Month: December 2018 - Privacy Kol

O erro mais frequente em 2018

Evitemos os erros de 2018, façamos melhor em 2019. Os guias e as compilações de melhores práticas não têm evitado uma falha quase que generalizada no registo das atividades de tratamento de dados imposto pelo RGPD. Esperemos que 2019 traga melhores registos.

Creio que o motivo da falha recorrente no registo das atividades de tratamento de dados pessoais (RATDP) reside no facto de se confundir a orientação dada pelo artigo 30º do RGPD (registo das atividades de tratamento) com o que é mais correto do ponto de vista operacional e o que é mais indicado para apresentação a uma autoridade de controlo, CNPD ou outra qualquer. Isto é, pede-se mais que uma leitura estritamente jurídica, exige-se um entendimento mais operacional e de gestão.

Antes de desenvolver esta ideia, importa salientar a relevância do RATDP para se ter uma correta perceção do impacto deste erro. O deficiente registo das atividades de tratamento de dados pessoais é, não só frequente, como compromete de forma muito significativa todo o esforço de conformidade RGPD.

Atendamos a que:

O RATDP é a trave mestre da conformidade RGPD, é onde o DPO concentra a maior parte do seu esforço
O RATDP é o ponto de referência da administração da organização responsável pelo tratamento dos dados
O RATDP é o ponto de entrada utilizado pela entidade de controlo (CNPD)

Em termos de auditoria a constatação de um RATDP deficientemente organizado não corresponde de forma linear a um parecer adverso ou negativo (declaração expressa de não demonstração de conformidade), ou a um parecer de abstenção de opinião (impossibilidade do auditor obter todas as evidências comprobatórias), ou a um parecer com ressalvas (adoção de procedimentos não considerados adequados ou geralmente aceites nas circunstâncias). É um facto que o cumprimento do artigo 30º, de forma estrita, permite, à partida, passar a avaliação inicial do RATDP, mas o aprofundamento do tema da conformidade com essa base é operacionalmente deficiente e não facilita o trabalho da atividade de controlo. Um RATDP deficiente não impossibilita a conformidade, mas é um mau começo e, na prática, indicia uma conformidade insuficiente.

Comecemos por identificar o erro para depois expormos a forma correta de realizar o RATDP.

It´s the management, stupid

A distorção de valores compromete a harmonia do todo. Hipervalorizar ou diminuir qualquer das três dimensões da proteção de dados (jurídica, tecnológica e gestão) compromete seriamente o resultado final.

Ficou celebre o slogan “It’s the economy, stupid” utilizado por Bill Clinton na campanha presidencial de 1992, que pretendia sublinhar a importância da economia e o que isso significava em termos de emprego, segurança, poder de compra e qualidade de vida. Isto é, apelava ao voto prometendo uma mudança na economia.

Quando digo “It´s the management, stupid” é para enfatizar a importância da “gestão” que por vezes é indevidamente subvalorizada. Exemplifico essa subvalorização com um post do jurista Stewart Room no blog da PwC do UK (aqui) em que defende a tese de que tudo se resume à questão tecnológica. Nesse mesmo sentido, outro exemplo é o meu post (aqui) sobre a tese de Woodrow Hartzog (Professor of Law and Computer Science) de que a tecnologia não é neutra e tudo se acaba por reduzir ao modelo de negócio e à tecnologia.

É bom lembrar que a Gestão é a área das ciências sociais e humanas que se dedica à administração de organizações visando fazer com que alcancem os seus objectivos de forma efectiva, eficaz e eficiente. Gestão é: Promover resultados, perseguir metas, resolver problemas, promover mudanças.

Parece um contra-senso, mas é um facto que muitos juristas tendem a sobrevalorizar a questão tecnológica. Vejamos a argumentação de Stewart Room.

Why Privacy by design is everything?

Porque razão a definição de privacidade é uma questão tão controversa?

A comunicação de encerramento do IAPP Europe Data Protection Congress 2018 realizada por Woodrow Hartzog (Professor of Law and Computer Science at Northeastern University School of Law and the College of Computer and Information Science) teve o impacto de uma verdade inconveniente e deixou a audiência sem muita vontade de comentar. Até os comentários do site oficial da IAPP preferiam abordar os temas correntes e banais do enforcement e do brexit, omitindo o doloroso tema trazido por Woodrow Hartzog.

Agora que a visão europeia de proteção de dados parecia estar a definir-se como o padrão mundial, centrando-se no conceito de controlo do utilizador vem Hartzog lançar a dúvida e rasgar novos horizontes. Contudo, é meu entendimento que o RGPD está suficientemente bem concebido para suportar esta nova visão de “design is everything” sustentada por Hartzog. Não só porque o RGPD incorpora “Privacy by Design” (ainda que carecendo de densificação) como porque aponta para a via das certificações e códigos de conduta.

Na sua comunicação ao Congresso, Woodrow Hartzog evidenciou como a definição de proteção de dados pessoais está ligada à visão europeia assente no conceito de controlo.

Mas recapitulemos com a ajuda das “Breves notas sobre a ressignificação da privacidade” de Erick Peixoto e Marcos Júnior que pode ver na integra aqui.

Alemanha tenta justificar-se

Em Setembro de 2018 foi anunciado que 1,8 milhões de registos foram roubados da Knuddels. O resultado final foi uma coima de 20.000 euros e um investimento em segurança de 6 dígitos.

O Knuddels.de é um serviço online baseado na Web que consiste numa plataforma de flirty chat para pessoas com mais de 14 anos de idade. Knuddels serve, sobretudo, uma comunidade de jovens adultos de língua alemã.

No comunicado de imprensa da autoridade de controlo alemã do Estado (Bundesländer) Baden-Wuerttemberg (LfDI) (aqui) percebe-se bem a necessidade de justificação da coima ser incompreensivelmente baixa o que deixa uma grande interrogação sobre a desejável uniformidade de critérios das várias autoridades de controlo da União Europeia.

Em julho deste ano, a plataforma de flirty chat sofreu uma violação de dados e as informações roubadas dos seus servidores foram publicadas on-line. Um membro da equipe disse, na altura, que o incidente afetou todos os utilizadores que tinham uma conta na plataforma em 20 de julho de 2018 o que corresponde a 808.000 emails e 1,8 milhões de nomes de utilizadores e passwords.

Formjacking

Mais de 250 mil ataques de formjacking desde meados de Agosto 2018. Qualquer empresa, em qualquer lugar do mundo, que receba pagamentos on-line, é uma possível vítima desta ameaça.

Formjacking designa o uso malicioso de código JavaScript para roubar dados de cartão de crédito e outras informações de formulários de pagamento nas páginas de sites de comércio eletrónico. Não é uma técnica nova, mas as ocorrências recentes são interessantes porque de grande impacto, sofisticadas e aumentaram dramaticamente o nível de ameaça desde meados de Agosto de 2018.

A Ticketmaster teve 40.000 registos de clientes comprometidos em Junho 2018, e a British Airways foi atacada em Setembro 2018, quando cerca de 400.000 clientes foram vitimas de roubo dos dados relativos ao cartão crédito. Acredita-se que a Magecart (grupo de hackers especializado em cartões de crédito) esteja por trás deste enorme aumento do número de ataques de formjacking, que, segundo a Symantec, são mais de 250 mil desde meados de Agosto 2018.

Se o número de ataques concretizados é impressionante, é ainda mais incrível o número de tentativas de ataques bloqueados por dispositivos de segurança. Conforme gráfico acima só a Symantec, através do Intrusion Prevention System (IPS), alega ter bloqueado, nos últimos 3 meses, mais de 1 milhão de tentativas de ataques a mais de 10.000 websites. Nesse post de 5 de Dezembro 2018 (que pode aceder aqui), a Symantec examina alguns aspectos técnicos do formjacking.

De notar que os hacks da BA e da Ticketmaster evidenciam uma pratica especializada com adaptação de técnicas para o website alvo do ataque, fazendo trabalho específico no que se pode chamar de “boutique malware”.

Accountability a quanto obrigas?

Todos sabemos que a Accountability é o melhor antídoto para coimas e indemnizações, mas qual o significado de Accountablity no contexto da proteção de dados?

Durante os últimos 40 anos a proteção de dados tem introduzido uma serie de conceitos inovadores como os códigos de conduta, privacy by design, privacy-enhancing technologies, binding corporate rules, standard contratual clauses, mas o conceito de accountability é, sem dúvida, dos mais significativos.

A raiz deste movimento pró accountability encontra-se no OCDE Guidelines on the Protection of Privacy and Transborder Flows of Personal Data(1981) sendo um conceito que tem vindo a ser trabalhado revestindo-se de uma complexidade que dificulta uma definição linear.