O Dia da Proteção de Dados

Na próxima segunda-feira, dia 28 Janeiro, celebra-se o Dia da Proteção de Dados. Observemos com atenção o que vai acontecer no próximo dia 28.

Deixem-me adivinhar. O próximo dia 28 vai ser o dia dos coletes amarelos da Proteção de Dados, não se vai passar nada. No próximo dia 28 vai haver uma “happy hour” com uma dúzia de profissionais da Proteção de Dados, quase todos membros da IAPP, reunidos a celebrar o Dia da Proteção de Dados. E sobre a evocação da data ficaremos conversados.

Mas, sejamos otimistas, aguardemos, pode ser que a comunicação social, a Assembleia da República, o Governo ou a CNPD nos surpreendam.

Façamos o que podermos para a data não passar em branco. O assunto é sério e merece a melhor atenção, sensibilizemos a sociedade portuguesa para a questão da Proteção de Dados.

Desde que a tecnologia começou a interferir com a sociedade e com os direitos humanos que o problema da Proteção de Dados não pára de se agudizar e as reações ficam sempre aquém do desejável. Em todo o mundo sucedem-se os casos alarmantes e Portugal não é exceção, antes pelo contrário, com a agravante do governo e a assembleia da república tentarem ignorar a realidade.

A realidade é que “Never before has the threat of intrusion to people’s privacy been such a risk. It is no wonder that the public now ranks protecting personal information as the third most important social concern.” – Richard Thomas, former UK Information Commissioner.

O site Stay Safe Online (aqui) é um excelente exemplo de sensibilização para o Dia da Proteção de Dados, mas para a escala portuguesa sugiro 5 pontos do que pode ser a sensibilização para o Dia da Proteção de Dados. Obviamente, cada um, que elenque as questões que, pessoalmente, entende serem as prioritárias.

I – Identificar quem apoia e quem desconsidera

Hoje é claro quem procura consagrar os direitos individuais e quem desconsidera a Proteção de Dados. A atuação da assembleia da república e do governo demonstram bem a falta de empenho na proteção de dados, procurando criar legislação que minimize a aplicação do RGPD e limite a capacidade de intervenção da entidade de controlo, a CNPD.

É impressionante como passado todo este tempo, em Janeiro 2019, o governo não sinta necessidade de justificar a ausência de legislação para aplicação do RGPD, a comunicação social não questione sobre esta falha e a oposição política não denuncie.

Na prática, é sobretudo dos profissionais da proteção de dados que vem a defesa dos direitos dos cidadãos que estão inscritos no RGPD.

II – Desmascarar as tentativas de colocar a Administração Pública fora das coimas do RGPD

Sobre este aspeto temos assistido a um verdadeiro número artístico. Sucedem-se os habituais dependentes do Estado a defender os argumentos que procuram sustentar a razoabilidade da administração pública ficar protegida contra as coimas do RGPD.

Sucedem-se os artistas das meias verdades, sim que “para a mentira ser segura e atingir profundidade tem de trazer à mistura qualquer coisa de verdade” (António Aleixo).

A inverdade veiculada pelo governo de que “este regulamento foi sobretudo pensado tendo em conta grandes empresas multinacionais para quem os dados, e muitas vezes os dados pessoais, são o seu negócio ou aquilo em que assenta a sua atividade, (…) e não para as administrações públicas dos Estados-membros que têm também a obrigação de os proteger, mas não usam os dados pessoais como negócios” só pode ter como resposta a recomendação de leitura do livro “O Triunfo dos Porcos” de Orwell ou, pelo menos, a leitura do post do Luís Antunes, aqui.

Mais lamentável que as inverdades do governo, é assistirmos a alguns professores universitários de direito, esticarem-se, saírem das suas reconhecidas competências e opinarem sobre a gestão da coisa publica. Assim, de cátedra, proclamam que fazer a administração publica pagar coimas é um mero tirar de um bolso do Estado para meter noutro bolso do Estado sem qualquer utilidade prática. Omite-se o efeito penalizador para a organização prevaricadora, para os gestores dessa organização que demonstram irresponsabilidade, para a necessária transparência das instituições e o efeito desmotivador na CNPD em controlar a administração pública.  É impressionante ver como a servilidade ao Estado e aos políticos induz tanta ligeireza em certos professores universitários. De um professor universitário esperam-se análises fundamentadas, bem informadas, com um mínimo de profundidade, bem como opiniões com um mínimo de rigor cientifico. Até assim, se demonstra o perigo que o poder descontrolado do Estado representa para o cidadão.

Todo o cuidado é pouco quando o tema é o controlo do poder do Estado. A história não pode ser ignorada, sobretudo em países que foram dominados por ditaduras, fascismos, socialismos e comunismos. Sobretudo, nestes países deve ser colocada toda a atenção no controlo do Estado, nos “checks and balances”. E para todos os países é benéfica a consagração do princípio da accountability que sem coimas para a administração pública fica seriamente comprometido.

Imaginem um Estado com “checks and balances” diminuídos ser capturado por forças populistas que não respeitem os direitos humanos!

Adicionalmente, como corrigir a injustiça da escola publica concorrer com a escola privada com regras diferentes no que diz respeito à proteção de dados? E a concorrência hospital publico versus o hospital privado? Não faz sentido nenhum!

Se a tradição em Portugal é não isentar a administração pública de coimas, porque haveríamos de o fazer só para o caso específico do RGPD?

III – Em Portugal, a grande ameaça para o cidadão vem do Estado

Não havendo sociedade civil em Portugal, toda a iniciativa social é tomada pelo Estado e pelos mercados, mas como o Estado controla os mercados quase à chinesa, temos que a sociedade portuguesa tem como único motor o Estado. Esta centralidade do Estado também se verifica no que diz respeito aos dados pessoais, já que é no Estado que estão a maior parte e a parte mais significativa dos nossos dados pessoais. Esta realidade objetiva constitui uma ameaça muito efetiva, sobretudo porque o Estado está constantemente sujeito a lutas pelo seu controlo. 

É óbvio que as multinacionais operando à escala global são uma forte ameaça à privacidade dos portugueses, mas não é menos verdade que a UE oferece-nos um quadro de proteção para essa ameaça.  Protege não só com leis e instituições, mas também com uma dinâmica social que sociedades anquilosadas, como a portuguesa, têm dificuldade de proporcionar. Um exemplo é o acesso simplificado à justiça através do “no win, no fee” como se exemplifica aqui

Numa análise de risco (probabilidade x impacto) o Estado é o responsável pelo tratamento de dados que induz maior risco para o cidadão. À luz do RGPD, as medidas de segurança da informação devem adequar-se ao valor e à relevância dos dados pessoais tratados. Creio que é legitimo duvidar que o Estado português invista de forma adequada na segurança da informação, aliás, tal como se viu no caso Centro Hospitalar Barreiro-Montijo.

E do ponto de vista das ameaças, o Estado é um autêntico íman para ameaças. Nenhuma organização está a salvo de ocorrência de um incidente associado ao acesso, alteração ou eliminação indevida de dados pessoais, mas o Estado é particularmente apetitoso, não só por hackers como por colaboradores internos (por ganhos financeiros, vingança ou até questões futebolísticas ou partidárias).

IV – Não esquecer o dever de proteger os dados

Esquecer os deveres tem consequências devastadoras.

As organizações têm o dever de proteção dos dados e o RGPD exige que essa responsabilidade seja demonstrada. Contudo, nas notícias sobre violações de dados não vemos a questão da accountability ser aflorada quer pela comunicação social quer pela própria CNPD.

É fundamental sensibilizar para a necessidade de demonstrar responsabilidade.

Pede-se que as notícias sobre violações de dados abordem não só o quem, o como e o porquê do ilícito, mas também como a organização cumpriu a sua obrigação de proteger os dados e até que ponto deve ser penalizada por alguma eventual falha.

Vejamos dois exemplos, o caso e-toupeira e o caso PLMJ, e como estes casos não suscitaram a necessidade do Ministério da justiça e da PLMJ virem a terreiro esboçar qualquer tipo de demonstração de responsabilidade. Sobre este tema podem consultar o meu post “A accountability e as coimas” (aqui).

V- A dimensão colossal do problema

Convém dar uma escala do problema.

É bom referir que, em média, diariamente são identificados 350.000 novos programas maliciosos.

Sensibilizem e tenham um bom Dia da Proteção de Dados!

Existem várias soluções tecnológicas para este problema, mas no Dia da Proteção de Dados, mais que soluções, importa é sensibilizar para o problema.

PS – Como previsto o Dia da Proteção de Dados organizado pela IAPP foi excelente e, fora isso, nada mais aconteceu.

José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)