Conformidade por vontade ou em contrato

Grande parte PME não devem escapar a uma vaga “em cascata” de maior exigência, formalismo e penalizações, na segurança e privacidade.

MRCW

Há zonas cinzentas no novo regulamento de protecção de dados. Mas tendo como referência o que acontece com a norma ISO 27001, o processo de conformidade pode evoluir auxiliado pela necessidade de desenvolver negócio num tecido empresarial com exigências acrescidas.

Apesar de tudo a evolução não se perspectiva linear, nem fácil para as PME. As novas regras são uma valente chamada de atenção, para um ponto das cadeias de valor, tradicionalmente mais fraco.

(O presente artigo pertence a um conjunto de seis, que reflectem um debate organizado pelo Computerworld, sobre o novo regulamento geral europeu de protecção de dados e desafios associados à sua adopção por parte das empresas portuguesas).

Computerworld – Entre as novidades do regulamento, o que tem mais impacto?

Ricardo Martins_UAMesRedCompWor_078JEC

Ricardo Martins

Ricardo Martins (Universidade de Aveiro) – É trazer um formalismo efectivo à implementação da segurança nas instituições de uma forma geral, transversal. E as multas também têm o seu impacto. Mas o que não é objectivo é a implementação de mecanismos de protecção da privacidade dos dados, sendo estes usados de forma abusiva (apesar das directivas). O regulamento coloca toda a ênfase no dono dos dados, o qual fica com autoridade efectiva sobre os dados.

CW ‒ E tem responsabilidade.

Ricardo Martins ‒ Efectivamente. Mas o dono dos dados, o indivíduo que pode pedir para os apagar, para os alterar, tem o direito de saber em qualquer momento quais os existentes, para que efeito e como estão a ser tratados. Talvez seja a grande mudança na forma como olhamos para o assunto. Na verdade, a preocupação sempre existiu mas provavelmente as pessoas não estão sensibilizadas.

CW – Para as PME o novo regulamento tende a ser um assunto muito ou pouco preocupante?

Ricardo Martins – Muito preocupante. Nós, nas universidades, temos dimensão, capacidade técnica e jurídica, sendo esta dos aspectos principais. Há uma perspectiva técnica e portanto a necessidade de uma interpretação jurídica do que são as duzentas e tal páginas do regulamento.
É necessário ver o que é que o Estado ainda vai fazer relativamente àquilo que pode definir, e pode ser mais concreto

CW – Só em relação ao regulamento ou além disso?

Ricardo Martins – Há aspectos da regulamentação, por exemplo o grau crítico dos dados que não está regulada, e portanto, vai caber à lei nacional fazer essas definições. Se não o fizer, não sei exactamente qual é o mecanismo que será usado para fazer essa definição.

CW– O João Rato (Microfocus) está ali cheio de vontade de falar sobre as PME… (risos)

João Rato (Microfocus) – Mais do que as multas e eu penso que o grande impacto vai estar ligado à imagem das empresas. Haver uma notícia a dizer que um banco não está conforme a norma, será muito relevante.

CW – Aí entra aquela obrigação de se revelar ou de notificar as autoridades sobre a fuga de dados, intrusões, entre outros problemas. 

Tolentino Martins (NAV) – Já existe a notificação ao Centro Nacional de Cibersegurança, obrigatória também.

João Rato – Sim, mas quando a imprensa começa a divulgar esses casos… há outro impacto.

António Rio Costa_UTAD-MesRedCompWor_073JEC

António Rio Costa

António R. Costa (Universidade de Trás-os-Montes e Alto Douro) – O regulamento é uma ‘wake-up call’. É: “vamos acordar, porque a informação a partir de agora é dinheiro”. Sempre foi, mas as pessoas não se apercebiam. O corpo mais técnico das instituições, pelo menos das academias, sempre viu isto. A equipa administrativa tem a perspectiva “tempo é dinheiro”, não há preocupações de segurança.

A partir do momento em que as instituições têm um plano de Disaster Recovery, um plano de segurança da rede, um plano de firewall, ou seja de perímetro, há segurança de informação e para instituição. É isto que tipicamente as administrações e que as PME também pensam.

Agora aperceberam-se de que a informação não tem só a ver com essa vertente, mas também com outras muito mais críticas. Eu não me vejo a ir agora a uma empresa de mudança de pneus e a sequer exigir o esquecimento dos dados de factura.

CW – O direito do esquecimento ou apagamento vai ter um impacto muito relevante?

António R. Costa – Nas academias haverá outro problema, ligado à questão das duplas iniciativas. Tem a ver com os dados científicos, dados de colaboração científica.

Outra preocupação é termos uma iniciativa europeia e mundial de dados abertos, “Open Data”: não sei até que ponto é que não há aqui um conflito.

As pessoas podem partilhar dados livremente relativamente no âmbito das instituições. Mas há o problema do ‘authoring’ [da autoria], ligada a essas situações, por se ter de dar o mérito a quem faz investigação e às instituições que os suportam.

Existem questões da lei e da investigação que levam a estas situações e eu não sei como é que isso vai evoluir.

CW – E numa Europa que tenciona promover as suas ‘start-ups’ e um ecossistema de inovação, é preciso considerar isso…

António R. Costa – Sim vemos iniciativas de “Open Gov” com modelos de “data sets” abertos. O que vão incluir os dados biológicos para investigação? Há aí um problema grave para resolver.

Ricardo Martins – O regulamento, desse ponto de vista, deixa aberta a possibilidade de partilha, ainda assim, com as restrições necessárias para manter a privacidade. O problema vai ser a interpretação sobre isso.

Não há uma interpretação clara, é generalista. Portanto, numa entidade, a privacidade terá um limite, e para outra, haverá outro. Se houver uma transposição para regulamentações por país, de facto isso pode acontecer. Um país pode entender que estes dados são sensíveis o suficiente e não podem sair do território, não podem ser alvo de um projecto de cooperação e investigação.

João Rato_Micro Focus_MesRedCompWor_071JEC

João Rato

João Rato – Este regulamento diz respeito aos dados pessoais. Aquilo que está na lei portuguesade protecção de dados pessoais, e se mantém no regulamento, é que a pessoa, quando cede os dados, tem de ser informada sobre a finalidade da recolha dos mesmos quem lhes vai ter acesso.

Portanto, salvaguardado esse requisito, a partilha de informação será menos crítica, não é?

Ricardo Martins – A regulamentação tal como está, parece-me que, se houver bom senso, não levanta qualquer problema [nessa área]. Pode é não haver bom senso suficiente.

Tolentino Martins – Há uma zona cinzenta complicada, a fronteira entre o que são e não são os dados pessoais. Essa é que a questão porque o número de telefone é uma coisa, um número de telefone com nome, já é outra. E um número de telefone com o nome, a localização e o tempo, é outra ainda.

Ricardo Martins – Vai ser necessário um trabalho grande de sensibilização. Se quisermos levar isto de uma forma séria, precisamos de ter em conta que não fazemos a mínima ideia de onde é que são guardados os dados de localização GPS dos nossos telemóveis, quando circulamos.

Tolentino Martins – O que fazem os operadores aos dados obtidos das estações-base?

Ricardo Martins – E se olharmos para os fabricantes, nós temos uma conta com eles, podemos instalar as ‘apps’, e depois uma série delas pede-nos, para funcionarem, acesso à dados de localização…

João Rato – É um “Big Brother”!

Ricardo Martins – Sim, é a responsabilização por carregarmos num botão e concordarmos. É fácil obter, portanto, queremos usar. Mas depois esquecemo-nos do que vai acontecer a esta informação. E neste momento acho que não há o mínimo de controlo sobre ela, absolutamente nenhum.

CW – O João Stott (Timwe) está bem preparado para falar de dados e telecomunicações. Quais são as questões que acha mais prementes hoje em dia, no regulamento ?

João Stott – Eu concordo bastante com o Tolentino e o Miguel: isto [a ideia do regulamento] não é novo. As administrações entendem a segurança de informação a apenas como segurança de redes e isso é cada vez mais intrínseco nas organizações.

Eu vim da banca para a Timwe, onde pelo terceiro ano temos vertificação ISO 27001. Temos controlo e auditorias internas e externas, cuja efectividade temos de assegurar. As novas multas se calhar são o que tem chamados mais a atenção, devido à visibilidade na comunicação social.

E acho que fizeram acordar certas pessoas das administrações. Mas é um assunto que teve sempre de ser levantado. E acho que um CSO, ou um CISO, vai obviamente alavancar esse controlo, neste caso, essas restrições.

CW – Com ou sem formação jurídica? Acha que é preciso?

João Stott – Não acho necessária, a banca usualmente não precisa. Venho de uma instituição que não tinha esta certificação, ela advém de uma necessidade de aumento do negócio. Muitas vezes para se entrar em certas instituições, que não nos conhecem de lado nenhum, é preciso mostrar algum tipo de comprovativo, segundo o qual de facto temos algumas normas, regras internas e externas. Para se poder ter algum tipo de impacto reputacional, para ganhar os seus projectos.

CW – Esta uniformização que se está a tentar fazer é importante na internacionalização das empresas portuguesas? Até que ponto?

João Stott_MesRedCompWor_040JEC

João Stott

João Stott – Nós temos dados transferidos aqui para Portugal e a partir do momento em que entram… Eu como CSO qualquer dúvida que eu tenha vou o meu o departamento legal. Isso é que é sempre importantíssimo.

Tenho sempre duas áreas de trabalho, diariamente: recursos humanos e legal, não vivo sem eles. Porque a a empresa ainda não ganhou obviamente a dimensão para ter uma área de ‘compliance’.

Existe agora outra ‘awareness’ por parte da gestão mas concordo que de facto parece existir alguma desresponsabilização, embora o último ‘accountable’ [o responsável] pela instituição seja o CEO.

Tolentino Martins – Mas isso não está claro. Nem vai estar claro em muitos sítios.

Miguel Jacinto – Depende de como é que os projectos nascem nestas organizações. Na banca, estes projectos, até por causa da multa e pelo impacto que isso pode ter na recepção de capital, estes sistemas têm um patrocínio muito forte, e as administrações estão muito despertas para esta realidade.

Até porque, a banca padece aqui de algum excesso de regulamentação e de entidades a quem tem de reportar tudo e mais alguma coisa.

CW – João Stott, como é que acha que uma PME pode resolver este desafio de nomear ou incorporar um advogado? Como é o tema vai evoluir nesse teciso empresarial?

João Stott – Qualquer entidade (como a TIMWE) que efectue negócios com grandes operadoras, elas serão as primeiras interessadas a transferir o risco e a forçar o cumprimento do regulamento. E nós obviamente temos fornecedores e iremos fazer o mesmo e vamos transferir o risco para o lado deles. Por isso, será toda a cadeia incumbida, de forma a cumprir com este regulamento.

Já fazemos isso com o ISO 27001. Avisamos que temos cláusulas, importantíssimas para nós, exigimos que tenham auditorias independentes ou questionamos como nos garantem controlo efectivo do lado deles. No limite, temos que ir lá auditar os nossos fornecedores para perceber como estão os controlos.

CW – Está tudo em encadeado, não é?

João Stott – Tem de ser.

Tolentino Martins – Eu não diria em cadeia, mas diria cooperativamente.

João Rato ‒ E contratualmente, também.

O texto prossegue com o artigo “Classificação da informação essencial para o ‘esquecimento’”




Deixe um comentário

O seu email não será publicado