A nova legislação de Data Privacy está a ser preparada e deverá entrar em vigor ainda este ano ou em 2016, trazendo novas obrigações para as organizações, e multas mais pesadas para quem não cumprir as regras.

Paulo Empadinhas, Head of Administration da ENISA, agência europeia de cibersegurança, esteve em Portugal para uma formação no âmbito do curso Intensivo de Data Privacy da Shadowsec e respondeu a algumas questões do TeK sobre privacidade, a forma como pode ter impacto na vida dos cidadãos e a maneira como a Europa está a olhar para o tema.

TeK - Como compara a legislação europeia com a norte americana relativamente ao Data Privacy? As diferenças são ainda muito grandes ou caminhamos para uma harmonização?

Paulo Empadinhas: Não podemos falar de harmonização mas há muita discussão para ver qual será o impacto da legislação na UE e como se passa nos EUA e na China e outros locais. A preocupação é que esta legislação possa funcionar de forma efetiva na Europa, protegendo os direitos efetivos dos cidadãos.

[caption]Paulo Empadinhas[/caption]

TeK: Uma das grandes preocupações é a forma como as empresas norte americanas podem ter práticas diferentes da Europa em relação aos dados, e mesmo o Governo, até devido aos recentes escândalos que foram conhecidos.

Paulo Empadinhas: Quando os Estados Unidos querem ter acesso à informação que está residente na Europa a legislação já o impede. Se as empresas forem forçadas a dar acesso, e os tribunais o impuserem, quer dizer que isso também passou a não ser seguro.
Há bastantes casos a decorrer em tribunal e há um caso especificamente relacionado com a Microsoft, em que um tribunal norte americano solicitou dados que estão no datacenter na Irlanda, e que foram recusados, mas que agora está em recurso. O que for decidido vai ter impacto na forma como se gerem os dados na Europa e pode mudar muita coisa em termos da visão de como é a proteção de dados.

As decisões que estão em curso nos Tribunais têm um grande impacto em questões como por exemplo as revelações de Snowden, e o direito a ser esquecido, isso tem uma implicação muito grande na forma como os Estados olham para estas questões.

TeK: A Europa foi sempre vista como uma zona em que a privacidade é preservada, mas é um espaço grande e diverso. Pensa que existiu uma evolução nesta área?

Paulo Empadinhas: Seguramente temos Estados mais sensíveis em relação à privacidade. As questões definidas na Carta de Direitos Fundamentais são muito claras. Foi aceite pelo Parlamento e por todos os países e é o documento fundamental em que se baseia toda esta referência.

Temos ideias muito claras, como Europa, em relação à privacidade. A aplicação e as velocidades de aplicação [da legislação] é que divergem, e por isso é que esta regulação vai ajudar a acelerar, para que também a lei seja comum a todos.

TeK: Em relação à legislação, a aplicação diverge muito entre as organizações públicas e as privadas, onde a concorrência influencia a forma como se vê e se aplica a privacidade. Como combater este problema? É uma tendência que se vai manter?

Paulo Empadinhas: A Europa tem de continuar a ser competitiva e as suas empresas também. A questão é como continuamos a ser competitivos num espaço mundial e isso passa-se não só na cibersegurança mas também na área ambiental, por exemplo. Porque se temos um conjunto de preocupações, o grande desafio é como conseguimos adaptar a legislação de forma a garantir eficácia comparando com empresas que não são sujeitas a esta regulação.

Mas é uma opção: ou queremos ou não queremos valorizar os direitos consagrados na convenção. E se queremos estamos a desenvolver uma Europa com uma cultura diferente e temos de adaptar as empresas para serem competitivas nessas condições.

Cabe aos europeus também perceber essas diferenças e proteger os seus direitos, protegendo as empresas que os protegem. E aí se calhar, passo a passo, temos de aumentar a consciência. Aqui já há grandes diferenças entre países, onde alguns cidadãos já estão mais consciencializados e que preferem, por exemplo, comprar em determinada empresa que usa mecanismos de proteção de privacidade, em detrimento de outra que potencialmente é mais barata mas que não usa os mesmos mecanismos. E isso é muito importante porque muda tudo, mas passa por uma cultura que tem de ser cultivada internamente. Porque se não valorizamos os direitos humanos não haverá esta diferenciação.

Aqui é onde eu penso que a organização entre os 28 estados membros tem passos muito importantes a dar, porque não sei se podemos comparar os países do norte com os países do sul, onde as abordagens são diferentes.

TeK: Essas diferenças são muitas vezes geradas não só por uma questão cultural mas também de disponibilidade económica, que permite estar disposto a pagar mais 10 euros por um determinado produto, por exemplo.

Paulo Empadinhas: Sim, está tudo ligado e influencia de forma determinante. Mas, se calhar, mesmo com a diferença de preços, se tiver noção de que a informação vai ser partilhada de forma controlada, já pensa duas vezes, pelo menos se a diferença não for muito grande. Num estudo que fizemos na ENISA, 87% dos participantes estavam dispostos a comprometer a sua privacidade por um valor mais baixo de um determinado serviço. Mas se perguntarmos, 93% dizem que estão preocupados com a sua privacidade. O que é verdade é que perante uma proposta financeira estão dispostos a mudar.

Há informação suficiente se as pessoas quiserem ouvir sobre os problemas da segurança para mudarem de comportamento, também em relação aos social media e à forma como as pessoas se expõem. E isso joga com tudo o que é privacidade e tem um impacto muito grande.

TeK: Os dados de saúde são uma das grandes preocupações, até pela importância económica que vão assumir e os riscos para a privacidade da má utilização dessa informação. Há referências específicas na legislação a esta área?

Paulo Empadinhas: Eu penso que a legislação irá abordar os vários dados de uma forma muito abrangente, porque falamos da saúde mas podíamos falar das viagens, por exemplo. Penso que a abordagem será pelos princípios e não especificamente por áreas. Claro que todas as organizações vão ter de ter uma política de retenção de dados e tem de ser comunicada, as pessoas têm de saber quanto tempo os dados vão ser retidos, e o que fazem deles.


TeK: Devemos estar preocupados com os nossos dados e com os dados que os governos têm sobre nós?

Paulo Empadinhas: O facto de estamos preocupados com os nossos dados sensibiliza-nos de forma muito clara cada vez que aceitamos um cookie, escrevemos uma informação nos social media, cada vez que enviamos uma informação para um amigo ou usamos a Internet. Se estivermos preocupados significa que já vamos usar a informação de outra forma. Se assumirmos que potencialmente pode ser vista por outros, vai aumentar o nosso nível de preocupação e, por defeito, logo ao início diminui a probabilidade da informação ser usada de forma incorreta.

Devemos estar preocupados com o que os Governos fazem também. É lógico e acredito que as autoridades portuguesas façam tudo o que é necessário para proteger os dados dos cidadãos. As data breaches [violações de dados] são reportadas e são conhecidas a nível dos Estados membros. E o estado português é bastante atento a estas questões.

Fátima Caçador