O Regulamento Geral de Proteção de Dados (RGPD) entra em vigor a 25 de Maio de 2018, com o intuito de tornar as leis da União Europeia (UE) mais homogéneas, em termos do tratamento e processamento de dados dos cidadãos. Mas as novas normas repercutem-se em todo o mundo, já que mesmo as empresas de fora da UE terão que respeitar o RGPD, desde que lidem com dados de cidadãos europeus.
Este artigo não visa abordar regra por regra do regulamento, mas tem o objetivo de apresentar uma visão do estado da informação antes e depois do RGPD (informação mais detalhada sobre o regulamento aqui).
O Antes
A Internet começou a alcançar a maioria da população já nos anos 90. O seu crescimento a larga escala levou a uma partilha de informação massiva e inicialmente descontrolada, os utilizadores não tinham regras, nem sabiam qual seria a dimensão daquela rede e o impacto que isso poderia vir a ter mais tarde. Ao longo dos anos foi partilhada para a rede informação sensível, surgiram também os primeiros web-sites, sistemas online, p.ex., de e-commerce, e-banking, entre outros, em geral, a Internet começava por se tornar o maior canal de partilha de informação sem fronteiras.
Com o evoluir e amadurecimento da tecnologia começaram também os problemas de segurança em vários planos. Dois desses planos, e que podem aqui ser enumerados, são o da segurança e design de aplicações e websites e também da não consciencialização dos utilizadores no que à partilha de informação diz respeito. Tal como no ínicio, ainda hoje não existe uma regulamentação que proteja os dados dos cidadãos. Tornou-se viral hoje em dia falar em comprometimento de informação , p.ex., fugas de informação do linkedin, uber, equifax, são muitos os casos ao longo dos últimos anos.
Este tipo de fuga de dados normalmente é disseminada por diversos canais na Internet, e essa informação fica disponível durante anos.
Já tentou escrever o seu nome por extenso no Google?
É normal encontrar pautas da faculdade, editais de concursos públicos, informação extremamente sensível que provavelmente foi leaked de alguma plataforma onde se tenha registado ou com ela interagido.
Foi-lhe comunicado que essa informação foi comprometida e disseminada na Internet? Ou até disseminada porque o sistema não protege a privacidade da informação dos utilizadores?
Provavelmente, não.
Podiam descrever-se milhentos exemplos de como a informação está mal estruturada na maioria dos sistemas e que levam a estas pequenas catástrofes digitais, fruto de uma regulamentação fraca, e quase inexistente nestes últimos anos.
Mas o RGPD irá resolver isso?
O Depois
O RGPD não irá, de facto, resolver a curto prazo o problema da falta de políticas de proteção de dados, nem impedir que informação associada aos indívidos “desapareça” por si só das pesquisas na Internet. O RGPD tem como um dos objetivos “iniciar um novo ciclo“. Um ciclo onde a proteção das informações dos cidadãos passará a ser uma preocupação obrigatória pelos provedores de serviço.
Este regulamento trará várias implicações, nomeadamente:
- Os sistemas terão que ser pensados desde o seu início e desenhados conforme aquilo que são as normas do regulamento – privacy by design;
- Os cidadãos terão que ser informados sobre qualquer comprometimento de dado pessoal até no máximo 72h depois do incidente;
- O cidadão tem o direito do “esquecimento”, isto é, exigir ao provedor de serviço que todas a informação a ele associada seja totalmente eliminada do sistema.
Mais ainda, os provedores de serviço, grandes, médias e até pequenas empresas, devem eleger um Data Protection Officer (DPO), isto é, um encarregado de proteção dos dados.
O DPO terá como principais tarefas a monitorização da conformidade com o RGPD, a metodologia e quando realizar DPIA, a cooperação com o regulador, o acompanhamento do risco associado às operações de processamento de dados e o garantir do registo das evidências necessárias para demonstrar a conformidade junto do regulador.
O RGPD pode não resolver os problemas com a informação dos cidadãos dos anos passados, mas marcará um novo ciclo, um caminho que vai ser seguido rigorosamente e que visa salvaguardar de uma forma mais rígida, tudo aquilo o que são dados pessoais dos utilizadores.
Os nossos dados pessoais são a nossa identidade. Devemos ser nós a escolher que informação deve ser partilhada, e com quem a vamos partilhar.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.