Tecnologia procura Regulamentação

Tecnologia procura Regulamentação para namoro sério

...

by Sofia Pereira de Castro Service, Delivery Manager na LCG. Maio 2019


Tecnologia procura Regulamentação para namoro sério

 

Perguntam-me muitas vezes qual o maior desafio que encontro na implementação do Regulamento Geral de Proteção de Dados (RGPD), ao que, invariavelmente respondo: a falta de obrigatoriedade na lei da nomeação de um Responsável de Segurança (regularmente apelidado de CISO - Chief Information Security Officer), que tem um papel muito específico e diferente da função do Encarregado de Proteção de Dados (um DPO - Data Protection Officer).

Tenho dificuldade em compreender que se pretenda proteger os dados pessoais dentro de uma organização sem se dar a devida atenção e importância à implementação de tecnologia que assegure que os dados estão protegidos - sejam os dados lógicos suportados por sistemas de informação, sejam os dados físicos, protegidos por um sistema de controlo de acessos físicos que deve registar logs de entradas e saídas, também eles, digitais.

Uma das primeiras coimas aplicadas pela Comissão Nacional de Proteção de Dados (CNPD) à luz do RGPD, foi ao Centro Hospitalar do Barreiro-Montijo (CHBM). Em causa estava a existência de uma política de acesso às bases de dados, que permitia que médicos e técnicos do hospital acedessem de forma indiscriminada a dados clínicos dos pacientes sem a devida autorização. As irregularidades foram denunciadas pelo Sindicato dos Médicos da Zona Sul à Ordem dos Médicos e na sequência da investigação verificou-se que não foi implementado um processo de gestão de controlo de acessos, com controlos primários e secundários, que disponibilizasse o acesso única e exclusivamente a quem dele necessitava por motivos de trabalho, e garantisse a restrição de acesso a ex-trabalhadores.

A implementação de um processo desta natureza, é suportada por uma Política de Segurança transversal à Organização, de preferência tendo por base os melhores standards de mercado, como o ISO/IEC 27001. Estou certa de que o Centro Hospitalar do Barreiro-Montijo – em colaboração com o próprio Ministério da Saúde - determinou um conjunto de medidas para a implementação de uma política de  RGPD. Contudo, terá provavelmente aplicado grande parte dos seus esforços na elaboração de acordos de processamento de dados, na revisão de protocolos ou na alteração de formulários para passarem a conter pedidos de consentimento – tudo, boas medidas do ponto de vista jurídico, porém, muito insuficientes do ponto de vista tecnológico e da proteção de dados lógicos na prática.

Mas a que se deve então este cenário? Em conversa com vários juristas, advogados, juízes e procuradores do Ministério Público, perguntei diversas vezes se o grupo de trabalho que fez esta lei, e outras Leis Portuguesas e Europeias, era composto por uma equipa multidisciplinar - ou seja, por juristas, engenheiros informáticos, hackers, especialistas de segurança, especialistas de estratégica tecnológica, para o caso particular do RGPD, ou, para outros casos, por engenheiros (civis, florestais, de produção, do ambiente, da Qualidade), por militares, economistas, médicos, enfermeiros ou professores. Esta foi a resposta que mais vezes ouvi: “Para quê, se estamos a falar de leis, e se as leis são do foro jurídico?”

Não me faz sentido que um grupo de juristas se reúna para definir uma lei que regule um determinado domínio, quando esses juristas não têm qualquer conhecimento sobre a área em questão nem sobre a aplicabilidade prática da lei. Para dar um exemplo concreto, pergunto-me como é que o Código do Procedimento Administrativo foi revisto em 2015, e em pleno século XXI, se definiu no Art. 112 do DL n.º 4/2015, de 07 de janeiro, que é necessário consentimento prévio do titular para poder ser contactado “por telefax, telefone, correio eletrónico ou notificação eletrónica automaticamente gerada por sistema incorporado em sítio eletrónico pertencente ao serviço do órgão competente ou ao balcão único eletrónico”: isto, quando a maioria da população já carrega diariamente no bolso um pequeno computador (o telemóvel) que lhe permite ser notificada de forma imediata e contundente, com registo lógico (logs, assinatura digital) da entrega da referida notificação. Se estou à espera de ser notificada da data de uma cirurgia ou de uma consulta, e se é do meu máximo interesse ser contactada imediatamente, existindo uma finalidade legítima para o contacto por parte do serviço do estado correspondente, porque é então necessário consentimento prévio para o contacto por meios eletrónicos ou digitais?

A tecnologia tem evoluído rapidamente - para o bem e para o mal - e a Regulamentação tem de ser capaz de acompanhar essa evolução. Para isso, precisa de integrar conhecimentos das diversas áreas, e especialmente, do foro tecnológico. Só assim podemos falar de uma Regulamentação efetiva e aplicável. É necessário envolver especialistas nas formulações das leis, da mesma forma que é urgente a literacia digital do meio jurídico e regulamentar.

Porque uma coisa é certa:  se queremos ter uma Regulamentação do mundo digital que nos permita efetivar a proteção de todos os nossos dados - pessoais e profissionais - Regulamentação e Tecnologia têm de andar de mãos dadas.

Sofia Pereira de Castro

Service Delivery Manager na LCG