A aplicação em Portugal da nova Lei de Retenção de Dados no sector das comunicações electrónicas, que transpõe para a ordem jurídica nacional a Directiva europeia que impõe a conservação de dados gerados nas comunicações electrónicas, está no centro das atenções. À espera da publicação da portaria que vai definir as condições concretas da sua entrada em vigor, o sector não tem dúvidas de que enfrentará um enorme desafio e mesmo uma verdadeira mudança de paradigma. E a apreensão domina em relação a vários pontos que são muito pouco claros na legislação. Um tema "quente" que foi analisado no mais recente Workshop realizado pela APDC, em parceria com a VdA, realizado a 17 de Dezembro na Fundação das Comunicações.
A Lei nº 32/2008, de 17 de Julho, transpõe para a ordem jurídica interna a Directiva 2006/24/CE, relativa à conservação de dados gerados ou tratados no contexto da oferta de sérvios de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações. A retenção de dados de tráfego das comunicações é considerada um dos instrumentos mais importantes de prevenção e combate ao crime organizado e ao terrorismo, sendo a legislação comunitária uma reacção aos atentados terroristas, depois do 11 de Setembro, pretendendo-se assegurar a manutenção de dados que possam ser relevantes neste tipo de situações.
Mas o impacte da aplicação desta legislação em Portugal, tal como em outros mercados, ainda coloca grandes incógnitas. Como ficou bem patente nas várias intervenções de responsáveis nacionais e internacionais ao longo do workshop da APDC. A nova lei não só amplia o âmbito das obrigações na conservação de dados pessoais como aumenta significativamente o período obrigatório de conservação desses mesmos dados. O que significa mesmo, como destacou Magda Cocco, sócia da Vieira de Almeida & Associados (VdA), uma verdadeira mudança de paradigma e obriga a profundas alterações no modo e gestão das questões de privacidade e de segurança seguida pelos operadores.
Impõe-lhes novos processos, novos métodos de trabalho, regras de segurança restritivas, mais investimento em recursos humanos e em equipamento, representando um novo e difícil desafio em termos tecnológicos, já que as obriga a guardar uma quantidade imensa de dados sobre os seus clientes por um período de tempo longo, sem que os próprios clientes se possam opor a essa retenção de dados. E dá origem a responsabilidades civil e criminal, no caso de incumprimento da lei, que são das mais pesadas em Portugal. A legislação visa guardar todos os dados de tráfego e dados de localização, assim como os dados conexos necessários para identificar o assinante ou utilizador. Nas chamadas de voz, terão de ser guardados todos os registos das comunicações recebidas, efectuadas ou perdidas, bem como respectiva localização dos contactos, sejam estes fixos ou móveis. As informações terão ainda se ser guardadas no caso do correio electrónico. Quanto a prazos, a legislação europeia estipula um período máximo de dois anos para a guarda dos dados, mas Portugal optou por uma versão mais moderada. Com a retenção por um período de um ano, o que, mesmo assim, colocará enormes desafios aos operadores nas suas capacidades de armazenamento de dados.
Apritel preocupada
Há já várias empresas muito atentas e a tomar medidas em matéria de protecção de dados e privacidade, como é o caso da Telecom Itália, um caso apresentado por três dos seus responsáveis nesta área. E há também já desenvolvidas várias soluções de segurança nesta área. No mercado nacional, os operadores de comunicações, segundo Luis Reis, presidente da Apritel, a associação que representa as principais empresas deste mercado, entendem que a lei 32/2008 tem aspectos positivos e negativos. Como aspectos positivos, salientou o facto de ter sido aprovado um novo enquadramento legal que representa um importante avanço no combate à criminalidade e ao terrorismo e porque traduz uma aposta na eficiência e na desburocratização. Além disso, traduz uma aposta do governo na desburocratização e na eficiência, assim como a postura cooperativa do  Governo, que se tem mostrado "sensato na regulamentação da Lei", tendo em conta os "muitos aspectos técnicos envolvidos neste processo" e na obtenção de um consenso com os operadores.
Mas Luís Reis deixou também bem claras as preocupações das empresas em torno da implementação concreta da legislação. Se estas são "as entidades mais sensibilizadas para a questão da protecção da informação pessoal dos seus clientes", o facto é que o alargamento do âmbito e do prazo de retenção destes dados traz "novos e importantes desafios a todos". Por isso, há muitas dúvidas em torno da "exequibilidade da lei", pois trata-se da implementação de "uma base de dados extremamente complexa". Por isso, apela à prudência na definição da regulamentação da lei através da portaria, processo que está neste momento em curso. De acordo com a Lei 32/2008, esta só entrará em vigor 90 dias depois da publicação da portaria. Um período considerado demasiado curto para "uma lei de implementação complexa e que vai implicar um redimensionamento profundo dos sistemas dos operadores", além do enorme impacte nas próprias redes.
O processo levanta um enorme conjunto de questões e implicará um a nova realidade com "custos significativos, especialmente sensíveis na actual conjuntura económica. A questão, por isso, é saber quem é que vai pagar os custos desta mudança. Ainda ninguém de lembrou de perguntar quem é que paga. E os operadores não percebem que têm de ser eles a pagar", salientou o líder da Apritel, deixando claro que existem muitas soluções. E que é necessário que "alguém se chegue à frente, porque senão serão os consumidores a pagar". Embora não existam valores concretos e também não tenham sido avançados nesta iniciativa, previsões da CE, apresentadas durante o processo de aprovação da Directiva, indicam que deverá ser necessário um investimento médio inicial de 100 milhões de euros, ao que acresce um valor de manutenção da infra-estrutura na ordem dos 50 milhões de euros.
Medidas para enfrentar nova realidade
O vice-presidente da Anacom desdramatiza. Alberto Souto Miranda compreende que se está perante uma realidade nova, mas que não pode ser encarada pelos operadores, "como um cenário de catástrofe. A informação que se tem de reter não é assim tanta ou muito mais do que aquela que actualmente é armazenada". E acrescenta ainda que nos casos de pedidos de fornecimento de informação por parte dos tribunais, há e continuará a haver uma "triagem cuidada" destes pedidos. Mas a verdade é que a Lei 32/2008 não é apenas alvo de contestação dos operadores.  A própria Comissão Nacional de Protecção de Dados tem algumas reservas quanto à sua aplicabilidade. Segundo o seu presidente, Luís Lignau da Silveira, o período e retenção dos dados produzidos pelas comunicações electrónicas é excessivo. E manifesta igualmente apreensão quanto a decisão do legislador europeu em obrigar à retenção de "todos os dados de todas as formas de comunicação de todos os utilizadores".
Face à dimensão da mudança, e porque se trata de uma questão muito sensível para os operadores, que terão de se preparar para os novos desafios que a privacidade e segurança online vão trazer, há que implementar um conjunto de boas práticas a seguir, sendo esta a única forma de garantir a manutenção da confiança dos clientes numa matéria tão sensível como a da privacidade.
De acordo com Margarida Couto, sócia da VdA, há várias recomendações sobre as boas práticas a seguir. Nomeadamente a adopção de uma política de compliance, numa acção preventiva das empresas para mitigar o risco do Data Breach. Assim como a definição de uma política de privacidade na organização e a gestão centralizada e nomeação de um Data Privacy Officer. Referiu também a definição de uma estratégia de damage control, para que a organização consiga ter capacidade de resposta imediata e a formação e divulgação aos vários departamentos. Para esta responsável, "as boas práticas têm de ser adaptadas ao negócio, aos novos negócios e aos novos desafios. Coloquem a privacidade na agenda da vossa empresa. Senão, mudem de sector."