Hoje, uma parte considerável dos serviços online ainda dá margem de manobra à imaginação de cada utilizador para a escolha da password, mas, até de 25 de novembro, os serviços online que operam em Portugal vão ter de adotar ou configurar os respetivos sistemas de autenticação para que passem a operar com um mínimo de nove carateres de diferentes tipologias (letras maiúsculas e minúsculas, algarismos, e carateres especiais). A aplicação de sistemas de autenticação mais robustos consta na lista de requisitos que o Governo pretende aprovar em Conselho de Ministro e na Assembleia da República a fim de garantir a entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD) a 25 de maio. Apps, redes sociais, serviços públicos ou sites de comércio eletrónico vão ter de proceder às alterações nos seis meses que se seguem à entrada em vigor do novo Regulamento. O que significa que os sistemas com passwords «complexas» de nove carateres terão de estar implementados até ao dia 25 de novembro.

O Governo ainda não tornou públicos os documentos, mas já começou a distribuir pelos diferentes intervenientes no mercado as versões dos requisitos técnicos e da nova legislação. A Exame Informática teve acesso à proposta de lei e aos requisitos técnicos da transposição do RGPD. As propostas ainda poderão vir a sofrer algumas alterações em Conselho de Ministros e no Parlamento, mas tendo em conta que se trata da transposição de um Regulamento comunitário, tudo leva a crer que as eventuais modificações terão sempre um efeito limitado.

Se na proposta de lei os maiores destaques incidiam sobre a isenção de coimas para entidades estatais e a definição dos 13 anos como limite mínimo para o tratamento de dados, nos requisitos técnicos as atenções centram-se no contrarrelógio de seis meses e na obrigatoriedade de passwords de nove carateres – que passam para os 13 carateres, no caso dos profissionais que asseguram a gestão dos diferentes sistemas informáticos.

«Sempre que aplicável, a palavra-passe deve ter no mínimo 9 carateres (13 carateres para utilizadores com acesso privilegiado) e ser complexa. A sua composição deverá exigir a inclusão de 3 dos 4 seguintes conjuntos de carateres: letras minúsculas (a…z), letras maiúsculas (A…Z), números (0…9) e caracteres especiais (~! @ # $ % ^ & * () _ + | `- = {} []:”; ‘<>?,. /). Poderá, em alternativa, ser constituída por frases ou excertos de texto longo conhecidos pelo utilizador, sem carater de “espaço”», determina a lista de requisitos técnicos que o Governo pretende aprovar nos próximos tempos para proceder à transposição do RGPD.

O documento elenca um total de 98 requisitos técnicos. Uma parte desses requisitos é obrigatória; e outra parte não vai além do caráter de recomendação. Conheça mais requisitos técnicos previstos pela proposta de lei para a transposição do RGPD no artigo, de acesso livre, que foi publicado na Exame Informática Semanal.