Regulamento de protecção de dados terá forte impacto

O regulamento europeu de protecção de dados vai ter um impacto tecnológico relevante nas empresas, sobretudo nas que desenvolvem aplicações, diz a CNPD.

Joao Ribeiro_CNPD_5117

Ainda não foi publicado nem se conhece a data prevista mas João Ribeiro, da Comissão Nacional de Protecção de Dados (CNPD), já alerta para as particularidades do novo regulamento europeu de protecção de dados e privacidade. Terá grande impacto tecnológico e também na cultura das organizações quanto à matéria, explicou no 14º Security Meeting, organizado esta quinta-feira pela Shadowsec.

No primeiro caso, será mais forte nas empresas cujas equipas de TI desenvolvem aplicações, obrigando-as a pensarem logo no início do ciclo de programação nos riscos de violação das leis de protecção de dados pessoais, explica o responsável. E apesar de não se poder prever um quadro penal associado ao regulamento, este define coimas muito pesadas.

O gestor de segurança de TI do banco Montepio Geral, Daniel Caçador, comentou a propósito que a análise de risco pode não ser perfeita. Mas que, por exemplo no sector financeiro, na relação custo-benefício (das aplicações) entram factores específicos e certas medidas são obrigatórias: nenhuma entidade quer estar exposta à falta de confiança, por fuga de informações, sugeriu.

João Ribeiro chamou a atenção para o facto de as regras previstas emanarem de um regulamento e não de uma directiva. Por isso, não poderá sofrer adaptações consoante os países (como nas directivas), servindo o objectivo de homogeneização legislativa à escala europeia.

Isso deverá gerar importantes choques culturais, como aquele previsto pelo elemento da CNPD, quanto à obrigatoriedade de as empresas (com excepções) terem um delegado para a protecção de dados, quando fazem tratamento de dados pessoais. Este responsável terá de ser independente da organização, mas paga por ela.

Na Administração Pública, ainda surgem situações de desconhecimento sobre o cargo do CISO, quando as estruturas do Estado são as que mais dados pessoais gerem no país.

A situação tem um forte potencial de gerar incompatibilidades, sobretudo em culturas latinas, nas quais aquele tipo de relação é mal compreendida, comentou o especialista. O choque cultural prevê-se ainda mais pronunciado na Administração Pública.

Neste sector, há muita falta de consciencialização para a matéria, recordou Júlio Mendes, do Instituto Nacional de Estatística, em declarações durante a sessão de perguntas e respostas. Ao ponto de surgirem episódios de desconhecimento sobre o cargo de CISO numa organização, segundo o interveniente. O problema ganha maior dimensão porque as estruturas do Estado são aquelas que mais dados pessoais gerem no país.

Prazo de notificação de cliente é irrealista 

O regulamento merece algumas dúvidas por parte de João Ribeiro,  por exemplo quanto à notificação de violação da segurança de dados pessoais, onde há o problema da auto-incriminação. E o prazo de 24 horas, dado às organizações para a executarem, é irrealista face ao potencial número de pessoas a notificar.

As dificuldades são maiores se houver uma entidade sub-contratada envolvida e acaba por tornar mais prático esconder a falha, na opinião do responsável da CNPD. Na sua perspectiva, as regras previstas sugerem o alargamento do conceito de dados pessoais por via da adição da individualização à identificabilidade. Mas também restringem o mesmo na utilização da anonimização. O responsável duvida que seja realmente possível, do ponto de vista tecnológico: “como fazer é a grande questão”, diz.

O especialista mencionou ainda que as novas regras preconizam uma mudança de paradigma de intervenção das autoridades de protecção de dados. Estarão mais focadas na fiscalização e menos na notificação. No entanto, Daniel Caçador considera que a “capacidade de fiscalização e acção das entidades é uma incógnita”.




Deixe um comentário

O seu email não será publicado