Grande parte das organizações não estará alerta para a medida, mas já se questiona se não haverá um efeito de desresponsabilização.
Tolentino Martins, responsável da NAV, e Ricardo Martins, da Universidade de Aveiro, assumiram duas posições contrárias sobre o resultado esperado da obrigatoriedade de muitas empresas terem de nomear um responsável, com funções de delegado de privacidade. O primeiro defendeu que pode haver um efeito de desresponsabilização de outros executivos, na primeira de cinco partes de um debate sobre o novo regulamento geral europeu de protecção de dados.
(O presente artigo pertence a um conjunto de seis, que reflectem um debate organizado pelo Computerworld, sobre o novo regulamento geral europeu de protecção de dados e desafios associados à sua adopção por parte das empresas portuguesas).
Computerworld – Que prioridade tem o novo regulamento europeu e protecção de dados na agenda das empresas ou na organização onde trabalha?
Tolentino Martins
Tolentino Martins (NAV) ‒ Talvez esteja muito na moda, agora com a cibersegurança, mas não é novo. Na área onde eu trabalho existe há uma série de anos regulamentação específica nesse sentido.
A premência é maior porque também surgiu agora o regulamento. A prioridade é alta porque cada vez mais, a informação é negócio. Perder informação é perder o negócio.
CW – Mas isso já se sente na realidade?
Tolentino Martins – Não se sente e muitas vezes percebe-se da forma errada. A generalidade das empresas olham ainda para a segurança da informação como a da rede, que é apenas uma pequena parte. E param muitas vezes aí.
CW – Como as empresas portuguesas tendem ou podem resolver o desafio da incorporação de um delegado de privacidade ou “Privacy Officer”?
Tolentino Martins – A [norma] ISO 27.000 já diz que deverá haver uma pessoa responsável pela segurança de informação da empresa. E aliás, eu não sei se isto [delegado de privacidade] não é um passo atrás.
Porque, a ISO 27000 diz que o responsável é o presidente da empresa, e é única pessoa que é possível responsabilizar. Assim consegue fazer com que nas organizações se implantem as coisas, porque de outra maneira não funciona, diz a minha experiência.
Não sei se o ‘Digital Officer’ não é um recuo, no sentido de desresponsabilizar o presidente da administração, embora o âmbito seja o dos dados pessoais.
CW – Implica alguma perda de poder, da pessoa que é responsável por esses dados, ou não há esse risco?
Tolentino Martins – Não creio. Mas há uma desresponsabilização, entre aspas, do presidente da empresa, embora ele já delegasse no CIO ou no CISO.
CW – Miguel Jacinto, no sector financeiro, como é que as organizações estão a ver isto? Não é uma coisa para a qual estão mal preparadas, pois não?
Miguel Jacinto (BIC) – Penso que logo a seguir ao capital, e falo da banca, a informação é o activo mais crítico. Portanto obviamente que é um caminho que temos feito já há algum tempo, temos essa preocupação.
CW – A obrigação de ter um oficial ou delegado de privacidade terá um impacto muito transformador na vossa organização?
Miguel Jacinto – Não, até porque havendo já um CISO, o assunto da privacidade dos dados pessoais, não é para nós grande questão. Não tem a ver com esta legislação, a banca está obrigada a uma série de deveres de sigilo e de confidencialidade, e reporta a uma série de entidades.
Obviamente por questões de responsabilização, e há um trabalho já feito há algum tempo, a comissão executiva terá de se pronunciar e dizer que essa função do ‘Data Privacy Officer’ será desempenhada pela mesma pessoa. Para já, o trabalho tem sido feito por mim.
CW – Qual é a tendência no sector? É ser sempre o CISO e CSO?
Miguel Jacinto – Poderá ser, uma vez que já acumula algum ‘know-how’ e já tem alguma responsabilidade dentro dessa área. Os CISO ou os CSO têm obviamente um ‘empowerment’ grande porque são nomeados pela administração e respondem ao CEO.
Em última análise, e as políticas de segurança de informação dizem isso, que o CEO e o conselho de administração são os responsáveis máximos por aquilo que acontece na empresa. Mas obviamente, no âmbito dessas políticas, a responsabilidade depois é delegada num CISO ou CSO.
CW – No seu caso, sente a necessidade de fazer formação de âmbito jurídico, de preparação para esta função (como alguns consultores recomendam)? Ou será prescindível?
Miguel Jacinto
Miguel Jacinto – A formação nunca faz mal. Mas não é necessário termos um conhecimento técnico específico, porque os bancos têm já os gabinetes específicos de ‘compliance’, de assessoria jurídica, etc ‒ cujos pareceres são recolhidos pelos CISO. Obviamente que ajuda termos um conhecimento abrangente sobre o tema, até porque ele é moda, e as áreas jurídicas e de ‘compliance’ estão mais preocupadas com os temas mais quotidianos.
Eu já antecipei o tema desde que ele começou a ser tratado [pela Comissão Europeia]. Nós já caminhámos muito, desde há um ano, com conhecimento sobre a legislação, as alterações e os seus impactos na nossa organização. A área de ‘compliance’ e a área jurídica só se vão preocupar com isso a partir do momento em que a lei for publicada no jornal da União Europeia.
Tolentino Martins – Principalmente por causa das multas.
Miguel Jacinto – Claro, isso é o que vai empurrar o tema com mais força, porque até agora nós sabemos que a segurança de informação acaba por ser um tema um bocadinho esotérico. O comum dos mortais não percebe que o roubo de informação por um ‘hacker’ é muito mais crítico, do que um subtracção do dinheiro do cofre (porque este dinheiro até está no seguro).
CW – Na abordagem ao regulamento, há o risco de a equipa jurídica tratar o assunto de forma separada do departamento de TI, ou do departamento do CSO. Isto é uma falsa questão ou pode ter impacto relevante?
Miguel Jacinto – É uma falsa questão. Estes temas são transversais e podem ter um impacto material muito grande.
Os bancos, até no âmbito dos ‘assessments’ de risco que fazem, precisam de ter uma abordagem muito profissional, porque o risco impacta directamente nas necessidades de capital da organização. Quando estes temas se colocam são criados grupos de trabalho onde estão responsáveis das diversas áreas.
CW – Então, neste caso é essencial criar um grupo de trabalho focado na matéria.
Miguel Jacinto – Claro.
Ricardo Martins (Universidade de Aveiro) – De uma forma transversal, esta questão [protecção de dados pessoais] não é uma preocupação recente no contexto geral das universidades. Têm milhares de utilizadores em regra e precisam de cumprir uma série de regulamentações, mesmo como banca, mas eu diria que estamos piores. Porque não temos o caminho todo feito. Mas provavelmente na Administração Pública seremos dos que mais preocupações terão com a privacidade.
CW – Se não estava nas principais prioridades da agenda da organização, agora deve estar…
Ricardo Martins
Ricardo Martins – Sempre foi prioridade, mas as preocupações mudaram ao longo do tempo, com os avanços tecnológicos. Foram mudando a partir daquilo que era a rede, e a firewall, o perímetro, para a protecção de outros activos e em particular da informação. E agora só dois anos para implementar o regulamento.
CW – Mas o delegado de privacidade tem de ser instituído daqui cerca de 12 meses, não é?
Ricardo Martins – E as entidades públicas têm do fazer. Nas empresas, depende da dimensão. Poderão não ter que nomear.
Mas o delegado permitirá ter de uma forma mais assertiva alguém a cuidar desta área em particular. No limite, os reitores são o responsável máximo nas universidades, pelas eventuais falhas de segurança.
Do ponto de vista técnico e da capacidade para executar, nunca terá essa preocupação na ordem do dia. E o delegado será uma vantagem para as instituições de uma forma genérica.
CW ‒ E que maturidade existe nas segurança da informação das universidades?
Ricardo Martins ‒ Como outras instituições do ensino superior, eu e o meu colega, o António [Rio Costa], temos um projecto em consórcio com universidades do Norte e do Centro do país. Reúne seis universidades, ou instituições de ensino superior, Universidade de Aveiro, Universidade do Porto, Politécnico do Porto, Universidade de Coimbra, a Universidade de Trás-os-Montes e Aalto Douro, e a Universidade da Beira Interior, na área da cooperação e interoperacionalidade de dados. Estamos a falar de dados administrativos.
As universidade tratam basicamente dois tipos de dados: administrativos, aqueles de suporte à actividade e depois os de investigação. E para estes, o regulamento não é muito claro até por deixar para os Estados a definição do grau crítico da informação. Isso não está feito [em Portugal].
Há até um alerta da administração das universidades europeias nesse sentido, da falta de regulamentação específica transversal que possa impedir a cooperação à escala europeia de uma forma mais clara no que diz respeito à investigação.
Mas na área administrativa, que é aquela onde de facto estamos a fazer estes projectos de cooperação, começámos efectivamente pela interoperabilidade de dados. Portanto, pela partilha de dados associada aos cursos conjuntos que as universidades têm.
Os dados até agora eram partilhados “manualmente” [sem automatismos de TIC] . Portanto o projecto anterior teve um objectivo que foi, tornar esta interoperabilidade automática, dinâmica e online.
CW ‒ E aí existe um desafio de privacidade.
Ricardo Martins ‒ Na prática estamos a trocar dados privados e portanto, este segundo projecto, ou esta segunda fase do consórcio, tem exactamente a duração da implementação do regulamento. Começou em Março e vai terminar daqui a dois anos, em Março de 2018.
Tem um foco grande na componente de segurança, nos mecanismos aos quais vamos estar obrigados pela própria regulamentação para detectar e comunicar depois outras falhas de segurança. Mas desde o início do projecto há o objectivo de estas instituições passarem a implementar, nesta componente, mas de uma forma abrangente, o regulamento.
António R. Costa (Universidade de Trás-os-Montes e Alto Douro) ‒ O consórcio é muito inovador. Revela a preocupação de partilhar dados entre instituições de ensino superior, e de uma perspectiva colaborativa e cooperativa entre todos de maneira a alavancar o conhecimento do conjunto, essencialmente, dos alunos, que são os clientes.
Apresenta preocupações de segurança que não são abordadas neste tipo de projectos e destaca um terceiro factor, o espírito de partilha de conhecimento. Na Universidade de Trás-os-Montes e Alto Douro (UTAD) vejo claramente este modelo de consórcio, modelo de trabalho em equipa como modelo de “alavancar”. A regulamentação só nos vem ajudar neste processo dos dados administrativos.
Tolentino Martins – Eu gostava só de referir que a nova regulamentação é uma “actualização” de uma anterior directiva comunitária, que foi transcrita para Portugal para a Lei de Protecção de Dados Pessoais (LPDP).
Ricardo Martins – Pois, há é obrigações novas, com penalidades que obrigam a olhar para esta regulamentação de uma forma diferente.
O texto prossegue no artigo: “Conformidade por vontade ou contrato”