instituições publicas para fins privados com total desrespeito pelo cidadão.

Não será uma notícia de última hora ou de última década, mas a notícia é que a “bandalheira” à portuguesa é para continuar.

Qual a organização publica portuguesa que inclui no seu relatório anual de atividade os KPIs? Qual o gestor publico que faz esse exercício de prestação de contas? Que poder politico obriga à prestação de contas?

O exemplo da EDPS de dar visibilidade dos KPIs que abaixo se ilustra devia servir de referência para as organizações publicas portuguesas. Isto é cultura de accountability.

É neste contexto de inutilidade pratica para Portugal, mas de manifesto interesse pedagógico que se recomenda a leitura dos capítulos 4.4.2 Reinforcing the accountability of EU institutions e 4.4.3 Accountability in IT do referido relatório onde entre outros aspetos se refere o seguinte.

Continue reading “A Bandalheira é para continuar”

Riscos Globais em 2019

O relatório do Global Risks Perception Survey 2019 faz das tecnologias o actor principal.

De um catálogo de 30 riscos globais, o inquérito 2019, atribuiu, em termos de probabilidade o 4º lugar ao roubo e fraude de dados e o 6º lugar aos ciberataques. Em termos de impacto o roubo e fraude de dados ficaram em 16º risco e os ciberataques ficaram em 6º.

Nove em cada dez entrevistados esperam, para 2019, um agravamento dos confrontos económicos e políticos entre as grandes potências e num horizonte de dez anos, os eventos climáticos extremos e as mudanças climáticas são vistos como as ameaças mais graves.

O relatório apresenta os resultados da mais recente Pesquisa de Perceção de Riscos Globais, na qual um milhar de decisores do setor público, setor privado, académico e sociedade civil avaliam os riscos que o mundo enfrenta.

Entende-se como “risco global” um evento ou condição incerta que, se ocorrer, pode causar impacto negativo significativo e que não é influenciado por um país ou governo.

The Global Risk Report 2019 (aqui) faz alguns comentários à avaliação realizada que se sintetizam da forma seguinte.

Continue reading “Riscos Globais em 2019”

Serão, mesmo, dados pessoais?

A definição de dados pessoais inscrita no RGPD é simples e clara, mas a prática suscita várias questões, vejamos uma dessas questões.

Para a ICO determinados dados tanto podem ser dados pessoais como não ser, dependendo da finalidade do tratamento. Parece confuso? Sim, é confuso, e até pode gerar extrapolações de alcance significativo. Recomenda-se uma interpretação prudente.

A ICO (aqui) começa por afirmar que determinados dados na posse de uma organização podem ser dados pessoais, mas, eventualmente, se estiverem na posse de outra organização já podem deixar de ser considerados como dados pessoais. A mesma informação em organizações diferentes adquire naturezas diferentes. E explica que a diferença resulta da finalidade com que as duas organizações tratam a mesma informação.

A ICO ilustra esta orientação dando o exemplo que se relata de seguida.

Um jornalista tira uma fotografia na praia para publicar num artigo de jornal sobre as elevadas temperaturas para a época. A fotografia mostra algumas pessoas na praia e dada a qualidade da mesma é possível identificar, reconhecer, algumas das pessoas na praia.

Considera-se que o jornalista não trata a fotografia para conservar informação sobre as pessoas fotografadas, ou analisar as pessoas, ou apreender/decidir algo acerca dessas pessoas. Acrescento eu, que para o jornalista/jornal a fotografia é de pessoas anónimas ou pelo menos razoavelmente anonimizadas.  

Uma das pessoas fotografadas na praia tinha metido, exatamente para esse dia, um dia de nojo por falecimento de um familiar.

Alguns colegas de trabalho viram a fotografia no jornal, digitalizaram e enviaram por email para o chefe do fotografado. A fotografia é adicionada ao ficheiro do colaborador dando início a um processo disciplinar.

Esta mesma fotografia, agora na posse do seu empregador, tem a finalidade de documentar o seu colaborador, acrescentando informação e contribuindo para decidir algo acerca dessa pessoa. Por esta razão a fotografia para o empregador passa a ter a natureza de dado pessoal. Acrescento eu, é informação sobre uma pessoa singular perfeitamente identificada.

Conclui a ICO: É necessário considerar cuidadosamente a finalidade para a qual a organização está a usar os dados para decidir se estão relacionados com um indivíduo. Ou seja, é a finalidade que revela uma das características fundamentais (“relacionado com”, ou “relativo a”) para a classificação da informação como sendo um dado pessoal.

Diga-se, em abono da verdade, que o exemplo da ICO parece razoável e convincente. Mas duvido que esteja bem fundamentado, ou pelo menos, que tenha elencado todas as características do caso que suscitam a sua aceitação pelo senso comum.

Sem mais interpretações, e seguindo a orientação da ICO podem colocar-se várias questões, vejamos as seguintes:

Continue reading “Serão, mesmo, dados pessoais?”

As toupeiras

A segurança da informação está no topo das preocupações dos CEOs. Em Portugal a preocupação será menor porque, somos um país de otimistas. E, como todos muito bem sabemos, a gestão de risco, em Portugal, pauta-se pelos otimismos e pessimismos.

Em Portugal sucedem-se os casos de toupeiras. São as toupeiras do Benfica, do Departamento de Investigação e Acção Penal (DIAP), da Inspeção Geral de Finanças (aqui) e agora, ao que parece, poderá haver mais um caso de toupeiras na Câmara Municipal de Ovar.

Até no caso da Sociedade de Advogados PLMJ, em que foi tornado publico mais de 4GB de informação, há dúvidas sobre a participação interna. Há uma linha de investigação sobre um eventual apoio de pessoas que conheciam o sistema de informação da PLMJ (aqui). Há, assim, a suspeita de que o ataque à PLMJ tenha resultado de uma ação combinada, com uma atuação externa mas, conjugada com outra interna.

Certo é dizer-se que a maior ameaça é a interna e, mais especificamente, a que está por detrás de um teclado. Sobretudo através dos dispositivos pessoais, designadamente computadores portáteis e telemóveis (aqui) que são alvos fáceis de malware e que, de forma geral, beneficiam de ligações às redes das organizações como se fossem dispositivos internos.

Os especialistas de segurança de informação lá vão alertando para o facto de que a maior ameaça à segurança ter origem interna e que as toupeiras são uma praga com tendência a alastrar-se. Mas, no tradicional clima de irresponsabilidade generalizada que em português suave se designa, por vezes, de otimismo, os alertas não passam de pessimismo e alarmismo. É a gestão de risco que temos.

O mais engraçado é que muitas vezes consegue-se falar dos efeitos das toupeiras calando o tema das toupeiras. O acesso aos dados da Câmara de Ovar é um desses casos que parece ser obra de toupeira, mas que dificilmente será comentado na perspetiva da segurança da informação e das ameaças internas.

O caso que chamo ser da Câmara de Ovar é colocado na imprensa como sendo o caso do Lexus LS500h (setenta e muitos mil euros de carro) do presidente da Câmara de Ovar, Vice do PSD, Salvador Malheiro.

Continue reading “As toupeiras”

BIA – Business Impact Analysis

A análise do impacto é um processo central para a definição do risco, para a definição das prioridades, para as medidas de mitigação do risco, para os planos de DRP (Disaster and Recovery Plans) e para os BCP (Business Continuity Plans).

O profissional de proteção de dados não pode limitar-se às Avaliações de Impacto sobre Proteção de Dados. Pelo menos, no que respeita à segurança da informação, tem que lidar com o conceito mais alargado de BIA – Business Impact Analysis, isto é, com a análise de impacto que não diz diretamente respeito à proteção de dados. Mas, o planeamento e gestão da comunicação associados à resposta a uma violação de dados também pode beneficiar de uma análise de impacto.

As BlAs são usadas para avaliar os processos críticos (e as soluções informáticas que os apoiam) e são a base para determinar prazos, prioridades, recursos e interdependências. As auditorias à Proteção de Dados não podem deixar de proceder a uma adequada avaliação dos BIAs, concretamente os que dizem respeito à segurança da informação em geral e, em particular, os que se referem aos planos de disaster-recovey e aos planos de continuidade de negócios.

O auditor de proteção de dados tem que saber quais as questões fundamentais a considerar na elaboração de um BIA e procurar evidências de que um determinado BIA foi conduzido de forma apropriada.

Os incidentes e as crises têm uma natureza dinâmica. Alteram-se ao longo do tempo e conforme as circunstâncias, evoluindo, por vezes, de forma rápida e imprevisível. Também por isso, a sua gestão deve ser dinâmica, proativa e bem documentada.  

Este caracter dinâmico dos incidentes e das crises dificultam a utilização de soluções padronizadas pelo que deve ser colocado um grande esforço no método e nos instrumentos dessa metodologia. A BIA é um desses instrumentos.

Uma BIA criteriosa e rigorosa é um elemento crucial para toda a Gestão de Incidentes e Resposta a Incidentes, nas suas diversas fases: Planeamento e preparação; Deteção; Inicio; Registo/documentação (Recording); Avaliação; Contenção (limitar o alcance do incidente); Erradicação; Escalada; Resposta; Restauração; Fecho; Reporting; Revisão pós-incidente; Lições aprendidas. Mas, também é importante, que a Gestão de Incidentes e a Resposta aos Incidentes gerem informação e alimentem a base de conhecimento que melhor de forma continua as BIAs.

Todas estas fases, para serem devidamente executadas, pressupõem trabalho prévio e orientações claras por parte da organização. Um correto planeamento e preparação deve permitir que o incidente encaixe nas classificações estabelecidas e que por essa via seja fácil responder a perguntas como “Quem resolve?”, “Qual o impacto e urgência”? “Qual a prioridade”? “Quais os SLAs?”, “Quais os protocolos, quais os procedimentos a usar?”.

Para cada tipo de incidente (que pode agrupar ameaças, vulnerabilidades e riscos) teremos que realizar uma BIA especifica que poderá ter fases de resposta a incidentes próprias ou genéricas.

Continue reading “BIA – Business Impact Analysis”

Simplificar a avaliação de risco das PMEs

As pequenas e médias organizações nem sempre precisam de ferramentas sofisticadas para realizarem uma adequada avaliação de riscos. Tudo o que precisam é de um Excel, bons catálogos de vulnerabilidades e ameaças e uma boa metodologia de avaliação de risco que sobreleve a accountability.

O problema das soluções mais complexas é que, geralmente, exigem muito mais tempo, esforço e dinheiro. É preciso que esse adicional seja compensador.

Compreenda-se que simplificar não é diminuir. A avaliação de risco e a gestão do risco são a base quer da proteção de dados quer da segurança da informação / ISO 27001, mas isso não significa que a gestão do risco tenha que ser complexa e complicada. Nem sempre a utilização de uma aplicação de gestão de risco é a melhor solução. Em alguns casos, pode realizar-se uma avaliação do risco de forma simples, com a vantagem adicional de facilitar a compreensão e, por essa via, contribuir para uma maior adesão das pessoas envolvidas.

Não esquecer o objetivo

O propósito da avaliação de risco é identificar o risco e descobrir que controles são necessários para mitigar o risco. O processo de tratamento de risco consiste na seleção dos controles. Na ISO 27001 os controlos são escolhidos a partir do Anexo A que especifica 114 controles. Para a Proteção de Dados podemos recorrer aos controlos resultantes da BS 10012:2017.

Entenda-se que uma vulnerabilidade é uma debilidade num ativo, processo, controle, etc., que pode ser explorada por uma ameaça. Uma ameaça é qualquer ação que possa causar danos a um sistema ou organização. Um exemplo de vulnerabilidade é a não utilização de software antivírus; a respetiva ameaça consiste na existência de vírus.

A imagem em baixo (aqui) ilustra uma pratica orientada pela avaliação de risco, tal como recomendada pelo RGPD.

O processo é simples

Sigam-se os seguintes passos:

Continue reading “Simplificar a avaliação de risco das PMEs”

O Dia da Proteção de Dados

Na próxima segunda-feira, dia 28 Janeiro, celebra-se o Dia da Proteção de Dados. Observemos com atenção o que vai acontecer no próximo dia 28.

Deixem-me adivinhar. O próximo dia 28 vai ser o dia dos coletes amarelos da Proteção de Dados, não se vai passar nada. No próximo dia 28 vai haver uma “happy hour” com uma dúzia de profissionais da Proteção de Dados, quase todos membros da IAPP, reunidos a celebrar o Dia da Proteção de Dados. E sobre a evocação da data ficaremos conversados.

Mas, sejamos otimistas, aguardemos, pode ser que a comunicação social, a Assembleia da República, o Governo ou a CNPD nos surpreendam.

Façamos o que podermos para a data não passar em branco. O assunto é sério e merece a melhor atenção, sensibilizemos a sociedade portuguesa para a questão da Proteção de Dados.

Desde que a tecnologia começou a interferir com a sociedade e com os direitos humanos que o problema da Proteção de Dados não pára de se agudizar e as reações ficam sempre aquém do desejável. Em todo o mundo sucedem-se os casos alarmantes e Portugal não é exceção, antes pelo contrário, com a agravante do governo e a assembleia da república tentarem ignorar a realidade.

A realidade é que “Never before has the threat of intrusion to people’s privacy been such a risk. It is no wonder that the public now ranks protecting personal information as the third most important social concern.” – Richard Thomas, former UK Information Commissioner.

O site Stay Safe Online (aqui) é um excelente exemplo de sensibilização para o Dia da Proteção de Dados, mas para a escala portuguesa sugiro 5 pontos do que pode ser a sensibilização para o Dia da Proteção de Dados. Obviamente, cada um, que elenque as questões que, pessoalmente, entende serem as prioritárias.

Continue reading “O Dia da Proteção de Dados”

O caso PLMJ

Que tal a Ordem dos advogados recomendar que as sociedades de advogados sejam assistidas por um Conselho Consultivo de Segurança da Informação?

A Ordem dos Advogados manifestou o maior repúdio e considerou absolutamente inaceitável o ataque informático de que foi alvo a sociedade de advogados PLMJ. A Ordem “esqueceu-se” de comentar as obrigações que as sociedades de advogados têm no que respeita à segurança da informação. É fácil concordar que o hacker é o vilão da história, mas será que a PLMJ pode demonstrar que não é o segundo vilão?

A noticia da violação de dados ocorrida na sociedade de advogados PLMJ foi amplamente referida nos meios de comunicação social e pode ser lida, entre outros locais, aqui.

A Ordem dos Advogados, em comunicado assinado pelo bastonário, afirma que “uma advocacia sem medo e sem que os cidadãos tenham medo de a ela recorrer é essencial para a vida em democracia e para a proteção dos direitos de todos, pelo que procurar condicioná-la, seja de que forma for, tem de merecer, da sociedade, o maior repúdio e censura. Trata-se de um inaceitável atentado ao Estado de Direito e de um atentado de que todos, advogados e não só, são vítimas e em que todos estão na mira”.

Não se vê no comunicado da Ordem dos Advogados, nenhuma referência a algum código de conduta ou práticas de segurança da informação que obriguem, em particular, as sociedades de advogados. É bem claro que o vilão da história é o hacker, que ao que se diz é o mesmo do caso emails do Benfica, mas poderá haver um segundo vilão. Quem não protege a informação que lhe está confiada é, também, um vilão. É um vilão de outro teor, mas um vilão.

Parece evidente que uma sociedade de advogados que não dê prioridade à segurança das informações dos clientes e à defesa dos seus interesses e direitos constitui-se no segundo vilão da história. Dar prioridade significa, desde logo, afetar meios humanos, tecnológicos e, portanto, financeiros a esse objetivo. Essa prioridade tem que ser demonstrada, a sociedade de advogados tem que respeitar o princípio da accountability, tem que ser capaz de demonstrar responsabilidade. E se não for capaz de demonstrar responsabilidade, a meu ver, constitui-se como o segundo vilão da história. A Ordem dos Advogados deve dar indicações precisas de como essa demonstração de responsabilidade deve ser realizada, até porque, a natureza da informação à guarda de uma sociedade de advogados pode ser de máxima confidencialidade.

É óbvio que as sociedades de advogados não devem nem podem vir para a praça publica divulgar as medidas de segurança que as protegem, mas certamente que podem ser certificadas ISO 27001 e/ou terem um Conselho Consultivo para a Segurança da Informação recheado com nomes sonantes. Qualquer uma destas práticas, só por si, daria uma imagem publica de demonstração de responsabilidade.

Mas para o caso de sociedades de advogados do tipo da PLMJ, o que se recomenda é a aplicação conjunta das duas mediadas, Certificação ISO 27001 e Conselho Consultivo para a Segurança da Informação.

Lamentável é que a Ordem dos Advogados não vincule as sociedades de advogados a determinadas práticas que consagrem a demonstração de responsabilidade.

É evidente o papel da certificação ISO 27001 na demonstração da responsabilidade, mas já não é tão óbvio o papel de um Conselho Consultivo para a Segurança da Informação, ainda que em meu entender, o Conselho Consultivo possa ser um instrumento prático de muito maior alcance e eficiência que a certificação ISO 27001.

Então mas o DPO, o encarregado de proteção de dados (EPD), não é suficiente?

Note-se que não estamos a referir a necessidade de um Conselho Consultivo para a proteção de dados pessoais (ou privacidade) como por exemplo o da seguradora AXA (aqui) porque há vastas competências nessa área dentro de uma sociedade de advogados como a PLMJ. O que se alerta é para o problema da segurança da informação e a necessidade de um respetivo Conselho Consultivo, numa área que não é da especialidade de uma sociedade de advogados.

Vejamos a adequabilidade, vantagens e desvantagens do Conselho Consultivo para a Segurança da Informação como forma de proteção e de demonstração da responsabilidade. Neste sentido, comecemos por caracterizar a natureza de um Conselho Consultivo.

Continue reading “O caso PLMJ”

Detetabilidade

Como costuma tratar a questão da detetabilidade? A detetabilidade ilustra bem a máxima de que “qualquer framework é melhor que nenhuma”, no sentido em que demonstra a necessidade de tratar as várias dimensões de um problema com método e racionalidade que estejam devidamente reconhecidos e validados pela experiência.

A extrema vulnerabilidade durante 54 zero-day por ano, isto é, mais de um dia por semana, e os 205 dias que decorrem, em média, entre a violação de dados e a sua descoberta são motivos mais que suficientes para a questão da detetabilidade ser um fator crucial na gestão do risco. O desafio é: Como considerar a questão da detetabilidade?

A detetabilidade é particularmente bem considerada na framework FMEA (Failure Mode and Effects Analysis – Análise dos Modos de Falha e seus Efeitos), mas esta é uma metodologia pouco utilizada na proteção de dados pessoais. A avaliação de impacto na proteção de dados, de uma forma geral, segue a ISO 31000 (Gestão do Risco), mas esta não aborda diretamente a questão da detetabilidade.

Como articular a detetabilidade e a proteção de dados pessoais é a questão que vamos responder.

Continue reading “Detetabilidade”

O erro mais frequente em 2018

Evitemos os erros de 2018, façamos melhor em 2019. Os guias e as compilações de melhores práticas não têm evitado uma falha quase que generalizada no registo das atividades de tratamento de dados imposto pelo RGPD. Esperemos que 2019 traga melhores registos.

Creio que o motivo da falha recorrente no registo das atividades de tratamento de dados pessoais (RATDP) reside no facto de se confundir a orientação dada pelo artigo 30º do RGPD (registo das atividades de tratamento) com o que é mais correto do ponto de vista operacional e o que é mais indicado para apresentação a uma autoridade de controlo, CNPD ou outra qualquer. Isto é, pede-se mais que uma leitura estritamente jurídica, exige-se um entendimento mais operacional e de gestão.

Antes de desenvolver esta ideia, importa salientar a relevância do RATDP para se ter uma correta perceção do impacto deste erro. O deficiente registo das atividades de tratamento de dados pessoais é, não só frequente, como compromete de forma muito significativa todo o esforço de conformidade RGPD.

Atendamos a que:

  • O RATDP é a trave mestre da conformidade RGPD, é onde o DPO concentra a maior parte do seu esforço
  • O RATDP é o ponto de referência da administração da organização responsável pelo tratamento dos dados
  • O RATDP é o ponto de entrada utilizado pela entidade de controlo (CNPD)

Em termos de auditoria a constatação de um RATDP deficientemente organizado não corresponde de forma linear a um parecer adverso ou negativo (declaração expressa de não demonstração de conformidade), ou a um parecer de abstenção de opinião (impossibilidade do auditor obter todas as evidências comprobatórias), ou a um parecer com ressalvas (adoção de procedimentos não considerados adequados ou geralmente aceites nas circunstâncias). É um facto que o cumprimento do artigo 30º, de forma estrita, permite, à partida, passar a avaliação inicial do RATDP, mas o aprofundamento do tema da conformidade com essa base é operacionalmente deficiente e não facilita o trabalho da atividade de controlo. Um RATDP deficiente não impossibilita a conformidade, mas é um mau começo e, na prática, indicia uma conformidade insuficiente.

Comecemos por identificar o erro para depois expormos a forma correta de realizar o RATDP.

Continue reading “O erro mais frequente em 2018”

It´s the management, stupid

A distorção de valores compromete a harmonia do todo. Hipervalorizar ou diminuir qualquer das três dimensões da proteção de dados (jurídica, tecnológica e gestão) compromete seriamente o resultado final.

Ficou celebre o slogan “It’s the economy, stupid” utilizado por Bill Clinton na campanha presidencial de 1992, que pretendia sublinhar a importância da economia e o que isso significava em termos de emprego, segurança, poder de compra e qualidade de vida. Isto é, apelava ao voto prometendo uma mudança na economia.

Quando digo “It´s the management, stupid” é para enfatizar a importância da “gestão” que por vezes é indevidamente subvalorizada. Exemplifico essa subvalorização com um post do jurista Stewart Room no blog da PwC do UK (aqui) em que defende a tese de que tudo se resume à questão tecnológica. Nesse mesmo sentido, outro exemplo é o meu post (aqui) sobre  a tese de Woodrow Hartzog (Professor of Law and Computer Science) de que a tecnologia não é neutra e tudo se acaba por reduzir ao modelo de negócio e à tecnologia.

É bom lembrar que a Gestão é a área das ciências sociais e humanas que se dedica à administração de organizações visando fazer com que alcancem os seus objectivos de forma efectiva, eficaz e eficiente. Gestão é: Promover resultados, perseguir metas, resolver problemas, promover mudanças.

Parece um contra-senso, mas é um facto que muitos juristas tendem a sobrevalorizar a questão tecnológica. Vejamos a argumentação de Stewart Room.

Continue reading “It´s the management, stupid”