Confiança, Privacidade, Proteção de Dados e Segurança na Era Digital 1
Confiança, Privacidade, Proteção de Dados e Segurança O mundo digital: contexto Alguns desafios da era digital Algumas tendências internacionais O estado da arte nos países da CPLP e em Macau Que futuro? 2
O Mundo Digital contexto Ecossistema digital 3
O Mundo Digital contexto Source: ITU facts and figures 2015
O Mundo Digital contexto Source: ITU facts and figures 2015 5
O Mundo Digital contexto Source: ITU facts and figures 2015 Source: ITU facts and figures 2015 6
O Mundo Digital contexto Volume de Dados Foram tratados mais dados nos últimos dois anos do que no resto da história da raça humana 90% Quantidade Em 2020 circularão 44 zettabytes (44 triliões de gigabytes) por comparação com os 4,4 zettabytes que circulam hoje em dia Rapidez A cada segundo novos dados são criados realizamos 40 000 pesquisas por segundo só no Google 7
O Mundo Digital contexto 8
Ecossistema digital digital 9
Ecossistema digital 10
O Mundo Digital contexto 11
O Mundo Digital contexto Geography of on line attacks on business in 2015 Kaspersky Lab 2015 12
Alguns desafios da Era Digital? 13
Alguns Desafios da Era Digital 14
Alguns Desafios da Era Digital qualquer informação, de qualquer natureza e independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável («titular dos dados») é considerada identificável a pessoa que possa ser identificada direta ou indiretamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social 15
Alguns Desafios da Era Digital Capacidade de proteger as redes e sistemas de informação de incidentes que impeçam ou perturbem o seu funcionamento ou que, de alguma forma, possam comprometer os dados e a informação que neles circulam Proteger dados Proteger serviços Para além da proteção dos valores que circulam em redes e sistemas de informação, a cibersegurança apresenta-se como premissa para a confiança dos cidadãos nos serviços online 16
Alguns Desafios da Era Digital Cibercrime é a atividade ilegal cometida através do uso de um computador com acesso à Internet. Engloba qualquer acto criminoso, sendo o objeto do crime o sistema de informação ou de dados de um terceiro, nomeadamente fraude através da internet, roubo de identidade e roubos de conta de cartão de crédito Contra a confidencialidade, integridade e disponibilidade dos dados e sistemas informáticos As infracções cometidas por meio de sistemas de computador ACESSO ILEGAL, INTERCEPÇÃO DE DADOS, USO INDEVIDO DE DISPOSITIVOS, ETC. FALSIFICAÇÃO, FRAUDE INFORMÁTICA, PORNOGRAFIA INFANTIL, ETC. 17
Alguns Desafios da Era Digital A Era Digital não tem fronteiras e não espera pela legislação nem pela regulação 18
Tendências internacionais
TENDÊNCIAS INTERNACIONAIS 1 2 Preocupação cada vez mais global Diversas iniciativas regionais 3 4 Aprovaçao de legislação geral e sectorial específica (cada vez mais comum) Diferentes níveis de proteção e de articulação com as exigências ao nível da segurança 5 Criação de regulador /autoridade específica (âmbito nacional) 20
TENDÊNCIAS INTERNACIONAIS A tendência atual é de seguir o modelo europeu, mas a Convenção para a Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal (Convenção 108) e as Guidelines da OCDE sobre a proteção da privacidade e as tranferências internacionais de dados, também têm tido um papel essencial 21
TENDÊNCIAS INTERNACIONAIS 1 Preocupação cada vez mais global 4 Diversas iniciativas regionais e apoio de organizaçoes internacionais (ex: ITU) 2 Criação de autoridade nacional específica 5 Aumento da cooperação internacinal e parceiras públicaprivadas 3 Aprovação de uma Política Nacional 22
TENDÊNCIAS INTERNACIONAIS National Cyber Security Strategies in the World Fonte: ENISA website 23
TENDÊNCIAS INTERNACIONAIS A tendência atual é de abarcar, quanto ao enquadramento legal da cibersegurança, várias áreas: 1. Enquadramento do comércio electrónico e da proteção das transações 2. Proteção de informação que deve ser mantida confidencial, incluindo a proteção de segredo de Estado e a proteção de dados pessoais 3. Regulação e medidas técnicas de segurança das redes e sistemas 4. Cibercriminalidade 24
TENDÊNCIAS INTERNACIONAIS Em regra, as legislações preveem obrigações de segurança dos dados pessoais tratados contra acessos não autorizados O sector das comunicações electrónicas está tendencialmente na linha da frente Um dos primeiros sectores a ser abrangido por obrigações exigentes em matéria de segurança Na maior parte dos países, valor das coimas é especialmente elevado Sector pioneiro, na Europa, na obrigação de notificação de data breaches 25
TENDÊNCIAS INTERNACIONAIS A cibersegurança exige complementaridade em diversas áreas Regulação Tecnologia Processos Formação Necessária a criação de mecanismos de coordenação que permitam troca de informação e junção de esforços no sentido da prevenção, detecção e resposta a incidentes de segurança 26
TENDÊNCIAS INTERNACIONAIS 1 Adesão à Convenção de Budapeste do Conselho da Europa (2001/2013) 4 Aumento da cooperação internacional 2 Criação de legislação autonóma vs inclusão na legislação criminal existente CONVENÇÃO DE BUDAPESTE 3 Criação de unidades nacionais específicas de combate ao cibercrime Tratado que tem como principal objetivo a regulação dos crimes informáticos através da harmonização das legislações nacionais, da melhoria das técnicas de investigação e aumento da cooperação entre as nações Apesar de ser um tratado elaborado por uma entidade europeia, a sua assinatura é aberta a países não europeus 27
O estado da arte nos países da CPLP e em Macau 28
ESTADO DE ARTE NOS PAÍSES DA CPLP E MACAU UNIÃO EUROPEIA ECOWAS/CEDEOA SADAC MERCOSUL ASEAN 29
ESTADO DE ARTE NOS PAÍSES DA CPLP E MACAU ALGUMAS ALGUMAS INICIATIVAS REGIONAIS Diretiva SRI da União Europeia Convenção do Conselho da Europa para a Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados Pessoais Diretiva sobre Proteção de Dados Diretiva relativa ao tratamento de dados pessoais no sector telecomunicações electrónicas Novo Regulamento de Proteção de Dados Convenção de Budapeste / Convenção cibercrime Diretiva Retenção 30
ENQUADRAMENTO LEGAL E REGULAMENTAR Diretiva 95/56/CE Diretiva Proteção Dados Pessoais Diretiva 1999/93/CE (Assinaturas Eletrónicas) e DL 290-D/99 (Docs Eletrónicos e Ass. Digital) Comunicação Segurança das Redes e da Informação: Proposta de abordagem de uma política Europeia (06.06.2001) Lei 5/2004 Lei das Comunicações Eletrónicas Diretiva 2006/24/CE Diretiva Retenção Lei n.º 67/98 26, Lei da Protecção de Dados Pessoais Revisão de 99 Pacote de Diretivas de 2000 Diretiva e-privacy Diretiva 2002/58/CE Lei 41/2004, Lei de Proteção de Dados nas comunicações eletrónicas Estratégia para uma sociedade de informação segura (2006)
ENQUADRAMENTO LEGAL E REGULAMENTAR Proposta de Regulamento Geral sobre a Proteção de Dados (2012) Lei n.º 32/2008 de 17 de Julho Lei do Cibercrime (2009) Proposta de Diretiva sobre Segurança das Redes e da Informação (2013) Diretiva Direitos dos Cidadãos (Diretiva 2009/136/CE) altera a Diretiva e-privacy Lei n.º 46/2012 (proteção dados pessoais nas comunicações eletrónicas) Proposta de Regulamento relativo à identificação eletrónica e aos serviços de confiança (2012) Regulamento (UE) 611/2013 Notificação da violação de dados pessoais nas Comunicações Eletrónicas (2013)
Notificação de violações de dados pessoais? Entidades competentes no domínio da investigação criminal Operador de rede pública 2h Violação de segurança ou perda de integridade com impacto significativo Prestador de serviços de comunicações 1D 24h h 3D Violação dados pessoais e-privacy Entidade pública ou privada Não sujeita à Diretiva SRI 24h?? Violação dados pessoais noutros setores Sujeita à Diretiva SRI Incidente com impacto significativo na segurança dos serviços essenciais que fornecem Nova autoridade/ CERT 33
ESTADO DE ARTE NOS PAÍSES DA CPLP E MACAU ALGUMAS INICIATIVAS REGIONAIS - Projeto de Convenção da União Africana para a Privacidade e a Cibersegurança Declaração de Luanda, de 28 de Novembro de 2014 De entre as 8 recomendações constantes da Declaração, consta a seguinte: Ponderar o desenvolvimento de uma estratégia de segurança da informação, alicerçada nas estruturas nacionais de cibersegurança, que contribua para o suo do ciberespaço de uma forma mais livre, confiável, segura, através da promoção da melhoria contínua da cibersegurança em cada Estado membro e da cooperação internacional Supplementary Act on Personal Data Protection within ECOWAS Diretiva sobre combate ao cibercrime 34
ESTADO DE ARTE NOS PAÍSES DA CPLP E MACAU ALGUAS INICIATIVAS REGIONAIS Criação de órgão para a proposição de políticas e iniciativas comuns na área de segurança cibernética, privacidade, proteção dos dados pessoais, confiança no uso da Internet, prevenção e combate ao cibercrime (RAPRISIT) APEC Privacy Framewor 35
ESTADO DE ARTE NOS PAÍSES DA CPLP E MACAU LEGISLAÇÃO DE PRIVACIDADE Lei de Proteção de Dados Legislação dispersa Sem legislação relevante
ESTADO DE ARTE NOS PAÍSES DA CPLP E MACAU AUTORIDADES EM MATÉRIA DE PRIVACIDADE Autoridade Reguladora já em funções ou em funções brevemente Previsão de Autoridade Reguladora, ainda em fase de criação Sem previsão
ESTADO DE ARTE NOS PAÍSES DA CPLP E MACAU LEGISLAÇÃO DE CIBERSEGURANÇA Lei de Cibersegurança Política de Cibersegurança Sem legislação glogal, regulação ou política
ESTADO DE ARTE NOS PAÍSES DA CPLP E MACAU AUTORIDADES EM MATÉRIA DE CIBERSEGURANÇA Autoridade(s) Reguladora(s) Efetiva(s) Previsão de Autoridade Reguladora, mas sem efetividade Sem previsão
ESTADO DE ARTE NOS PAÍSES DA CPLP E MACAU LEGISLAÇÃO DE CIBERCRIME Adesão à Convenção de Budapeste Não adesão, mas regulação Sem regulação significante/ e sem adesão à Conveção de Budapeste
Que futuro? 41
Que futuro? Faz sentido existir um quadro harmonizado nos países de expressão portuguesa? 42
Que futuro? O futuro deve ser construído em conjunto por todos, sem ser necessário destruir o equilíbrio e mantendo uma cooperação entre todos os stakeholders do mercado- Governos Reguladores Empresas Todos nós 43
Que futuro? Existência de um regime jurídico para a privacidade e a proteção de dados pessoais Aprovação de legislação sectorial quando tal faça sentido (por exemplo comunicações electrónicas) Atribuição de poderes de supervisão a uma entidade, devidamente capacitada Privacy Privacy by Design e criação de soluções user friendly nesta matéria Existência de um Data Privacy Officer Criação de programas de capacitação / formação nestas Visibilidade e transparência através de elaboração de políticas internas de tratamento de dados
Que futuro? Existência de uma estratégia nacional para a cibersegurança Aprovação de legislação concreta sobre segurança de redes, resposta a incidentes de segurança e proteção de infraestruturas críticas nacionais Criação de uma entidade que passe a gerir e coordenar os vários interlocutores no contexto de crises no ciberespaço e que crie programas de capacitação para os organismos do Estado e reguladores Cybersecurity Realização de Due Diligences recorrentes Criação de uma política interna de cibersegurança Criação de programas de capacitação / formação nestas matérias
Que futuro? Desenvolvimento de mecanismos de cooperação nacionais para desenvolvimento de know how nacional Aprovação de legislação específica Definição de normas técnicas e medidas de segurança Desenvolvimento de mecanismos de cooperação internacionais na detecção e combate a esta criminalidade Criação de programas de capacitação / formação nestas matérias Criação de unidades dedicadas ou entidades treinadas para responder consistentemente aos desafios do cibercrime
Muito obrigado pela atenção! Magda Cocco Telefone: 21 311 3487 email: mpc@vda.pt Esta apresentação foi preparada exclusivamente para apresentação no Fórum de regulação da AICEP, não podendo ser utlizada para outras finalidades. As imagens constantes dos slides são maioritariamente retiradas da internet e servem propósitos de mera ilustração, não devendo ser reproduzidas e/ou de outra forma utilizadas fora deste contexto 47
O DIREITO A RIGHT TO À EXCELÊNCIA EXCELLENCE O DIREITO A RIGHT TO À EXCELÊNCIA EXCELLENCE 48