CNPD desaplica artigos da lei de execução do RGPD

Estamos habituados a que o Estado português atrapalhe tudo, confunda, condicione arbitrariamente, promova a discricionariedade sem critérios transparentes de racionalidade, pelo que é com satisfação que damos nota da deliberação Nº 494 /2019 da CNPD. A deliberação foi aprovada no dia 3 de Setembro e pode ser acedida aqui.

A CNPD teve o mérito de desfazer a confusão instalada com a entrada em vigor da Lei n.º 58/2019.

A CNPD deliberou:

  • Fixar o entendimento de que determinadas normas da Lei n.º 58/2019, de 8 de agosto são manifestamente incompatíveis com o direito da União;
  • Que, com fundamento no princípio do primado do direito da União Europeia, e nos demais argumentos expostos, desaplicará em casos futuros que venha a apreciar, relativos a tratamentos de dados e às condutas dos respetivos responsáveis ou subcontratantes, as seguintes disposições da Lei n.º 58/2019, de 8 de agosto:
        • Artigo 2.º, n.ºs 1 e 2
        • Artigo 20.º, n.º 1
        • Artigo 23.º
        • Artigo 28.º, n.º 3, alínea a)
        • Artigo 37.º, n.º 1, alíneas a), h) e k), e n.º 2
        • Artigo 38.º, n.º 1, alínea b), e n.º 2
        • Artigo 39.º, n.ºs 1 e 3
        • Artigo 61.º, n.º 2
        • Artigo 62.º, n.º 2

A CNPD esclarece que a não aplicação, em futuros casos concretos, das disposições legais acima listadas tem por consequência a aplicação direta das normas do RGPD que estavam a ser por aquelas manifestamente restringidas, contrariadas ou comprometidas no seu efeito útil.

A deliberação da CNPD justifica o facto desta deliberação ser pública pelo propósito de assegurar a transparência dos seus procedimentos decisórios futuros e nesta medida contribuir para a certeza e segurança jurídicas.

Ficamos gratos pelo contributo da CNPD para a desejável “certeza e segurança jurídicas”!

Nuvem de palavras da Deliberação 494 / 2019 da CNPD

RGPD com decência e decoro

Qual a questão que neste momento é mais relevante para a conformidade RGPD? Sem dúvida que o tema DPO tem toda a centralidade, mas ao verificar um largo debate acerca da independência do DPO interrogo-me se neste momento não é muito mais relevante analisar a problemática da competência do DPO.

Tenho enorme curiosidade sobre qual será a coima aplicada pelas autoridades de controlo sobre infrações relativas à falta de competência dos encarregados de proteção de dados. Sobretudo, quando constatamos numerosos casos em que organizações, dos mais diversos tipos e dimensões, nomeiam DPOs que não correspondem minimamente às competências exigidas por lei.

Face ao que julgo ser uma prática muito frequente de nomear DPOs sem as necessárias competências, julgo que é de estranhar a inexistência de uma única coima sobre esta questão. Sobretudo, porque é uma realidade de fácil verificação.

Tenho acompanhado o interesse que os membros da IAPP têm dedicado ao Webinar, “The Role of the DPO One Year Into the GDPR” e do artigo “The DPO must be independent, but how?” de Dyann Heward-Mills (CIPP/E, CIPP/US, CIPM) que pode ser visto aqui.

Percebo a importância em frisar que a coima associada a não se nomear um DPO quando existe essa obrigação pode ascender a 10 milhões de euros ou 2% da receita anual global, conforme o mais elevado.

Percebo a necessidade de sublinhar que o DPO tem autonomia técnica, não recebendo instruções relativas ao exercício das suas funções e que nunca é demais enfatizar a importância da estabilidade do vínculo contratual do DPO para que possa aconselhar e fiscalizar de forma livre e adequada.

Não é de estranhar que neste novo paradigma de proteção de dados de autorregulação (em que saímos de uma situação de hétero regulação) o DPO seja a principal fonte de conformidade e que o debate sobre proteção de dados recaia sobretudo sobre as funções do DPO e a forma de exercício dessa atividade.

Não me custa a perceber que as coimas relativas ao DPO não surjam no mapa dos casos mais notáveis.

Mas já me custa perceber que não haja notícia de uma única coima relativa à nomeação de DPO que não tenha respeitado os requisitos legais, até porque há numerosos casos e não é possível esconder essa realidade.

O que me custa a perceber é a pouca importância que tem vindo a ser dada à questão da competência do DPO quando este parece-me ser o problema que, na atualidade, mais atinge a conformidade com o RGPD.

Mas tenho esperança que a questão da competência do DPO venha, no curto prazo, a adquirir uma nova relevância e que as nomeações de DPOs venham a ter um mínimo de decência, um mínimo de decoro.

A criação da Federação Europeia de DPO’s (EFDPO) pode vir a contribuir neste sentido.

Mas, coloco especial esperança no II Encontro Nacional dos Profissionais de Proteção e Segurança de dados (aqui) e designadamente no painel subordinado ao tema “O DPO do Século XXI”.

Cabe-nos, como profissionais da Proteção de Dados, dignificar a profissão e contribuir para que, no mínimo, a lei seja respeitada. O que se passa atualmente é chocante e alguma coisa tem que ser feita.

Apela-se a um mínimo de decência e decoro.

Quais as principais fundamentações para as coimas RGPD?

Analisámos as 50 sanções aplicadas pelas autoridades de controlo europeias e concluímos que o artigo 5º (Princípios relativos ao tratamento de dados pessoais) e o artigo 32º do RGPD (Segurança do tratamento) são as principais fontes de inconformidade. Outra conclusão que podemos retirar é sobre o valor médio das coimas que é relativamente reduzido. Tal parece demonstrar que o RGPD não é uma ação persecutória contra as grandes multinacionais americanas e que as pequenas e médias organizações devem procurar ativamente a conformidade.

A coima de 300 euros aplicada pela autoridade de controlo austríaca a uma pessoa individual por o sistema de videovigilância da sua viatura também apanhar a via pública exemplifica bem a aplicação de coimas de reduzido valor. Ainda que o artigo 2º do RGPD ponto 2, alínea c) refira que o regulamento não se aplica ao tratamento de dados pessoais efetuados por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas, a autoridade de supervisão seguiu a jurisprudência do Tribunal de Justiça da União Europeia (Acordão F. Rynes de 2014) que considera que a vigilância sobre o espaço público não pode ser considerada uma atividade pessoal ou doméstica.

Utilizámos como fonte o “GDPR Enforcement Tracker” (aqui) e expurgámos o caso CNIL/Google (coima de 50 milhões de euros) por ser um caso singular que enviesa a realidade retratada pelos restantes casos.

É importante sublinhar as limitações da nossa fonte de informação (“GDPR Enforcement Tracker”) designadamente devido ao facto de muitas sanções não serem tornadas publicas. Contudo, o “GDPR Enforcement Tracker” é, atualmente, a melhor fonte de informação. Por exemplo, conforme se pode ver aqui, na Alemanha ocorreram 100 coimas e no “GDPR Enforcement Tracker” contam-se 8 coimas alemãs.

Segundo o referido site as coimas alemãs tiveram o seguinte perfil:

Continue reading “Quais as principais fundamentações para as coimas RGPD?”

Relatório de Atividades da CNPD

No conjunto de 2017 e 2018, CNPD entrega ao Estado quase 2 milhões de euros.

A CNPD apresentou, recentemente, o Relatório de Atividades do biénio 2017-2018 que evidencia uma atividade notável em 2018 se atendermos a que foi penalizada com mais de 7 milhões de euros de cativações e obrigada a uma aflitiva ausência de investimentos. Com uma despesa anual em 2018 de 1,7 milhões de euros e receitas de 2,4 milhões de euros a CNPD compromete o seu desempenho para se constituir fonte de receitas para o Estado. Pura e simplesmente lamentável!

É com uma palavra de apreço que assistimos à prestação de contas que a CNPD fez da sua atividade durante o período 2017-2018 que pode ser consultada aqui.

É um relatório com muito conteúdo que descreve com o detalhe adequado as diversas atividades realizadas ao longo destes 2 anos e que estão agrupadas pelas seguintes rubricas: atividade decisória e processual, atividade consultiva e orientadora, atividade fiscalizadora e sancionatória, atividade de sensibilização pública, atividade internacional, atividade de gestão interna (desafios e gestão).

Atividade consultiva e orientadora

O relatório informa que a CNPD, no final de 2018, tinha 20 trabalhadores, 6 vogais e 1 presidente, totalizado 27 colaboradores, dos quais 67% com um nível de escolaridade igual ou superior à licenciatura.

Refere o Relatório que só no primeiro mês a seguir à aplicação do RGPG, a CNPD teve mais de 1.500 solicitações, sobretudo por correio eletrónico e por telefone, o que obviamente representou um enorme esforço para a instituição.

Continue reading “Relatório de Atividades da CNPD”

A inconformidade dos “cookies walls”

O uso de cookies e a eventual obtenção do respetivo consentimento têm que seguir a Directiva ePrivacy e o RGPD.

A autoridade holandesa de controlo dos dados pessoais (DPA) clarificou (aqui) que os “cookies walls” são, em muitos casos, uma prática irregular que não respeita o RGPD.

O tema é controverso e em última instância irá caber ao Tribunal de Justiça da União Europeia dar clareza jurídica a esta questão. É de esperar alguma resistência a este entendimento da autoridade holandesa de controlo dos dados pessoais, não só porque a sua adequabilidade depende das condições particulares de cada caso, como o benefício obtido pela utilização dos cookies é demasiado importante para não merecer oposição.

Nem na diretiva 2002/58/CE (ou «ePrivacy Directive») do Parlamento Europeu e do Conselho de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações eletrónicas, depois transposta para o ordenamento jurídico português através da Lei 41/2004 de 18 agosto e alterada pela Lei 46/2012 de 29 agosto, nem no RGPD conseguimos encontrar uma resposta simples para a questão. A única solução é acrescentar um pouco de ponderação aos princípios evocados pela lei e com sentido de proporcionalidade utilizar prudência e respeito pelo titular dos dados.

Para uma clara perceção das fronteiras da ePrivacy e o do RGDP consulte-se (aqui) o documento publicado este mês pela EDPB (European Data Protection Board – Conselho Europeu para a Proteção de Dados), intitulado “Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities”.

Recapitulemos o conceito de cookie e entendamos a que tipo de cookies se refere a DPA holandesa.

Continue reading “A inconformidade dos “cookies walls””

Será que a CNPD vai inspecionar a ASAE?

É razoável suspeitar que a ASAE cometeu uma grave violação de dados pessoais.

Será que a CNPD afirmou que a ASAE vai poder analisar quem financiou a greve dos enfermeiros? Ou será que a CNPD se limitou a dizer à plataforma PPL de crowdfunding que deveria dar acesso à ASAE aos dados pessoais constantes da sua plataforma?

No sítio da CNPD (aqui) pode ler-se que a CNPD entendeu que, de acordo com a legislação de proteção de dados pessoais, «nada obsta» à disponibilização à ASAE, «para a prossecução das atribuições e o estrito exercício das competências em que está legalmente investida», da informação por esta solicitada à detentora da plataforma de financiamento colaborativo PPL.

Ora isto são duas coisas totalmente diferentes. Uma coisa é dizer-se que a ASAE pode aceder aos dados na prossecução das suas atribuições e competências e outra coisa é dizer-se que a ASAE pode aceder aos dados pessoais para identificar quem financiou a greve dos enfermeiros para avaliação da licitude sobre o financiamento da greve.

É que pelo que tem sido dito as atribuições e competências da ASAE em matéria de financiamento colaborativo circunscrevem-se à prevenção e combate ao branqueamento de capitais e ao financiamento do terrorismo.

Clarifique-se que branqueamento de capitais é a transformação, por via de atividades criminosas que visam a dissimulação da origem ou do proprietário real dos fundos, dos proventos resultantes de atividades ilícitas, em capitais reutilizáveis nos termos da lei, dando-lhes uma aparência de legalidade.

Tal como se pode ver aqui, o processo de branqueamento engloba três fases distintas e sucessivas:

1 – Colocação: os bens e rendimentos são colocados nos circuitos financeiros e não financeiros;

2 – Circulação: os bens e rendimentos são objeto de múltiplas e repetidas operações, com o propósito de os distanciar da sua origem criminosa, apagando (branqueando) os vestígios da sua proveniência e propriedade;

3 – Integração: os bens e rendimentos, depois de reciclados, são reintroduzidos nos circuitos económicos legítimos (por exemplo, através da sua utilização na aquisição de bens e serviços).

Note-se que a polémica sobre o financiamento da greve dos enfermeiros não suscita nenhuma questão ao nível da colocação, circulação ou integração.  

Aqui a ASAE dá nota da sua autoridade para fiscalizar as plataformas de financiamento como a PLL afirmando que no âmbito das medidas de natureza preventiva e repressiva de combate ao branqueamento de capitais e do financiamento do terrorismo, decorrente da Lei n.º 83/2017 de 18 de agosto, as entidades gestoras de plataformas de financiamento, passam a ser entidades equiparadas a entidades obrigadas, sendo-lhe assim aplicado o referido regime, ainda que simplificado, conforme o art.º 5 deste diploma.

Ora a prevenção e combate ao branqueamento de capitais e ao financiamento do terrorismo nada tem a ver com o efetivo propósito da ASAE.

Podemos tentar acreditar na versão oficial expressa pelo inspetor-geral da ASAE, Pedro Gaspar, ao Expresso de que “as circunstâncias atuais precipitaram uma avaliação prévia às seis campanhas ativas, entre as quais a dos enfermeiros”, e que “não existiu qualquer indicação do Governo”. Portanto, estarão a ver as campanhas de financiamento com a finalidade da prevenção e combate ao branqueamento de capitais e ao financiamento do terrorismo, se bem que o deslize sobre “as circunstâncias atuais”, deixe perceber a verdadeira intenção política.

No meio da polémica, o PS defendeu no Parlamento uma mudança no regime do crowdfunding, criado em 2015 precisamente através de uma proposta sua, para que acabe o carácter anónimo das contribuições. Os socialistas querem assim saber, no futuro, quem financia, por exemplo, as greves que estão a paralisar diversos serviços hospitalares. Diga-se que a forma como as pessoas financiaram a greve dos enfermeiros não teve nada de anónimo. Todas as doações foram feitas através do sistema bancário e, portanto, totalmente identificadas.

E esta é a verdade objetiva, a finalidade da ASAE é saber quem financiou a greve dos enfermeiros no quadro de um confronto politico-sindical. Vejamos o que dizia a imprensa (aqui): “Qual é o objetivo da investigação? Validar todas as informações dadas pelos enfermeiros em greve quanto à origem dos fundos, averiguar quanto foi o dinheiro angariado e se há incompatibilidade nas doações”. Ora isto não é combate ao branqueamento de capitais e ao financiamento do terrorismo. Isto é tratamento de dados para fins políticos.

O mais grave é que todos sabíamos disso e a CNPD também. A CNPD poderá ter dado uma resposta correta à PPL, mas não alertou a ASAE para o facto de que o acesso aos dados para a finalidade pretendida não era lícito. É razoável pensar que a CNPD agiu de forma informada e consciente, fechando os olhos à provável violação de dados que a ASAE estava a preparar.  Se assim foi, é altamente criticável. Agora só resta saber se vai ser conivente com a ASAE ou se vai fiscalizar à posteriori. Na minha opinião a CNPD tinha informação suficiente para saber que a ASAE estava a preparar-se para uma finalidade ilícita e deveria ter atuado de forma preventiva. A CNPD devia ter evitado a provável violação de dados.

Assumindo que a ASAE fez um tratamento em larga escala de categorias especiais de dados, espera-se que tenha realizado a respectiva Avaliação de Impacto sobre Proteção de Dados (AIPED) e que tenha agido de forma proporcional. Seria muito positivo que a CNPD reconhecesse a razoabilidade da atuação da ASAE validando o referido AIPD.

É legitimo pensar se não teria feito sentido, a ASAE ter realizado uma consulta prévia à CNPD sobre a análise de impacto do tratamento de dados. Importa reter a seguinte passagem do GRUPO DE TRABALHO DO ARTIGO 29 WP 248 :

d) Existe uma obrigação de publicar a AIPD? Não, mas a publicação de um resumo pode fomentar a confiança, e a AIPD completa deve ser comunicada à autoridade de controlo em caso de consulta prévia ou se tal for solicitado pela autoridade de proteção de dados.
A publicação de uma AIPD não é um requisito jurídico do RGPD, essa decisão recai sobre o responsável pelo tratamento. Contudo, os responsáveis pelo tratamento devem considerar, pelo menos, a publicação parcial da AIPD, por exemplo, um resumo ou uma conclusão.
A finalidade dessa publicação parcial seria ajudar a fomentar a confiança nas operações de tratamento do responsável pelo tratamento e demonstrar responsabilidade e transparência. Considera-se uma boa prática publicar uma AIPD quando os membros do público são afetados pela operação de tratamento. Acontece em especial quando a AIPD é realizada por uma autoridade pública.

WP 248 – Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE) 2016/679

Péssimo será se não tivermos notícia de uma inspeção da CNPD à ASAE. É que estamos a falar de dados pessoais relacionados com sindicalismo e política, isto são mais que dados sensíveis, isto são categorias especiais de dados pessoais.

Mau já foi a CNPD não ter atuado preventivamente protegendo à priori os dados pessoais associados a uma luta politico-sindical.

Pior, foi não termos visto juristas ou a própria Ordem dos Advogados no espaço publico a clarificarem esta situação.

A lição aprendida é: Cuidado com “o longo braço” do Estado.

A Bandalheira é para continuar

O Relatório Anual da EDPS publicado a 26 Fevereiro 2019 apresenta um supervisor ativo que demonstra competência e trabalho realizado.

Quer o Relatório anual da EDPS (aqui)  quer o podcast da EDPS (aqui) evidenciam uma grande valorização do princípio da accountability o que devia ser tomado pelo poder político português como um exemplo para as instituições publicas portuguesas.

No país dos “donos disto tudo”, dos Isaltinos, dos Sócrates, dos Tomás Correias/Montepios/apoiado-pelas-melhores-elites, da endogamia do governo, todos sabemos que a falta de transparência e a falta de accountability não são penalizadas na opinião publica e nas eleições pelo que o poder político pouco se preocupa com tal.

 E, portanto, o que é de esperar é que o legislador português não siga os bons exemplos europeus, designadamente da EDPS levando avante o seu plano de desresponsabilização das instituições publicas portuguesas através da isenção de coimas por não conformidade com o RGPD. Pelo menos, é essa a “narrativa”  posta a circular nos últimos meses e de que é, o mais recente exemplo, a noticia do jornal publico (aqui). Ao que parece, o teste da opinião publica está a ser superado com sucesso, o que levará os políticos a consolidarem o atual sistema de gestão desresponsabilizada. Uma gestão da coisa publica que permita o aproveitamento das instituições publicas para fins privados com total desrespeito pelo cidadão.

Não será uma notícia de última hora ou de última década, mas a notícia é que a “bandalheira” à portuguesa é para continuar.

Qual a organização publica portuguesa que inclui no seu relatório anual de atividade os KPIs? Qual o gestor publico que faz esse exercício de prestação de contas? Que poder politico obriga à prestação de contas?

O exemplo da EDPS de dar visibilidade dos KPIs que abaixo se ilustra devia servir de referência para as organizações publicas portuguesas. Isto é cultura de accountability.

É neste contexto de inutilidade pratica para Portugal, mas de manifesto interesse pedagógico que se recomenda a leitura dos capítulos 4.4.2 Reinforcing the accountability of EU institutions e 4.4.3 Accountability in IT do referido relatório onde entre outros aspetos se refere o seguinte.

Continue reading “A Bandalheira é para continuar”

Riscos Globais em 2019

O relatório do Global Risks Perception Survey 2019 faz das tecnologias o actor principal.

De um catálogo de 30 riscos globais, o inquérito 2019, atribuiu, em termos de probabilidade o 4º lugar ao roubo e fraude de dados e o 6º lugar aos ciberataques. Em termos de impacto o roubo e fraude de dados ficaram em 16º risco e os ciberataques ficaram em 6º.

Nove em cada dez entrevistados esperam, para 2019, um agravamento dos confrontos económicos e políticos entre as grandes potências e num horizonte de dez anos, os eventos climáticos extremos e as mudanças climáticas são vistos como as ameaças mais graves.

O relatório apresenta os resultados da mais recente Pesquisa de Perceção de Riscos Globais, na qual um milhar de decisores do setor público, setor privado, académico e sociedade civil avaliam os riscos que o mundo enfrenta.

Entende-se como “risco global” um evento ou condição incerta que, se ocorrer, pode causar impacto negativo significativo e que não é influenciado por um país ou governo.

The Global Risk Report 2019 (aqui) faz alguns comentários à avaliação realizada que se sintetizam da forma seguinte.

Continue reading “Riscos Globais em 2019”

O Dia da Proteção de Dados

Na próxima segunda-feira, dia 28 Janeiro, celebra-se o Dia da Proteção de Dados. Observemos com atenção o que vai acontecer no próximo dia 28.

Deixem-me adivinhar. O próximo dia 28 vai ser o dia dos coletes amarelos da Proteção de Dados, não se vai passar nada. No próximo dia 28 vai haver uma “happy hour” com uma dúzia de profissionais da Proteção de Dados, quase todos membros da IAPP, reunidos a celebrar o Dia da Proteção de Dados. E sobre a evocação da data ficaremos conversados.

Mas, sejamos otimistas, aguardemos, pode ser que a comunicação social, a Assembleia da República, o Governo ou a CNPD nos surpreendam.

Façamos o que podermos para a data não passar em branco. O assunto é sério e merece a melhor atenção, sensibilizemos a sociedade portuguesa para a questão da Proteção de Dados.

Desde que a tecnologia começou a interferir com a sociedade e com os direitos humanos que o problema da Proteção de Dados não pára de se agudizar e as reações ficam sempre aquém do desejável. Em todo o mundo sucedem-se os casos alarmantes e Portugal não é exceção, antes pelo contrário, com a agravante do governo e a assembleia da república tentarem ignorar a realidade.

A realidade é que “Never before has the threat of intrusion to people’s privacy been such a risk. It is no wonder that the public now ranks protecting personal information as the third most important social concern.” – Richard Thomas, former UK Information Commissioner.

O site Stay Safe Online (aqui) é um excelente exemplo de sensibilização para o Dia da Proteção de Dados, mas para a escala portuguesa sugiro 5 pontos do que pode ser a sensibilização para o Dia da Proteção de Dados. Obviamente, cada um, que elenque as questões que, pessoalmente, entende serem as prioritárias.

Continue reading “O Dia da Proteção de Dados”

O caso PLMJ

Que tal a Ordem dos advogados recomendar que as sociedades de advogados sejam assistidas por um Conselho Consultivo de Segurança da Informação?

A Ordem dos Advogados manifestou o maior repúdio e considerou absolutamente inaceitável o ataque informático de que foi alvo a sociedade de advogados PLMJ. A Ordem “esqueceu-se” de comentar as obrigações que as sociedades de advogados têm no que respeita à segurança da informação. É fácil concordar que o hacker é o vilão da história, mas será que a PLMJ pode demonstrar que não é o segundo vilão?

A noticia da violação de dados ocorrida na sociedade de advogados PLMJ foi amplamente referida nos meios de comunicação social e pode ser lida, entre outros locais, aqui.

A Ordem dos Advogados, em comunicado assinado pelo bastonário, afirma que “uma advocacia sem medo e sem que os cidadãos tenham medo de a ela recorrer é essencial para a vida em democracia e para a proteção dos direitos de todos, pelo que procurar condicioná-la, seja de que forma for, tem de merecer, da sociedade, o maior repúdio e censura. Trata-se de um inaceitável atentado ao Estado de Direito e de um atentado de que todos, advogados e não só, são vítimas e em que todos estão na mira”.

Não se vê no comunicado da Ordem dos Advogados, nenhuma referência a algum código de conduta ou práticas de segurança da informação que obriguem, em particular, as sociedades de advogados. É bem claro que o vilão da história é o hacker, que ao que se diz é o mesmo do caso emails do Benfica, mas poderá haver um segundo vilão. Quem não protege a informação que lhe está confiada é, também, um vilão. É um vilão de outro teor, mas um vilão.

Parece evidente que uma sociedade de advogados que não dê prioridade à segurança das informações dos clientes e à defesa dos seus interesses e direitos constitui-se no segundo vilão da história. Dar prioridade significa, desde logo, afetar meios humanos, tecnológicos e, portanto, financeiros a esse objetivo. Essa prioridade tem que ser demonstrada, a sociedade de advogados tem que respeitar o princípio da accountability, tem que ser capaz de demonstrar responsabilidade. E se não for capaz de demonstrar responsabilidade, a meu ver, constitui-se como o segundo vilão da história. A Ordem dos Advogados deve dar indicações precisas de como essa demonstração de responsabilidade deve ser realizada, até porque, a natureza da informação à guarda de uma sociedade de advogados pode ser de máxima confidencialidade.

É óbvio que as sociedades de advogados não devem nem podem vir para a praça publica divulgar as medidas de segurança que as protegem, mas certamente que podem ser certificadas ISO 27001 e/ou terem um Conselho Consultivo para a Segurança da Informação recheado com nomes sonantes. Qualquer uma destas práticas, só por si, daria uma imagem publica de demonstração de responsabilidade.

Mas para o caso de sociedades de advogados do tipo da PLMJ, o que se recomenda é a aplicação conjunta das duas mediadas, Certificação ISO 27001 e Conselho Consultivo para a Segurança da Informação.

Lamentável é que a Ordem dos Advogados não vincule as sociedades de advogados a determinadas práticas que consagrem a demonstração de responsabilidade.

É evidente o papel da certificação ISO 27001 na demonstração da responsabilidade, mas já não é tão óbvio o papel de um Conselho Consultivo para a Segurança da Informação, ainda que em meu entender, o Conselho Consultivo possa ser um instrumento prático de muito maior alcance e eficiência que a certificação ISO 27001.

Então mas o DPO, o encarregado de proteção de dados (EPD), não é suficiente?

Note-se que não estamos a referir a necessidade de um Conselho Consultivo para a proteção de dados pessoais (ou privacidade) como por exemplo o da seguradora AXA (aqui) porque há vastas competências nessa área dentro de uma sociedade de advogados como a PLMJ. O que se alerta é para o problema da segurança da informação e a necessidade de um respetivo Conselho Consultivo, numa área que não é da especialidade de uma sociedade de advogados.

Vejamos a adequabilidade, vantagens e desvantagens do Conselho Consultivo para a Segurança da Informação como forma de proteção e de demonstração da responsabilidade. Neste sentido, comecemos por caracterizar a natureza de um Conselho Consultivo.

Continue reading “O caso PLMJ”