ICO: – “RGPD numa fase critica”

Qual a principal fonte de inconformidade RGPD?

Quer o caso da violação de dados do Yahoo, quer o caso do Facebook, demonstram bem falhas organizativas que sustentam a tese da presidente da ICO.

Segundo a ICO estamos a entrar numa fase critica de afirmação do RGPD que requer um novo foco na proteção holística de dados, incorporando uma sólida governança dos dados pessoais em todos os processos da atividade da organização.

No passado dia 8 de Abril, Elizabeth Denham, presidente da ICO (a autoridade para a proteção de dados pessoais do Reino Unido) na conferência Data Protection Practitioners 2019 (aqui) afirmou, perante mais de 800 pessoas, a absoluta necessidade de considerar adequadamente o principio da accountability (responsabilidade ou responsabilidade demonstrada).

We find ourselves at a critical stage. For me, the crucial, crucial change the law brought was around accountability. Accountability encapsulates everything the GDPR is about.”

Elizabeth Denham, Information Commissioner (ICO)

Este é, de resto, um tema recorrente deste blog como se pode ver aqui, aqui e aqui, entre outros.

Mas qual a relação da afirmação de Elizabeth Denham com os casos do Yahoo e do Facebook?

Continue reading “ICO: – “RGPD numa fase critica””

A primeira coima dinamarquesa

Deficiente pseudonimização pode vir a custar 2,8% da faturação.

A autoridade dinamarquesa de controlo dos dados pessoais (DPA) solicitou a imposição de uma coima de 1,2 milhões de coroas dinamarquesas (€160.751) à empresa de táxis TAXA 4×53, por deficiente pseudonimização e minimização de dados.

A notícia pode ser lida aqui.

A centenária empresa de táxis dinamarquesa com mais de 800 táxis em Copenhaga é líder de mercado e mantém uma base de dados com um histórico de nove milhões de viagens.  

Embora a aplicação da coima esteja reservada ao tribunal, verifica-se que de uma forma geral os tribunais tendem a estar alinhados com as penalidades propostas pelos reguladores. À medida que for sendo criada jurisprudência a DPA dinamarquesa poderá vir a aplicar coimas, mas como este ainda é o primeiro caso, tudo terá que ser resolvido em tribunal.

Continue reading “A primeira coima dinamarquesa”

A questão do controlo

Quando as pessoas interagem no ciberespaço com tecnologias criadas para minar a sua privacidade é difícil dizer que cabe às pessoas controlar a sua privacidade.

Conheço uma única pessoa que não utiliza a aplicação WhatsApp porque não concordou com a política de privacidade. Pergunto-me, aliás, quantas pessoas usam e concordaram conscientemente com a política de privacidade da WhatsApp?

Não conheço uma única pessoa que utilize a aplicação Mobdro para ver televisão e tenha lido o aviso de privacidade. Não acredito que alguém na ânsia de ver um Porto-Benfica se dê ao cuidado de ler a política de privacidade.

Certo é que nem todas as aplicações suscitam a mesma necessidade de adesão que a Mobdro ou a WhatsApp, mas em muitos casos a funcionalidade pretendida pelo utilizador acaba por ser soberana e ditar uma aceitação menos consciente, ou menos livre, ou mais condicionada, da política de privacidade. De uma forma geral a alternativa de serviço pago versus serviço por contrapartida de utilização dos dados pessoais é uma opção razoável, mas muitas vezes essa opção não é disponibilizada ao utilizador da aplicação.

Em qualquer o caso, fica a pergunta se será humanamente possível ou concebível que alguém tenha lido todas as politicais de privacidade das aplicações que tem instaladas nos seus dispositivos eletrónicos.

A resposta parece evidente e é por isso que Woodrow Hartzog (WH) afirma que os ganhos em privacidade virão de melhores regras para as aplicações informáticas e não pelo dito “controlo” exercido pelos utilizadores. Contudo, o modelo de negócio predominante na Internet consiste em recolher o máximo de dados possível e vendê-los ou usá-los para alcançar ou persuadir os utilizadores. O valor dos dados pessoais leva a que a generalidade das empresas decida dar primazia às estratégias que maximizem a recolha de dados.

O ano passado postei (aqui) sobre a intervenção de Woodrow Hartzog no IAPP Europe Data Protection Congress, relativa à questão do controlo e agora que volto ao tema refiro que o vídeo dessa apresentação já está disponível no youtube (aqui). Ainda a este propósito, e porque se falamos de controlo de privacidade temos que ter ideias claras sobre privacidade importa ver um outro vídeo de WH que alerta para o facto de que a privacidade é uma palavra cada vez mais vazia de sentido que teima em resistir a considerar devidamente o conceito de obscuridade (obscurity) e que pode ser visto aqui.

Nesta objetiva dificuldade em defender o direito à privacidade fica a dúvida se, em termos práticos, o que vai sobressair do RGPD não será, sobretudo, a regulação da liberdade de circulação dos dados pessoais que é o que alimenta a economia do Big Data.

O considerando nº7 do RGPD refere que “Esta evolução [tecnológica e da globalização] exige um quadro de proteção de dados sólido e mais coerente na União, apoiado por uma aplicação rigorosa das regras, pois é importante gerar a confiança necessária ao desenvolvimento da economia digital no conjunto do mercado interno. As pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais. Deverá ser reforçada a segurança jurídica e a segurança prática para as pessoas singulares, os operadores económicos e as autoridades públicas”. A segurança prática dos operadores económicos parece estar a ser conseguida, já a segurança prática das pessoas singulares parece não estar muito bem entregue a esse conceito de as pessoas ficarem responsáveis pelo controlo da sua privacidade. É que como referido anteriormente, não há condições para tal.

Note-se que a regulação da liberdade de circulação dos dados pessoais que é o que alimenta a economia do Big Data não é uma questão menor. É, de resto, tão grande que poderá por em risco a própria ideia de privacidade. A ideologia do Dataísmo que dá suporte à economia do Big Data transmite a ideia que num futuro mais ou menos próximo a privacidade será tida como uma anomalia.

A ideologia do Dataísmo apresentada inicialmente por David Brooks, em 2013, e desenvolvida posteriormente pelo historiador israelita Yuval Noah Harari considera a informação como o “valor supremo” que tenderá a esmagar a privacidade, até porque, o próprio utilizador optará sempre a favor da operacionalidade em detrimento da privacidade. E acrescento eu, que optará de forma descontrolada, deitando pelo chão qualquer esperança de que “as pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais”.

Poderá encontrar uma boa síntese da ideologia do Dataísmo no artigo de António Covas no Observador (aqui).

Nesta perspetiva, a tendência será para o RGPD ser, sobretudo, o quadro jurídico para a economia do Big Data e uma salvaguarda contra o Estado-Big-Brother. No caso português parece que o legislador está apostado em desenvolver legislação no sentido de garantir que o RGPD não obstaculize o Estado-Big-Brother. Aguardemos pela legislação nacional para aplicação do RGPD, legislação que já tarde e há muito tempo.

Simplificar a avaliação de risco das PMEs

As pequenas e médias organizações nem sempre precisam de ferramentas sofisticadas para realizarem uma adequada avaliação de riscos. Tudo o que precisam é de um Excel, bons catálogos de vulnerabilidades e ameaças e uma boa metodologia de avaliação de risco que sobreleve a accountability.

O problema das soluções mais complexas é que, geralmente, exigem muito mais tempo, esforço e dinheiro. É preciso que esse adicional seja compensador.

Compreenda-se que simplificar não é diminuir. A avaliação de risco e a gestão do risco são a base quer da proteção de dados quer da segurança da informação / ISO 27001, mas isso não significa que a gestão do risco tenha que ser complexa e complicada. Nem sempre a utilização de uma aplicação de gestão de risco é a melhor solução. Em alguns casos, pode realizar-se uma avaliação do risco de forma simples, com a vantagem adicional de facilitar a compreensão e, por essa via, contribuir para uma maior adesão das pessoas envolvidas.

Não esquecer o objetivo

O propósito da avaliação de risco é identificar o risco e descobrir que controles são necessários para mitigar o risco. O processo de tratamento de risco consiste na seleção dos controles. Na ISO 27001 os controlos são escolhidos a partir do Anexo A que especifica 114 controles. Para a Proteção de Dados podemos recorrer aos controlos resultantes da BS 10012:2017.

Entenda-se que uma vulnerabilidade é uma debilidade num ativo, processo, controle, etc., que pode ser explorada por uma ameaça. Uma ameaça é qualquer ação que possa causar danos a um sistema ou organização. Um exemplo de vulnerabilidade é a não utilização de software antivírus; a respetiva ameaça consiste na existência de vírus.

A imagem em baixo (aqui) ilustra uma pratica orientada pela avaliação de risco, tal como recomendada pelo RGPD.

O processo é simples

Sigam-se os seguintes passos:

Continue reading “Simplificar a avaliação de risco das PMEs”

O erro mais frequente em 2018

Evitemos os erros de 2018, façamos melhor em 2019. Os guias e as compilações de melhores práticas não têm evitado uma falha quase que generalizada no registo das atividades de tratamento de dados imposto pelo RGPD. Esperemos que 2019 traga melhores registos.

Creio que o motivo da falha recorrente no registo das atividades de tratamento de dados pessoais (RATDP) reside no facto de se confundir a orientação dada pelo artigo 30º do RGPD (registo das atividades de tratamento) com o que é mais correto do ponto de vista operacional e o que é mais indicado para apresentação a uma autoridade de controlo, CNPD ou outra qualquer. Isto é, pede-se mais que uma leitura estritamente jurídica, exige-se um entendimento mais operacional e de gestão.

Antes de desenvolver esta ideia, importa salientar a relevância do RATDP para se ter uma correta perceção do impacto deste erro. O deficiente registo das atividades de tratamento de dados pessoais é, não só frequente, como compromete de forma muito significativa todo o esforço de conformidade RGPD.

Atendamos a que:

  • O RATDP é a trave mestre da conformidade RGPD, é onde o DPO concentra a maior parte do seu esforço
  • O RATDP é o ponto de referência da administração da organização responsável pelo tratamento dos dados
  • O RATDP é o ponto de entrada utilizado pela entidade de controlo (CNPD)

Em termos de auditoria a constatação de um RATDP deficientemente organizado não corresponde de forma linear a um parecer adverso ou negativo (declaração expressa de não demonstração de conformidade), ou a um parecer de abstenção de opinião (impossibilidade do auditor obter todas as evidências comprobatórias), ou a um parecer com ressalvas (adoção de procedimentos não considerados adequados ou geralmente aceites nas circunstâncias). É um facto que o cumprimento do artigo 30º, de forma estrita, permite, à partida, passar a avaliação inicial do RATDP, mas o aprofundamento do tema da conformidade com essa base é operacionalmente deficiente e não facilita o trabalho da atividade de controlo. Um RATDP deficiente não impossibilita a conformidade, mas é um mau começo e, na prática, indicia uma conformidade insuficiente.

Comecemos por identificar o erro para depois expormos a forma correta de realizar o RATDP.

Continue reading “O erro mais frequente em 2018”

Accountability a quanto obrigas?

Todos sabemos que a Accountability é o melhor antídoto para coimas e indemnizações, mas qual o significado de Accountablity no contexto da proteção de dados?

Durante os últimos 40 anos a proteção de dados tem introduzido uma serie de conceitos inovadores como os códigos de conduta, privacy by design, privacy-enhancing technologies, binding corporate rules, standard contratual clauses, mas o conceito de accountability é, sem dúvida, dos mais significativos.

A raiz deste movimento pró accountability encontra-se no OCDE Guidelines on the Protection of Privacy and Transborder Flows of Personal Data(1981) sendo um conceito que tem vindo a ser trabalhado revestindo-se de uma complexidade que dificulta uma definição linear.

Continue reading “Accountability a quanto obrigas?”