Num mundo cada vez mais digital, o acesso aos dados pessoais atingiu uma escala sem precedentes. Em paralelo, as ameaças à segurança online nunca foram tão grandes, como o provam os recentes ciberataques à escala global. São desafios a que o novo Regulamento Geral de Proteção de Dados europeu, que entra em vigor em maio de 2018, pretende dar resposta. Mas esta não será uma tarefa fácil, pois impõe às empresas uma verdadeira mudança de paradigma. Acresce que se o conceito de segurança é universal, o da proteção de dados não. Mesmo na Europa, que continua a ser muito conservadora em matéria de proteção de dados.
Na segunda edição do "APDC Digital Business Movies co-produced by NOS", um novo formato de eventos onde se debatem temas ligados à tecnologia e o seu impacto na sociedade e na economia, analisou-se a segurança e a privacidade e proteção de dados no online. E foi visionado o filme "O Círculo", um conto moral para os tempos modernos, sobre os limites do conhecimento e a liberdade e privacidade individuais, que fornece uma desconcertante visão de um futuro onde tudo o que fazemos é exposto e controlado, incluindo a privacidade, os segredos e a vida.
O debate foi moderado por Ana Marcela, jornalista do Dinheiro Vivo, e contou com a participação de Magda Cocco, Sócia da VdA - Vieira de Almeida & Associados, e de Sandra Ferreira, Chief Technology Officer da Microsoft Portugal. Questionada sobre os recentes ciberataques de larga escala, Sandra Ferreira defende que podem ser facilmente evitados ou mitigados pelas empresas. Desde que estas façam das atualizações de segurança uma prioridade.
"Temos que garantir que estamos um passo à frente na proteção dos bens que nos são essenciais. O que significa garantir que, quando sai uma atualização de segurança, a máxima prioridade terá que ser a sua implementação. Quando um fornecedor coloca uma atualização se segurança no mercado, é porque descobriu uma vulnerabilidade, uma brecha, que é preciso colmatar o mais rápido possível. O WannaCry e, mais recentemente, o Petya, são exemplos de exploração de brechas, que com a atualização atempada de updates de segurança teriam sido evitadas ou minimizadas", garante.
A aposta crescente das empresas no alojamento dos seus dados na cloud não representa qualquer aumento do risco para esta responsável. "A cloud não é mais do que passar a aceder à tecnologia de outra forma", diz, explicando que as empresas ao invés de terem grandes centros de dados próprios, o que obriga a elevados investimentos, estão a optar cada vez mais pelo alojamento nos fornecedores, desde que estes tenham os mesmos níveis de confiança em termos de segurança, privacidade e salvaguarda dos dados.
Sandra Ferreira acredita mesmo que a "cloud é o futuro, porque tem um conjunto de benefícios que favorecem a evolução digital e permite aumentar a segurança da tecnologia. É que a capacidade de massivamente detetar e prevenir ataques é muito maior e mais rápida, garante.
EUROPA RESPONDE AOS DESAFIOS
O novo Regulamento Geral de Proteção de Dados, que entra em vigor em maio de 2018, é um passo de Bruxelas para responder aos desafios na segurança e na proteção de dados no espaço europeu, explica Magda Cocco. O regulamento resultou não só da necessidade de uniformizar a legislação no espaço comunitário e garantir a segurança digital como também da tentativa de aumentar a confiança dos utilizadores no online.
"A Comissão Europeia (CE) começou a perceber que os Estados Unidos tinham um elevado nível de competitividade em termos digitais, em comparação com a Europa. Um dos motivos dos cidadãos europeus não fazerem compras online e utilizarem os meios digitais tem sido justamente a falta de segurança nos sistemas", diz, adiantando que o regulamento é uma das peças de um pacote mais amplo para "garantir a segurança e incrementar o negócio e a economia digital na Europa".
Com ele, passará a ser obrigatório que as empresas notifiquem as autoridades competentes de todos os incidentes relacionados com dados pessoais. O que as obrigará a ter "um enfoque muito maior na segurança" porque não querem ficar expostas às elevadas multas que passam a ser impostas em caso de incumprimento - até 4% do volume de receitas globais anuais - e para evitar os custos reputacionais.
Já quanto ao reforço de direitos para os cidadãos, as novas regras não alteram muito o que já existe atualmente em termos legislativos na Europa, como o consentimento na utilização dos dados pelas entidades que a eles têm acesso ou o direito ao esquecimento. Vem, no entanto, "densificar as obrigações de informação aos cidadãos" e introduzir uma novidade: a portabilidade dos dados. Magda Cocco exemplifica com a abertura de uma conta bancária num novo banco, em que o cliente, ao invés de fornecer toda a informação, poderá com a entrada em vigor das regras, pedir ao seu banco anterior que porte os seus dados.
Mas, "à data de hoje, não é razoável pensarmos na portabilidade dos nossos dados pessoais com a facilidade com que portamos um número de telemóvel", adverte Sandra Ferreira. Há todo um conjunto de regras que se terão que definir, assim como muitas mudanças de sistemas que terão que se realizar, sendo um processo tecnicamente muito complicado. "Em que medida é que vamos conseguir esta portabilidade e até que ponto vai ser conseguida, ainda estamos para ver", acrescenta.
Só a aplicabilidade do novo regulamento já será de enorme complexidade, tanto ao nível da resposta a auditorias como no registo de evidências e de resposta às entidades de proteção de dados. "A maioria dos dados são digitais e vão exigir um conjunto de requisitos de sistema que muitas entidades não têm nem estão preparadas para dar. Principalmente à medida que vamos decrescendo na dimensão das empresas. O desafio é grande", deixa claro a responsável da Microsoft.
Magda Cocco reforça esta ideia, referindo tratar-se de "uma alteração drástica para o tecido empresarial", uma verdadeira "mudança de paradigma". Até agora, as empresas nacionais tinham que, em termos de utilização de dados pessoais, notificar a CNPD do consentimento do titular dos dados. Com o novo regulamento, essa necessidade desaparece, mas passa a ser obrigatória a existência de registos e evidências, obrigando a um vasto conjunto de regras e compliances que ao muito além da tecnológica e de segurança.
A responsável da VdA deixa claro que "enquanto a segurança é um valor relativamente universal, a proteção de dados não". O conceito varia de país para país, incluindo dentro da União Europeia. Trata-se de "um grande desafio. As questões de privacidade, num mundo global, não se resolvem a nível nacional", adverte, deixando claro que "a Europa continua a ser muito conservadora em matéria de proteção de dados. Há sempre uma grande tensão entre segurança e proteção de dados. Nos Estados Unidos prevalece claramente a questão da segurança e na Europa a privacidade".