É impossível falar de privacidade digital sem falar de Edward Snowden ou de como pairamos (ou não) sobre o olhar atento de um Big Brother (alusão à obra de George Orwell, “1984”, no qual todas as pessoas estão constantemente a ser vigiadas). Para Pedro Veiga, o risco existe, mas é possível mitigá-lo se o Estado e as empresas souberem implementar e gerir sistemas de cibersegurança que delimitem a privacidade digital dos utilizadores.
No dia da antestreia do filme de Oliver Stone sobre a vida do ex-funcionário da Agência de Segurança Nacional Americana (NSA), é do papel das empresas e do Estado nesta vigília que se fala no “Snowden Talks – Estará Alguém Seguro?”, no ISCTE. Ao Observador, o coordenador do Centro Nacional de Cibersegurança explicou por email como travar os “perigos inerentes” à partilha de dados pessoais com pouco controlo” ou baseados em regras de complexidade jurídica.
Pegando no tema do debate desta quarta-feira: são as empresas e os Estados uma ameaça para os cidadãos?
Essa pergunta não pode ser respondida de modo absoluto. Há Estados que se preocupam muito com os direitos dos cidadãos e das empresas no mundo digital ou ciberespaço, implementando políticas de proteção das suas redes e dos sistemas de informação. É o que se passa em Portugal, onde o Estado tem consciência dos desafios do ciberespaço e aprovou uma Estratégia Nacional de Segurança que o atual Governo procura implementar de modo consistente. E ainda existem entidades públicas que exercem supervisão.
Mas também existem Estados que implementam políticas de controlo do ciberespaço que não respeitam os valores reconhecidos internacionalmente, limitando o acesso livre dos cidadãos e empresas ao ciberespaço, à liberdade de expressão, sem controlar ou punir aqueles cometem cibercrimes.
O WhatsApp, por exemplo, anunciou que vai partilhar dados dos utilizadores com o Facebook, mas são várias as vozes que pedem para que isso não aconteça. Que riscos correm?
A partilha de dados tem que respeitar a legislação vigente. Há perigos inerentes a uma partilha de dados pessoais com pouco controlo ou com base em regras contidas em documentos de complexidade jurídica, que o cidadão normal não entende. É para melhorar a resposta a estes problemas que foi recentemente aprovado o Regulamento Geral de Proteção de Dados, que visa regular, entre outros aspetos, a complexidade e efeitos associados à troca de dados de caráter pessoal entre empresas localizadas em diferentes jurisdições.
Cada vez mais as empresas têm acesso a informação sobre os utilizadores, como se o reverso da medalha do progresso fosse esta invasão da vida privada. É mesmo? Ou é possível progredir sem invadir?
A resposta anterior já aborda algumas dimensões subjacentes a esta pergunta. A existência de informação detalhada sobre cada utilizador permite facultar serviços mais avançados ou contribuir para aumentar a segurança, se forem implementadas boas práticas de gestão da informação dos utilizadores.
Qual deve ser o papel do Estado aqui?
Uma das vertentes é impor legislação de proteção dos cidadãos, verificar a sua implementação e impor sanções em caso de não cumprimento. Por outro lado, o Estado deve promover a capacitação dos cidadãos e dos gestores das empresas para prepará-los para os desafios do ciberespaço, que é complexo e evolui a grande velocidade. As escolas, o ensino superior e os media devem preocupar-se em abordar os temas da cibersegurança, ensinando as boas práticas, divulgando os riscos associados à utilização do ciberespaço e como pode o país ser mais ciberseguro. A Diretiva NIS (Network Information Security) que irá ser transposta para a legislação nacional será uma peça central para que o ciberespaço nacional seja mais seguro.
É certo que a tecnologia também tem permitido combater o terrorismo e outras ameaças. Como se encontra um ponto de equilíbrio?
O aspeto chave é manter um equilíbrio entre liberdade e segurança. O ciberespaço veio trazer inúmeras oportunidades de capacitação dos cidadãos, de novos espaços de comunicação, lazer e de acesso ao conhecimento. E também abre novas portas de negócio às empresas, de disponibilização de serviços públicos mais acessíveis e eficientes. Em paralelo devem ser criados mecanismos de supervisão que garantam que o enquadramento normativo aplicável é respeitado por todos os agentes envolvidos.
Como devem as pessoas comportar-se digitalmente, para evitar situações indesejadas?
Devem ter muito cuidado sobre que tipo de informação pessoal facultam, a que entidades e como vai ser usada. Infelizmente, e como já referi anteriormente, os documentos que enumeram as regras de uso dos dados pessoais são extensos e complexos e a maioria das pessoas prime a tecla “concordo” sem os ler.
Corremos o risco de entrar numa paranoia do género “Big Brother is really watching you“?
O risco existe, mas pode ser mitigado. Não faz parte do mandato do Centro Nacional de Cibersegurança tratar deste tema. Todavia, através da criação de boas práticas de gestão e implementação da cibersegurança (o que muitas vezes se designa por segurança na conceção) e de meios de supervisão e auditoria dos sistemas de informação e das redes, outras entidades previstas no enquadramento jurídico nacional poderão evitar este perigo.