Este artigo é da responsabilidade da PLMJ

Texto: Pedro Lomba e pela Rita de Sousa Costa, advogados da PLMJ

No mais recente episódio do Podcast PLMJ, conversámos com o coordenador do Centro Nacional de Cibersegurança, o Engenheiro Lino Santos, sobre o estado da cibersegurança em Portugal. Existe, hoje, um Direito da cibersegurança – do Direito constitucional ao Direito penal e do Direito internacional ao Direito interno —, um direito expansivo e heterogéneo que regula os sistemas e redes de informação, os incidentes de segurança, os ilícitos comunicacionais intra e transfronteiras e os riscos digitais e tecnológicos. Eis um conjunto de notas provocadas por essa conversa.

Conceitos

A Diretiva NIS sobre segurança das redes e da informação, o regime jurídico do ciberespaço, a estratégia nacional de segurança do ciberespaço 2019-2023, a convenção do cibercrime, o Regulamento Geral sobre Proteção de Dados, as normas técnicas da família 2700 da Organização Internacional de Normalização, todos estes instrumentos apresentam vários conceitos jurídicos e técnicos: “cibersegurança”, “rede e sistema de informação”, “ataques”, “equipa de resposta a incidentes de segurança informática”, “incidente de segurança”, “tratamento de incidentes”, “risco.” Esta proliferação de definições, por vezes incongruentes, aponta para a existência de diferentes patamares do que se deve entender por segurança. Talvez seja um truísmo, mas a segurança da informação é só um aspeto da cibersegurança.

Opinião pública

Como sempre, a opinião pública move-se lentamente mas, assim que desperta, essa atenção torna-se irreversível. O Centro Nacional de Cibersegurança publica, desde 2021, um relatório anual sobre a sociedade portuguesa. Apesar dos progressos tornados públicos, são referidas utilizações de serviços críticos no que respeita ao login das redes sociais, à compreensão de cookies, à utilização de smartphones. Há, pois, um longo caminho pela frente.

PUB • CONTINUE A LER A SEGUIR

Pedro Lomba, Advogado PLMJ

Cibersegurança e dados pessoais

Uma citação: “um incidente de violação de dados pessoais é um incidente de segurança, mas nem todo o incidente de segurança é um incidente de violação de dados pessoais”.

Notificações

Pelos mesmos motivos, as condições empíricas de um incidente de segurança mostram que as notificações regulatórias, com prazos curtos de reação, são – ainda que fundamentais – tão importantes como a gestão pública dos impactos adversos de um incidente. E os organismos de regulação devem compreender as dificuldades de resposta de entidades públicas e privadas perante situações de incerteza.

Política e políticas

Planos de resposta a incidentes, políticas de segurança da informação, políticas de acesso remoto, políticas de tratamento de dados, políticas de retenção de informação: a lógica preventiva e normativa da cibersegurança é documentalmente exigente. Mas as políticas não são uma política, nem dispensam o conhecimento do aspeto humano por detrás das crises de cibersegurança.

Rita de Sousa Costa, Advogada PLMJ

O direito fundamental dos sistemas de informação

Em 2008, o Tribunal Constitucional alemão formulou pela primeira vez o “direito fundamental à garantia da confidencialidade e integridade dos sistemas de tecnologia da informação”, protegendo não apenas a segurança e confidencialidade dos computadores pessoais contra práticas de ‘malware’, mas também a segurança das redes de computadores e a partilha e armazenamento de informação na nuvem. Estes desenvolvimentos nos novos direitos fundamentais serão cruciais para a proteção sistémica das estruturas e organizações.

Responsabilidades privadas e públicas

Porque a digitalização depende da ação de entidades privadas e de novos poderes jurídicos e fácticos, a cibersegurança é também uma responsabilidade pública (e de garantia) do Estado. Compete ao Estado fornecer informação adequada, estabelecer princípios, e colaborar com os atores privados.

Ouça a conversa e recorde os episódios anteriores do Podcast PLMJ.