“Da mesma forma que não falo com estranhos na rua, também não falo no mundo virtual. Não é por estar no conforto da minha casa, atrás de um computador, que estou em segurança.” Quem o diz é Bruno Castro, presidente executivo da empresa de cibersegurança Vision Ware, em conversa com o Observador.

Segurança, privacidade, conforto: o tema está na agenda do dia — este domingo celebra-se o Dia Internacional da Proteção de Dados — e na da Europa, quando a partir de 25 de maio for plenamente aplicável o novo regime geral sobre proteção de dados (RGPD).

“O RGPD está aí à porta e não é um tema que possa ser ignorado ou que por e simplesmente ‘vá passar'”, explicou ao Observador Ana Rocha, advogada da equipa de Data Protection da CCA Ontier. O tratamento de dados pessoais na época digital é um assunto cada vez mais importante e consagrado como um direito fundamental dos cidadãos europeus.

“O RGPD tem como objetivo central garantir que os titulares recuperem o controlo dos seus dados, por isso é importante que as pessoas conheçam e exerçam, sempre que necessário, os direitos que o regulamento prevê, nomeadamente de acesso, retificação ou eliminação [de dados pessoais]”, acrescentou.

Com a aplicação plena da nova alteração legislativa, o que está em causa é uma maior e mais eficiente proteção da informação pessoal dos cidadãos (com ênfase na forma como este são tratados e alojados em servidores informáticos). O objetivo é o de regular uniformemente a forma como pessoas, empresas e organizações gerem os dados pessoais dos cidadãos na União Europeia e ainda na Islândia, Liechtenstein, Noruega e Suíça. As sanções podem chegar a 20 milhões de euros.

[Se o tema da proteção de dados lhe parece enfadonho, veja este vídeo da Comissão Europeia que, em tom cómico, explica por que deve ter cuidado com o que partilha online]

A alteração às regras levou as empresas a prepararem-se para esta nova realidade jurídica, mas foi recebida com alguma reticência. A própria Comissão Nacional de Proteção de Dados, o órgão regulador português para esta matéria, afirmou que esta alteração traz “mudanças significativas na vida das organizações“. Mas Bruno Castro explica que esta era “uma obrigação que as empresas já deviam ter antes da lei porque a informação das pessoas não lhes pertence”.

“O regulamento quer dar mais direitos ao cidadão. Este fica com mais direitos quer com a entidade patronal quer como consumidor”, explica Bruno Castro, acrescentando que “a solução não passa por dar a volta ao que é definido pela lei, é ver caso a caso e decidir que procedimentos se devem tomar para anular o risco”. Quanto às medidas que as entidades devem implementar, o executivo diz ainda: “Não existem soluções milagrosas para transversalmente corrigir as lacunas”.

Com a aplicação do RGPD , qualquer entidade que tenha informação pessoal de alguém, como o nome completo, estado civil, ou até informações mais sensíveis como informações, passa a ter normas mais específicas e transparentes sobre como deve guardar e utilizar estes dados — até porque o cidadão passa a ter direito ao esquecimento.

“Preferindo sempre escrever a minha password”

Quanto a salvaguardar a segurança de dados pessoais, Ana Rocha relembra duas táticas: “não utilizar uma única palavra passe em diferentes sites e serviços” e “escolher palavras passes menos óbvias”. Ou seja, se a palavra passe das redes sociais e email que utiliza é a data de nascimento, o seu apelido ou, simplesmente, “12345”, altere-a. (quer dicas? Veja as que deixámos aqui no Observador).

A advogada explica ainda que nunca permite que as suas passwords sejam memorizadas para facilitar o acesso recorrente a um serviço ou aplicação. “Preferindo sempre escrever a minha password ou pedir códigos de confirmação adicionais”, mesmo assumindo-se como uma “consumidora assídua e curiosa de muitas apps e serviços”. Bruno Castro ressalva que “o que fazemos na vida real e o que fazemos na vida virtual é semelhante”. Assim, a melhor forma de proteger os dados pessoais parte sempre de quem os detém: a pessoa.

“Privilegiar a utilização de serviços que usem sistemas de verificação em dois passos, por exemplo, com confirmação por SMS, pode ser outra medida de segurança a usar””, advertiu Ana Rocha. O mesmo aplica-se às compras na Internet: “nas transações e compras online, ter atenção à disponibilização de dados de cartão de crédito verificando se são usadas tecnologias de maior segurança na Internet como, por exemplo, protocolos SSL [o “HTTPS” que aparece antes dois nomes de alguns sites]”.

As empresas devem “perceber as fragilidades”

“O mercado [de serviços de proteção de dados] explodiu graças ao RGPD”, afirmou Bruno Castro, acrescentando que “o crescimento da procura por serviços de proteção de dados foi muito maior do que a oferta que existe, mesmo com novos concorrentes. Desde escritórios de advogados a empresas de segurança, todos agarraram o tema.”, explica Bruno Castro que deixa uma recomendação clara às empresas: “conhecer a própria casa”.

O empresário explica que tudo começa por “perceber as fragilidades”. Depois, “definir-se um mapa de objetivos de correção das falhas”. Só a seguir é que se “começam a definir regras, mas isto tudo só a seguir de já estar tudo planeado”. O especialista em cibersegurança termina por dizer: “só depois destes passos é que vamos ver o que diz o regulamento”.

“A primeira fase é perceber o nível de segurança global da minha empresa. Depois vem a preocupação: “O que é que aqui temos com dados pessoais?” Depois destes passos é que vamos ver o que diz o regulamento”, explica Bruno Rocha.

Ana Rocha acompanha as declarações do empresário: “a minha primeira recomendação às empresas é a de que devem olhar para a proteção da privacidade como uma oportunidade para arrumar a casa e como uma forma de melhorar dos seus serviços e produtos”. A jurista continua: “as empresas deverão fazer uma avaliação exaustiva do tratamentos de dados, devendo aplicar de forma criteriosa os princípios de que os dados recolhidos devem ser adequados, proporcionais e não excessivos face à respetiva finalidade”. Tudo isto “comunicando a forma como os dados são tratados através de políticas de privacidade claras, simples e transparentes“.

Quanto a um dos maiores receios que o RGPD tem criado às empresas, as coimas (as multas, sem ser em juridiquês), Ana Rocha deixa a recomendação: “é fundamental organizar e implementar processos documentando e registando as atividades de tratamento de dados de forma a garantir que, no caso de uma inspeção do regulador, seja possível demonstrar o cumprimento de todas as obrigações legais que o regulamento impõe”.