O Direito Administrativo e a segurança cibernética

15-12-2022

Uma questão que tem ganho ao longo dos últimos tempos grande relevância é a questão dos ataques cibernéticos.

Exemplos de ataques recentes que aconteceram:

Vodafone1- Dia 7 de fevereiro de 2022 a Vodafone foi alvo de um dos maiores ataques informáticos. Este ataque foi resultado de uma falha no sistema de segurança da operadora e teve como consequência falhas na rede quer telefónica, quer na rede de internet, ainda que a empresa não tenha detetado roubo de dados, este ataque pôs em causa durante alguns dias a normalidade de alguns serviços, nomeadamente serviços de bancos que tinham a sua rede apoiada na rede da Vodafone, deixando de funcionar por exemplo máquinas de multibanco.

A operadora além de garantir que a operadora sofre imensos ataques destes e que este foi o primeiro que não conseguiu evitar, garantiu a compensação de algum modo dos seus clientes através da atribuição de melhorias nos pacotes sem qualquer custo acrescido, mas o que é facto é que a segurança deste tipo de empresa tem de ser assegurada e tem de ser fiscalizado o cumprimento de protocolos de segurança por parte do Estado, bem como a criação de mais medidas legislativas quanto a esta matéria.

A TAP foi também alvo de um ataque recente, e neste ataque foram carregados 581GB2 de dados de clientes, incluindo, tanto quanto se sabe dados do Primeiro-Ministro e do Presidente da República. Acho que não é preciso discutir a gravidade de uma falha de segurança como esta, ainda para mais numa empresa como a TAP com a tamanha densidade de clientes que tem. Uma falha de segurança representou a libertação de dados pessoais, demográficos e números de telefone de 1,5 milhões de pessoas.

Isto não se admite numa empresa privada, quanto mais numa empresa pública.

A falta de controlo da segurança numa empresa pública não se admite. O Estado tem obrigação de, sendo uma entidade tutelada por si, de garantir a fiscalização do cumprimento da lei, garantir o cumprimento dos protocolos de segurança e não existindo legislação o suficiente, tem de garantir a sua criação. Não me vou alongar, porque este ponto será retomado posteriormente.

Diversos ataques de Rui Pinto- Além de aceder, mais recentemente, a informações comprometedoras do mundo futebolístico, económico e político, cabe-me destacar o ataque que fez em 2013 ao Caledonian Bank situado nas ilhas Caimão de onde roubou cerca de 270.000€.

Porque é que tem este tema uma tão grande relevância para os juristas?

Ora, como sabemos o Direito é uma realidade que regula a vida em sociedade, como tal não pode ser estático, tem de se adaptar às circunstâncias da vida, tem de evoluir e responder às necessidades da sociedade contemporânea.

A relevância jurídica destes ataques prende-se quer com o facto de envolver a própria administração pública, quer com a interferência com dois valores fundamentais: Privacidade e Segurança.

Apesar de serem algo frequentes, estes ataques tornaram-se ainda mais depois da Pandemia de SARS-COV-2. Com o aumento do trabalho remoto, a necessidade de informatizar as plataformas e o alargamento do seu acesso não apenas aos trabalhadores nas empresas, mas também através de sua casa, teve de ser rápida, o que pode ter levado a descuidos com a segurança das plataformas, e das próprias redes em que as condições de segurança não são tão elevadas.

É evidente que ao recorrer à internet e a diferentes plataformas, o Cidadão tem de ter alguns cuidados dos quais tem consciência, mas tão óbvio é que as empresas e o próprio Estado têm de garantir essa segurança aos cidadãos.

A conclusão a que chegamos é que o Estado tem de intervir, tem de regular estas matérias. É certo que há alguns diplomas relativos a esta matéria, nomeadamente o DL 65/2021, mas o que é certo é que não há legislação suficiente, o que não é positivo tendo em conta que entre segurança e privacidade do indivíduo existe apenas uma linha muito ténue. Surge assim a necessidade de conjugação entre o Direito e áreas de informática como sejam a cibersegurança.

Relevante também é, não só o Direito Internacional e o Direito Europeu, como a vertente global do Direito Administrativo defendida pelo Regente quanto a outras matérias e que é efetivo.

Pensemos por exemplo no Direito do Mar, nas diretrizes emanadas quanto às quotas de pesca. Este é um dos exemplos da efetividade de um Direito Administrativo sem fronteiras estudado pelo Regente.

No caso da proteção de dados, creio que a questão deveria ser igualmente regulada por esta vertente supranacional, que é a vertente global do Direito Administrativo.

Pensemos, por exemplo, no caso de Rui Pinto que referi anteriormente. O jovem fez os ataques informáticos e mudou-se para a Hungria beneficiando da falta de cooperação entre as autoridades portuguesas com as autoridades húngaras. Na minha modesta opinião este tipo de situações não deveria ser possível, daí a necessidade de regulação a nível internacional.

Apesar de ser complicado definir como garantir a segurança dos cidadãos sem interferir com a sua privacidade, ou mitigar os danos que essa invasão possa provocar, sendo, portanto, algo complexo garantir a privacidade das pessoas, a regulação destas matérias acarreta vários benefícios3:

Proteger os ativos física e tecnologicamente contra riscos, ameaças e vulnerabilidades de cibersegurança;

Minimizar os impactos corporativos e financeiros através de processos de gestão de riscos bem definidos, estruturados e implementados, assegurando a continuidade do funcionamento da organização;

Simultaneamente, preservar a reputação e imagem da organização, e atingir uma vantagem competitiva através de um melhor desempenho e produtividade empresarial no mercado;

Conformidade do modelo de governo de segurança com as principais frameworks de referência para o setor.

Em conversa com pessoas da área da cibersegurança, entendi que o trabalho que desenvolvem é um trabalho de grande responsabilidade e que envolve informação confidencial. Isso acontece precisamente por haver uma linha muito ténue entre a privacidade e a segurança. Com um maior nível de informação há maior possibilidade de garantir a segurança.

Podemos levantar a este propósito a questão do sacrifício da nossa privacidade em prole da nossa segurança: Será que é preferível que hajam entidades que possam aceder à nossa vida pessoal, para garantirem que os nossos dados ficam seguros e que ninguém os tente usar contra nós ou para outros fins lucrativos indevidos ou maliciosos?

Obviamente esta questão levantaria todo o tipo de dúvidas, nomeadamente sobre que tipo de administração teria uma entidade como esta, podemos ver também que certos direitos fundamentais poderiam ser implicados.

A questão mais relevante neste momento seria apresentar uma possível solução para o problema.

Penso que quanto a esta entidade pode haver duas soluções:

A primeira seria integrar estas funções nas funções da polícia nacional. Sabemos que sob mandato a PJ pode aceder aos dados das pessoas, se isso se revelar necessário. Assim sendo, poderia ser criado, por exemplo um departamento policial específico para garantir a segurança dos dados dos cidadãos, um departamento que fiscalizasse a atividade e garantisse a segurança dos sites e plataformas.

Porquê integrar isto nas atividades da Polícia?

A CRP diz-nos no nº1 do artigo 272º que uma das funções da polícia é a garantia da segurança interna e dos direitos dos cidadãos. Assim, parece-me adequado que haja, nos dias que correm possibilidade de garantia da segurança informática por parte desta.

A minha segunda proposta de solução para o problema seria a criação de uma empresa pública sob a qual o Estado tivesse o poder de superintendência e tutela, uma empresa que integrasse, por isso, a administração indireta4.

Estas são apenas duas propostas, mas creio que tendo em conta os custos e toda a polémica que causaria o acesso por qualquer entidade ou por quaisquer pessoas a informação pessoal de todos nós, tornaria toda esta questão ainda mais complexa de executar.

Assim sendo, acho que um grande primeiro passo seria mesmo a atenção do legislador a estas matérias e a sua maior regulação, porque no fim de contas o roubo de dados pode gerar graves consequências se for utilizado da forma errada. Os dados são apenas dados até que sejam utilizados para atingir as pessoas, ou quem sabe atingir a própria nação.


Bibliografia:

  1. Ciberataque à Vodafone "teve origem num ato terrorista e criminoso" - CNN Portugal (iol.pt)

  2. Ataque expõe dados de 1,5 milhões de clientes. TAP diz que informação sobre pagamentos estarão a salvo (tsf.pt)

  3. Os desafios no combate ao crime cibernético na Administração Pública (itsecurity.pt)

  4. "Administração indireta: Atividade administrativa do Estado, realizada, para a prossecução de fins deste, por entidades públicas dotadas de personalidade jurídica própria e de autonomia administrativa" in curso de Direito Administrativo- Diogo Freitas do Amaral 

    Trabalho Realizado Por:
    Beatriz Polónio (nº 66315)

Share
Crie o seu site grátis! Este site foi criado com a Webnode. Crie o seu gratuitamente agora! Comece agora