Classificação da informação essencial para o “esquecimento”

A conformidade com a regra do direito ao esquecimento pode ser difícil de atingir, mas o ponto de partida é começar a classificar a informação.

MRCW

A velha sigla da gestão do ciclo de vida da informação, ILM, de “Information Lifecycle Management”, parece ganhar nova vida e destaque com o novo regulamento europeu.

Se respeitar a regra associada ao direito ao esquecimento parece uma tarefa assombrosa nas PME, a classificação da informação desperta como ponto de partida, se não tranquilizador.

(O presente artigo pertence a um conjunto de seis, que reflectem um debate organizado pelo Computerworld, sobre o novo regulamento geral europeu de protecção de dados e desafios associados à sua adopção por parte das empresas portuguesas).

Computerworld Qual é a sua visão sobre o tema  ponto de vista, Carlos Barbero?

Carlos Barbero_NetIQ_MesRedCompWor_081JEC

Carlos Barbero

Carlos Barbero (NetIQ) – Chamou-me a atenção o ponto da legislação sobre o direito a ser esquecido. Como é que uma banco, por exemplo, consegue eliminar os meus dados de todos os seus sistemas? É possível fazer isso? Os nomes e dados estão já em tantos sítios, como se conseguirá eliminar?

Miguel Jacinto (BIC) – Depende, aqui eu acho que depende da arquitectura de armazenamento dos dados dentro de um banco. Este normalmente tem um sistema central onde os dados dos clientes são armazenados.

As aplicações ‘core’ do negócio, assim como as distribuídas vão, na sua generalidade, beber a esses dados. Portanto, o direito ao esquecimento não será uma questão muito crítica.

Mas é preciso  inventariar-se todos os processos e classificar os dados, as políticas de classificação de informação são críticas neste tema. Até a própria definição do que são dados pessoais.

CW – Quando se refere a classificação, quer dizer Information Lifecycle Management (ILM)?

Miguel Jacinto – Sim, há informação que é do domínio público, por exemplo as campanhas de marketing, e há outra do domínio interno. Depois depende de quantos graus de classificação é que se tem, até ao ‘muito secreto’, entre outros.

Depende também do que as organizações entendem do valor crítico dos seus dados. Não me parece que seja um tema muito crítico, desde que a organização tenha um caminho feito e tenha um processo de organização e de classificação de informação.

CW – Numa PME se calhar já é mais complicado…

Miguel Jacinto – Ou na administração pública…

Carlos Barbero – Quando falei desse ponto referi-me à banca porque pensei, uma pessoa pode querer desaparecer dos sistemas, mas as organizações têm uma norma que as obriga a manter os dado durante determinado tempo. Que lei terá prioridade? Não está claro.

Miguel Jacinto_MesRedCompWor_068JEC

Miguel Jacinto

João Stott (Timwe) – Não, parece-me já tratado, esse tema.

Tolentino Martins (NAV) – Sim, eu presumo que este direito ao esquecimento vai ser uma coisa relativamente controlada e com algum suporte jurídico – não estou a ver doutra maneira – de forçar a fazer isso.

Ricardo Martins (Universidade de Aveiro)  – Do que eu li sobre isso, a lei permite de facto, apagar os dados desde que eles já não sejam usados, ou adequados, à finalidade para que foram recolhidos. Na administração pública, isso é claro.

Não podem apagar os dados se forem essenciais aos objectivos iniciais da própria administração, e podem ser apagados todos aqueles acessórios.

Tolentino Martins – E quem determina em última instância?

Ricardo Martins – Acho que aí é que não há clareza. A classificação é provavelmente o ponto principal. O que são dados de elevado risco ou de baixo risco? Estão classificados como confidenciais?

CW – Há uma zona cinzenta neste ponto?

Miguel Jacinto – Na própria classificação dos dados está implícito também quem é que dentro da organização tem acesso ao diferentes tipos de dados. Impera o princípio do ‘need-to-know’, não é?

Tolentino Martins – O princípio do ‘need-to-know’ é correcto quando estamos a falar de níveis de segurança da informação. Aquele que surgiu pelo menos nalguns meios mais recentes, como naqueles de combate ao cibercrime, foi o ‘need-to-share’, um conceito um bocadinho contrário ao ‘need-to-know’.

Implica que a informação esteja classificada e uma rede de confiança, entre os parceiros de partilha da informação. A classificação da informação deve ser objecto de definição na política de segurança de informação da empresa.

Tolentino Martins_NAV_ MesRedCompWor_007JEC

Tolentino Martins

É por aí que temos que começar.

CW – Isso também tem que ser explicitado aos clientes?

João Stott – Primeiro, entre o pessoal interno.

Tolentino Martins – Talvez se consiga passar ideia para fora [para os clientes]. Mas enquanto a casa não estiver arrumada acho difícil.

João Rato – Agora há um prazo.

Tolentino Martins – Não resolve o problema.

Ricardo Martins (Universidade de Aveiro) – A questão é mais do que interna. Podemos fazer as nossas definições internas, mas não nos podemos sobrepor à lei nem àquilo que vier a ser definido externamente. E essa é uma definição, de facto, acho que neste momento está cinzenta.

Tolentino Martins – Começar  internamente é a única maneira de nós percebermos com o que é que estamos a lidar.

Ricardo Martins – Mas há de facto aí um risco grande de não ter termos definições atempadas, uniformes, no que diz respeito a essa interpretação.

Tolentino Martins – É sempre melhor termos alguma definição do que não termos nenhuma.

João Rato – No sector da aviação, com a introdução da obrigatoriedade de armazenamento  de quem viaja (Passenger Name Records)  temos aí um ponto importantíssimo. Então, onde é que vai estar o direito ao esquecimento? Haverá muitos dados a serem trocados?

Ricardo Martins_UAMesRedCompWor_021JEC

Ricardo Martins

CW – Mas em termos de armazenamento e regras de armazenamento e de retenção de dados, isso está muito definido, não é?

Tolentino – Acho que isto está tudo muito definido na ISO 27001. O problema é que ninguém está a aplicar.

João Rato ‒ E porque é que não se aplica?

Ricardo Martins – Por não ter força de lei. A segurança tem sempre um problema que é implicar uma quantidade grande de subjectividade. A imagem é na realidade um problema, mas o que é ela efectivamente? Quanto vale a imagem, mesmo?

Tivemos governos em que o primeiro objectivo era disponibilizar serviços. A segurança era o último problema. E é difícil fazer implementar e ver os custos porque isto efectivamente vai ter custos avultados.

O texto prossegue no artigo “Saber do risco e impor requisitos

 




Deixe um comentário

O seu email não será publicado