O conjunto normativo altera as regras da subcontratação, alerta Manuel Melo, presidente da APCiber, recentemente criada.
Manuel Melo, presidente da APCiber
Preparar a conformidade com o Novo Regulamento de Protecção de Dados é o principal desafio do tecido empresarial português, considera Manuel Melo, presidente da Associação para a Promoção da Cibersegurança e Protecção de Dados (APCiber). A organização foi criada este ano, assumindo como missão a promoção dos domínios da cibersegurança e da protecção de dados.
Pretende fazê-lo sobretudo através de informação e formação da opinião pública, além do estímulo à investigação em ciências aplicadas à cibersegurança e à protecção de dados. Auditor de segurança interna, doutorando e investigador na área da cibersegurança (incluindo ciberilicitude), Manuel Melo considera que poucas empresas estão cientes das exigências das novas normas. Nem as de TIC, enfatiza numa entrevista para o Computerworld.
Computerworld ‒ Que lugar é que a APCiber quer ocupar no espaço da cibersegurança em Portugal?
Manuel Melo ‒ A primeira ideia da associação é a promoção, com dois focos: cibersegurança e protecção de dados. Nasce de uma visão conceptual de que não há cibersegurança sem protecção de dados, este é o elemento comum a qualquer incidente.
Um dos motivos para organização surgir é termos notado uma falta de sensibilização para a cibersegurança e de formação nesta matéria. Reparamos que existem muitas associações no sector que abordam a cibersegurança e protecção de dados de uma forma que não é central para elas.
E por isso queremos desenvolver programas de sensibilização pública e de formação
CW ‒ A associação dirige-se a quem?
MM ‒ A dois grupos. Ao profissionais de cibersegurança e protecção de dados, mas também às empresas. São dois grupos que têm necessidade preocupações específicas em áreas diferentes, envolvendo códigos de conduta e certificações.
Uma coisa é certificar um profissional, outra é uma empresa, e dar formação a recursos humanos.
CW ‒ Porque surge agora?
MM ‒ Tem a ver com a emergência de uma nova galáxia normativa nesta matéria desde há seis meses. A transformação digital exige um enquadramento regulatório e necessariamente em qualquer organização os dados estão no centro. Há uma avidez nas empresas para captar dados.
Mas pouca gente já percebeu o impacto que as normativas vão ter na área da protecção de dados e cibersegurança. Há poucas semanas fizemos a primeira palestra sobre a directiva “Directiva “e-Polícia” de que pouco se falou em Portugal.
Tivemos 80 pessoas a assistir. E ainda não se debateu a directiva sobre os Passenger Name Records (PNR).
Além disso ainda poucos se aperceberam de que o regulamento vem pela primeira vez tornar como obrigação a implementação de medidas técnicas ou organizativas na segurança da informação das empresas.
CW ‒ Mas alguns responsáveis de empresas certificadas, pela norma ISO 270001, dizem que a directiva não acrescenta muito.
MM ‒ Sim, mas uma coisa é quando uma organização faz voluntariamente uma certificação para garantir a existência do negócio, dar confiança e proteger dados. E outra é serem obrigadas a isso.
É um aspecto importante porque além das perdas reputacionais e financeiras, as empresas serão penalizadas com sanções criminais e contra-ordenações. Ao lançarmos o centro de formação, apareceram muitos responsáveis de empresas de TIC a argumentarem que nem tratam dados pessoais, dizem ser uma “softwarehouse” e que os seus clientes é que vão tratar de dados.
Mas o novo regulamento acrescenta muito à norma 270001 porque doravante, as empresas com responsabilidade nas fugas de dados vão ser sancionadas. O universo das TIC vai sofrer um impacto muito grande.
Porque o regulamento vem alterar as regras da subcontratação. Define uma regra fundamental para o desenvolvimento dos sistemas, com a exigência de medidas de privacidade logo no desenho e por omissão.
CW ‒ Contudo os fabricantes já dizem que os seus produtos são assim, não é?
MM ‒ Uma coisa é dizer-se que os produtos são assim e outra é ser obrigatório. Agora existe uma norma que exige a todas as empresas a fazerem tratamento de dados que salvaguardem a privacidade por “design” e omissão.
Ao ter um cliente a fazer tratamento de dados e como a sua actividade principal não é desenvolver sistemas de informação, a responsabilidade é transferida para o produtor do software. E este é que vai ter de garantir a privacidade.
Por isso, o regulamento atinge também os operadores de serviços de cloud computing e os centros de serviços partilhados. São sub-contratados mas tem responsabilidades autónomas.
Isto tem consequências nas relações de prestação de serviços.
CW ‒ Além disso, terão de garantir a recuperação rápida de dados para comprovação dos seus esforços de conformidade.
MM ‒ Isso tem a ver com uma novidade, a “accountability” e necessidade de demonstração. Obriga as entidades a manterem um registo de transacções e operações de tratamento de dados. Isso é uma obrigação para empresas com mais de 250 trabalhadores.
Dados provenientes de um relógio de ponto biométrico, de atestados médicos, são sensíveis. Até os autos de penhora de rendimentos dos funcionários não poderão circular à vontade. Mas as organizações ainda não se aperceberam disso.
CW ‒ Há interesse da vossa parte em colaborar com que organizações?
MM ‒ Com todo o tipo de profissionais e empresas. Mas a questão pode ser importante para uma empresa, com três ou quatro trabalhadores, que trate dados, e irrelevante para aquelas com muitos trabalhadores, mas que só trata poucos dados dos recursos humanos.
CW ‒ Quantos membros é a associação tem ?
MM ‒ Cerca de 30.
CW ‒ Em que áreas é que a associação poderá evoluir?
MM ‒ Há quatro áreas estratégicas. A sensibilização de organismos públicos, responsáveis pela promoção da cibersegurança, com formações de curta,média e longa duração para colmatar falhas específicas de segurança, no âmbito das novas normas e para áreas específicas de cada sector.
A segunda é a do desenvolvimento de programas de formação especializadas para esta temática. Outra é a concepção de programas de certificação para profissionais e empresas. E a última a preparação de códigos de conduta em matéria de protecção de dados.
CW ‒ Com que corpo docente?
MM ‒ Com especialistas identificados nos centros de investigação e universidades nas várias matérias. Na área de protecção de dados há quatro ou cinco doutorandos a fazer investigação, em Portugal.
Mas o centro de investigação e desenvolvimento da Faculdade de Direito criou a unidade de investigação em protecção de dados. A ideia é requisitar. Vamos tentar garantir as pessoas mais adequadas para cada área, por exemplo, considerando o impacto operacional e regulatório do regulamento sobre os registos biométricos.
Com base num grupo de doutorandos e especialistas, criámos um centro de formação em protecção. Já tivemos cursos especializados e temos cerca de 20 cursos estruturados. Até Dezembro devemos realizar mais 20 a 25.
APCiber organiza encontro de encarregados de protecção de dados
No próximo dia 25 de Outubro, a APCiber vai organizar o seu primeiro Encontro Nacional Encarregados de Protecção de Dados e Privacidade. Para a reunião convoca responsáveis como “Data Protection Officers”, “Privacy Officers”, ou profissionais com responsabilidades partilhadas nestas matérias : juristas, delegados de conformidade, CIO, CSO, “Chief Data Officers”, entre outros.
CW ‒ Quais são os principais problemas de segurança do tecido empresarial português ?
MM ‒ Um dos principais será implantar a conformidade mínima com o novo regulamento. Eu desenvolvi um plano de acção para essa concretização. Tem duas matrizes, uma das quais serve para identificar todos os direitos dos trabalhadores.
O direito à portabilidade dos dados, por exemplo é novo e vai ter consequências de transformação organizacional. O direito ao esquecimento também terá enorme impacto.
E na vertente oposta à dos direitos haverá uma obrigação técnico-organizacional. Essa matriz envolve as obrigações específicas e duas são radicalmente inovadoras: a obrigação de notificação sobre as fugas de dado pessoais e a registo central de operações de tratamento de dados.
CW ‒ E que outros desafios antevê?
MM ‒ A matéria dos códigos de conduta vai além das normas e é uma temática “quente”. E depois são necessários 20 mil delegados de privacidade de dados na Europa para responder às exigências do regulamento. Mas não existem tantos profissionais formados e certificados para essa funções.
CW ‒ Mas não pode haver acumulação de funções?
MM ‒ Na minha perspectiva não, porque tem de haver independência para auditoria. O delegado tem de ser o garante da protecção e pode haver conflito de interesses.
Se for da área jurídica há menos.