O Dia da Proteção de Dados

Na próxima segunda-feira, dia 28 Janeiro, celebra-se o Dia da Proteção de Dados. Observemos com atenção o que vai acontecer no próximo dia 28.

Deixem-me adivinhar. O próximo dia 28 vai ser o dia dos coletes amarelos da Proteção de Dados, não se vai passar nada. No próximo dia 28 vai haver uma “happy hour” com uma dúzia de profissionais da Proteção de Dados, quase todos membros da IAPP, reunidos a celebrar o Dia da Proteção de Dados. E sobre a evocação da data ficaremos conversados.

Mas, sejamos otimistas, aguardemos, pode ser que a comunicação social, a Assembleia da República, o Governo ou a CNPD nos surpreendam.

Façamos o que podermos para a data não passar em branco. O assunto é sério e merece a melhor atenção, sensibilizemos a sociedade portuguesa para a questão da Proteção de Dados.

Desde que a tecnologia começou a interferir com a sociedade e com os direitos humanos que o problema da Proteção de Dados não pára de se agudizar e as reações ficam sempre aquém do desejável. Em todo o mundo sucedem-se os casos alarmantes e Portugal não é exceção, antes pelo contrário, com a agravante do governo e a assembleia da república tentarem ignorar a realidade.

A realidade é que “Never before has the threat of intrusion to people’s privacy been such a risk. It is no wonder that the public now ranks protecting personal information as the third most important social concern.” – Richard Thomas, former UK Information Commissioner.

O site Stay Safe Online (aqui) é um excelente exemplo de sensibilização para o Dia da Proteção de Dados, mas para a escala portuguesa sugiro 5 pontos do que pode ser a sensibilização para o Dia da Proteção de Dados. Obviamente, cada um, que elenque as questões que, pessoalmente, entende serem as prioritárias.

Continue reading “O Dia da Proteção de Dados”

O caso PLMJ

Que tal a Ordem dos advogados recomendar que as sociedades de advogados sejam assistidas por um Conselho Consultivo de Segurança da Informação?

A Ordem dos Advogados manifestou o maior repúdio e considerou absolutamente inaceitável o ataque informático de que foi alvo a sociedade de advogados PLMJ. A Ordem “esqueceu-se” de comentar as obrigações que as sociedades de advogados têm no que respeita à segurança da informação. É fácil concordar que o hacker é o vilão da história, mas será que a PLMJ pode demonstrar que não é o segundo vilão?

A noticia da violação de dados ocorrida na sociedade de advogados PLMJ foi amplamente referida nos meios de comunicação social e pode ser lida, entre outros locais, aqui.

A Ordem dos Advogados, em comunicado assinado pelo bastonário, afirma que “uma advocacia sem medo e sem que os cidadãos tenham medo de a ela recorrer é essencial para a vida em democracia e para a proteção dos direitos de todos, pelo que procurar condicioná-la, seja de que forma for, tem de merecer, da sociedade, o maior repúdio e censura. Trata-se de um inaceitável atentado ao Estado de Direito e de um atentado de que todos, advogados e não só, são vítimas e em que todos estão na mira”.

Não se vê no comunicado da Ordem dos Advogados, nenhuma referência a algum código de conduta ou práticas de segurança da informação que obriguem, em particular, as sociedades de advogados. É bem claro que o vilão da história é o hacker, que ao que se diz é o mesmo do caso emails do Benfica, mas poderá haver um segundo vilão. Quem não protege a informação que lhe está confiada é, também, um vilão. É um vilão de outro teor, mas um vilão.

Parece evidente que uma sociedade de advogados que não dê prioridade à segurança das informações dos clientes e à defesa dos seus interesses e direitos constitui-se no segundo vilão da história. Dar prioridade significa, desde logo, afetar meios humanos, tecnológicos e, portanto, financeiros a esse objetivo. Essa prioridade tem que ser demonstrada, a sociedade de advogados tem que respeitar o princípio da accountability, tem que ser capaz de demonstrar responsabilidade. E se não for capaz de demonstrar responsabilidade, a meu ver, constitui-se como o segundo vilão da história. A Ordem dos Advogados deve dar indicações precisas de como essa demonstração de responsabilidade deve ser realizada, até porque, a natureza da informação à guarda de uma sociedade de advogados pode ser de máxima confidencialidade.

É óbvio que as sociedades de advogados não devem nem podem vir para a praça publica divulgar as medidas de segurança que as protegem, mas certamente que podem ser certificadas ISO 27001 e/ou terem um Conselho Consultivo para a Segurança da Informação recheado com nomes sonantes. Qualquer uma destas práticas, só por si, daria uma imagem publica de demonstração de responsabilidade.

Mas para o caso de sociedades de advogados do tipo da PLMJ, o que se recomenda é a aplicação conjunta das duas mediadas, Certificação ISO 27001 e Conselho Consultivo para a Segurança da Informação.

Lamentável é que a Ordem dos Advogados não vincule as sociedades de advogados a determinadas práticas que consagrem a demonstração de responsabilidade.

É evidente o papel da certificação ISO 27001 na demonstração da responsabilidade, mas já não é tão óbvio o papel de um Conselho Consultivo para a Segurança da Informação, ainda que em meu entender, o Conselho Consultivo possa ser um instrumento prático de muito maior alcance e eficiência que a certificação ISO 27001.

Então mas o DPO, o encarregado de proteção de dados (EPD), não é suficiente?

Note-se que não estamos a referir a necessidade de um Conselho Consultivo para a proteção de dados pessoais (ou privacidade) como por exemplo o da seguradora AXA (aqui) porque há vastas competências nessa área dentro de uma sociedade de advogados como a PLMJ. O que se alerta é para o problema da segurança da informação e a necessidade de um respetivo Conselho Consultivo, numa área que não é da especialidade de uma sociedade de advogados.

Vejamos a adequabilidade, vantagens e desvantagens do Conselho Consultivo para a Segurança da Informação como forma de proteção e de demonstração da responsabilidade. Neste sentido, comecemos por caracterizar a natureza de um Conselho Consultivo.

Continue reading “O caso PLMJ”

Detetabilidade

Como costuma tratar a questão da detetabilidade? A detetabilidade ilustra bem a máxima de que “qualquer framework é melhor que nenhuma”, no sentido em que demonstra a necessidade de tratar as várias dimensões de um problema com método e racionalidade que estejam devidamente reconhecidos e validados pela experiência.

A extrema vulnerabilidade durante 54 zero-day por ano, isto é, mais de um dia por semana, e os 205 dias que decorrem, em média, entre a violação de dados e a sua descoberta são motivos mais que suficientes para a questão da detetabilidade ser um fator crucial na gestão do risco. O desafio é: Como considerar a questão da detetabilidade?

A detetabilidade é particularmente bem considerada na framework FMEA (Failure Mode and Effects Analysis – Análise dos Modos de Falha e seus Efeitos), mas esta é uma metodologia pouco utilizada na proteção de dados pessoais. A avaliação de impacto na proteção de dados, de uma forma geral, segue a ISO 31000 (Gestão do Risco), mas esta não aborda diretamente a questão da detetabilidade.

Como articular a detetabilidade e a proteção de dados pessoais é a questão que vamos responder.

Continue reading “Detetabilidade”

O erro mais frequente em 2018

Evitemos os erros de 2018, façamos melhor em 2019. Os guias e as compilações de melhores práticas não têm evitado uma falha quase que generalizada no registo das atividades de tratamento de dados imposto pelo RGPD. Esperemos que 2019 traga melhores registos.

Creio que o motivo da falha recorrente no registo das atividades de tratamento de dados pessoais (RATDP) reside no facto de se confundir a orientação dada pelo artigo 30º do RGPD (registo das atividades de tratamento) com o que é mais correto do ponto de vista operacional e o que é mais indicado para apresentação a uma autoridade de controlo, CNPD ou outra qualquer. Isto é, pede-se mais que uma leitura estritamente jurídica, exige-se um entendimento mais operacional e de gestão.

Antes de desenvolver esta ideia, importa salientar a relevância do RATDP para se ter uma correta perceção do impacto deste erro. O deficiente registo das atividades de tratamento de dados pessoais é, não só frequente, como compromete de forma muito significativa todo o esforço de conformidade RGPD.

Atendamos a que:

  • O RATDP é a trave mestre da conformidade RGPD, é onde o DPO concentra a maior parte do seu esforço
  • O RATDP é o ponto de referência da administração da organização responsável pelo tratamento dos dados
  • O RATDP é o ponto de entrada utilizado pela entidade de controlo (CNPD)

Em termos de auditoria a constatação de um RATDP deficientemente organizado não corresponde de forma linear a um parecer adverso ou negativo (declaração expressa de não demonstração de conformidade), ou a um parecer de abstenção de opinião (impossibilidade do auditor obter todas as evidências comprobatórias), ou a um parecer com ressalvas (adoção de procedimentos não considerados adequados ou geralmente aceites nas circunstâncias). É um facto que o cumprimento do artigo 30º, de forma estrita, permite, à partida, passar a avaliação inicial do RATDP, mas o aprofundamento do tema da conformidade com essa base é operacionalmente deficiente e não facilita o trabalho da atividade de controlo. Um RATDP deficiente não impossibilita a conformidade, mas é um mau começo e, na prática, indicia uma conformidade insuficiente.

Comecemos por identificar o erro para depois expormos a forma correta de realizar o RATDP.

Continue reading “O erro mais frequente em 2018”

It´s the management, stupid

A distorção de valores compromete a harmonia do todo. Hipervalorizar ou diminuir qualquer das três dimensões da proteção de dados (jurídica, tecnológica e gestão) compromete seriamente o resultado final.

Ficou celebre o slogan “It’s the economy, stupid” utilizado por Bill Clinton na campanha presidencial de 1992, que pretendia sublinhar a importância da economia e o que isso significava em termos de emprego, segurança, poder de compra e qualidade de vida. Isto é, apelava ao voto prometendo uma mudança na economia.

Quando digo “It´s the management, stupid” é para enfatizar a importância da “gestão” que por vezes é indevidamente subvalorizada. Exemplifico essa subvalorização com um post do jurista Stewart Room no blog da PwC do UK (aqui) em que defende a tese de que tudo se resume à questão tecnológica. Nesse mesmo sentido, outro exemplo é o meu post (aqui) sobre  a tese de Woodrow Hartzog (Professor of Law and Computer Science) de que a tecnologia não é neutra e tudo se acaba por reduzir ao modelo de negócio e à tecnologia.

É bom lembrar que a Gestão é a área das ciências sociais e humanas que se dedica à administração de organizações visando fazer com que alcancem os seus objectivos de forma efectiva, eficaz e eficiente. Gestão é: Promover resultados, perseguir metas, resolver problemas, promover mudanças.

Parece um contra-senso, mas é um facto que muitos juristas tendem a sobrevalorizar a questão tecnológica. Vejamos a argumentação de Stewart Room.

Continue reading “It´s the management, stupid”

Why Privacy by design is everything?

Porque razão a definição de privacidade é uma questão tão controversa?

A comunicação de encerramento do IAPP Europe Data Protection Congress 2018 realizada por Woodrow Hartzog (Professor of Law and Computer Science at Northeastern University School of Law and the College of Computer and Information Science) teve o impacto de uma verdade inconveniente e deixou a audiência sem muita vontade de comentar. Até os comentários do site oficial da IAPP preferiam abordar os temas correntes e banais do enforcement e do brexit, omitindo o doloroso tema trazido por Woodrow Hartzog.

Agora que a visão europeia de proteção de dados parecia estar a definir-se como o padrão mundial, centrando-se no conceito de controlo do utilizador vem Hartzog lançar a dúvida e rasgar novos horizontes. Contudo, é meu entendimento que o RGPD está suficientemente bem concebido para suportar esta nova visão de “design is everything” sustentada por Hartzog. Não só porque o RGPD incorpora “Privacy by Design” (ainda que carecendo de densificação) como porque aponta para a via das certificações e códigos de conduta.

Na sua comunicação ao Congresso, Woodrow Hartzog evidenciou como a definição de proteção de dados pessoais está ligada à visão europeia assente no conceito de controlo.

Mas recapitulemos com a ajuda das “Breves notas sobre a ressignificação da privacidade” de Erick Peixoto e Marcos Júnior que pode ver na integra aqui.

Continue reading “Why Privacy by design is everything?”

Alemanha tenta justificar-se

Em Setembro de 2018 foi anunciado que 1,8 milhões de registos foram roubados da Knuddels. O resultado final foi uma coima de 20.000 euros e um investimento em segurança de 6 dígitos.

O Knuddels.de é um serviço online baseado na Web que consiste numa plataforma de flirty chat para pessoas com mais de 14 anos de idade. Knuddels serve, sobretudo, uma comunidade de jovens adultos de língua alemã.

No comunicado de imprensa da autoridade de controlo alemã do Estado (Bundesländer) Baden-Wuerttemberg (LfDI) (aqui) percebe-se bem a necessidade de justificação da coima ser incompreensivelmente baixa o que deixa uma grande interrogação sobre a desejável uniformidade de critérios das várias autoridades de controlo da União Europeia.

Em julho deste ano, a plataforma de flirty chat  sofreu uma violação de dados e as informações roubadas dos seus servidores foram publicadas on-line. Um membro da equipe disse, na altura, que o incidente afetou todos os utilizadores que tinham uma conta na plataforma em 20 de julho de 2018 o que corresponde a 808.000 emails e 1,8 milhões de nomes de utilizadores e passwords.

Continue reading “Alemanha tenta justificar-se”

Formjacking

Mais de 250 mil ataques de formjacking desde meados de Agosto 2018. Qualquer empresa, em qualquer lugar do mundo, que receba pagamentos on-line, é uma possível vítima desta ameaça.

Formjacking designa o uso malicioso de código JavaScript para roubar dados de cartão de crédito e outras informações de formulários de pagamento nas páginas de sites de comércio eletrónico. Não é uma técnica nova, mas as ocorrências recentes são interessantes porque de grande impacto, sofisticadas e aumentaram dramaticamente o nível de ameaça desde meados de Agosto de 2018.

A Ticketmaster teve 40.000 registos de clientes comprometidos em Junho 2018, e a British Airways foi atacada em Setembro 2018, quando cerca de 400.000 clientes foram vitimas de roubo dos dados relativos ao cartão crédito. Acredita-se que a Magecart (grupo de hackers especializado em  cartões de crédito) esteja por trás deste enorme aumento do número de ataques de formjacking, que, segundo a Symantec, são mais de 250 mil desde meados de Agosto 2018.

Se o número de ataques concretizados é impressionante, é ainda mais incrível o número de tentativas de ataques bloqueados por dispositivos de segurança. Conforme gráfico acima só a  Symantec, através do Intrusion Prevention System (IPS), alega ter bloqueado, nos últimos 3 meses,  mais de 1 milhão de tentativas de ataques a mais de 10.000 websites. Nesse post de 5 de Dezembro 2018 (que pode aceder aqui), a Symantec examina alguns aspectos técnicos do formjacking.

De notar que os hacks da BA e da Ticketmaster evidenciam uma pratica especializada com adaptação de técnicas para o website alvo do ataque, fazendo trabalho específico  no que se pode chamar de “boutique malware”.

Accountability a quanto obrigas?

Todos sabemos que a Accountability é o melhor antídoto para coimas e indemnizações, mas qual o significado de Accountablity no contexto da proteção de dados?

Durante os últimos 40 anos a proteção de dados tem introduzido uma serie de conceitos inovadores como os códigos de conduta, privacy by design, privacy-enhancing technologies, binding corporate rules, standard contratual clauses, mas o conceito de accountability é, sem dúvida, dos mais significativos.

A raiz deste movimento pró accountability encontra-se no OCDE Guidelines on the Protection of Privacy and Transborder Flows of Personal Data(1981) sendo um conceito que tem vindo a ser trabalhado revestindo-se de uma complexidade que dificulta uma definição linear.

Continue reading “Accountability a quanto obrigas?”

A accountability e as coimas


Há um enigma na sociedade portuguesa que consegue fazer indiferenciar a falha com responsabilidade demonstrada da falha proveniente da demonstrada irresponsabilidade.

Não podemos deixar que esta fuga épica à responsabilidade demonstrada (accountability), já consagrada no anedotário nacional, contamine a aplicação do RGPD. Bem bastam Entre-os-Rios, Pedrogão, Tancos e Borba, não precisamos contaminar o RGPD com este flagelo nacional.

O princípio da responsabilidade demonstrada de forma transversal e a nível nacional seria um enorme avanço civilizacional. Ainda que uma questão fraturante, traria enormes benefícios de produtividade, segurança, eficiência e eficácia. Mas, fiquemos pela accountability ao nível do RGPD.

A que se deve a desconsideração atribuída à accountability, inclusive por parte da própria Comissão Nacional de Proteção de Dados (CNPD) ? O RGPD não é suficientemente claro?

Antes de desenvolvermos o tema, mais que ter presente uma definição de accountability, importa ter presente qual o conceito que está na sua origem. A accountability é o controlo do poder e da autoridade.

A accountability é a resposta à preocupação de saber como manter o poder sob controle, como domesticá-lo, como evitar abusos, como submetê-lo a determinados procedimentos e regras de conduta. A accountability ganha centralidade porque expressa a preocupação contínua com a vigilância em relação ao exercício do poder e as consequentes restrições institucionais sobre o seu exercício.

Hoje em dia, o controlo do poder, no caso, o controlo da gestão das organizações não se limita a ver se foi cometida alguma ação inadequada, é também, ver as falhas por omissão.

Accoutability impõe que o poder se exerça de forma diligente, informada, racional e documentada. O que se procura combater é a falha por dolo, a corrupção, o erro grosseiro e a omissão descuidada. Cabe ao poder (à gestão) demonstrar que agiu de forma diligente, informada, racional e documentada num processo de “prestação de contas”.

Agora já podemos responder à pergunta se o RGPD é suficientemente claro no que respeita ao principio da accoutability. A resposta é afirmativa, a clareza do RGPD é cristalina e ninguém questiona a obrigação de se respeitar o princípio da accountability.

As alíneas b) e d) do n. 2 do artigo 83º do RGPD referem que as condições gerais para a aplicação de coimas devem considerar o carácter intencional ou negligente da infração e o grau de responsabilidade tendo em conta as medidas técnicas ou organizativas implementadas nos termos dos artigos 25º e 32º. O n. 3 do artigo 83 do RGPD limita e subordina estabelecendo que se o responsável pelo tratamento ou o subcontratante violar, intencionalmente ou por negligência, no âmbito das mesmas operações de tratamento ou de operações ligadas entre si, várias disposições do regulamento, o montante total da coima não pode exceder o montante especificado para a violação mais grave.

Vejamos, então, 3 casos que ilustram a forma como a fuga ao princípio da responsabilidade é socialmente considerada.

Continue reading “A accountability e as coimas”

Lei de dados à boleia da Web Summit

O caminho do sucesso das empresas e a possibilidade de se reorganizarem de modo frutífero não tem no RGPD uma barreira a transpor, mas antes um caminho de oportunidades a aproveitar.

Os temas da privacidade e proteção de dados surgem novamente em Portugal, desta vez através do imenso palco da Web Summit.

Na cimeira tecnológica, grandes figuras como Sir Tim Berners-Lee, o inventor da World WideWeb, salientaram a importância do tema, enaltecendo o direito à privacidade como um direito fundamental. Não deixa de ser extremamente importante que uma das maiores figuras da internet reconheça a relevância da privacidade, acrescentando ainda que o RGPD deveria servir para que mais países e gigantes tecnológicos pensassem sobre o assunto.

Em contra ciclo, o legislador português parece continuar alheado da manifesta urgência em aprovar a legislação nacional de concretização do RGPD, adiando sem justificação aparente um diploma normativo que há muito se aguarda, decorridos que estão mais de seis meses da aplicação plena do RGPD na ordem jurídica dos Estados Membros.

Continue reading “Lei de dados à boleia da Web Summit”