Comemorou-se este ano o 3º aniversário da aplicabilidade do Regulamento Geral de Proteção de Dados (RGPD). Publicado em 2016 e com um período de adaptação de dois anos, tornou-se aplicável no dia 25 de maio 2018 em todos os países membros da União Europeia.
O RGPD trouxe alguns conceitos que, não sendo propriamente novos e numa sociedade em transformação digital abruptamente acelerada em 2020, ganharam nova relevância no contexto da proteção de dados pessoais, essencialmente fruto do reforço dos direitos dos titulares e da clarificação relativa ao conceito de “dado pessoal”.
Já existia em Portugal uma lei que assegurava a proteção dos dados pessoais, a antiga Lei nº67/98, a qual acabou por ser revogada pela Lei n.º 58/2019, de 8 de agosto, curiosamente um ano após o 25 de maio de 2018, passando esta a ser a nova Lei de Proteção de Dados, que assegura hoje a execução do RGPD na ordem jurídica portuguesa.
Afinal de contas o que mudou com o RGPD? Que singularidade devemos enfatizar durante 2020? Nunca em momento algum, na sociedade moderna, a Privacidade e a Segurança dos nossos dados pessoais e da informação organizacional, respetivamente, foram tão considerados e escrutinados. A privacidade, ou como diria Samuel D. Warren, “the right to be left alone”, foi irremediavelmente exposta pelo trabalho remoto, colocando em causa não só a segurança do hospedeiro, como de todo o ecossistema onde o mesmo se aloja.
No passado dia 3 de maio de 2021 terminou a consulta pública relativa ao Decreto-Lei. Este Decreto-Lei procede, por um lado, à regulamentação do regime jurídico da segurança do ciberespaço, aprovado pela Lei n.º 46/2018, de 13 de agosto, transpondo a Diretiva (UE) 2016/1148 (Diretiva NIS), e, por outro, assegura a execução, na ordem jurídica nacional, das obrigações decorrentes do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019 (Cybersecurity Act) sobre certificação da Cibersegurança.
Para este efeito, estabelece que o CNCS é a Autoridade Nacional de Certificação da Cibersegurança e prevê o regime sancionatório pela violação das disposições do Regulamento, permitindo a implementação de um Quadro Nacional de Certificação da Cibersegurança.
Esta iniciativa, alinhada com a Diretiva NIS 2 e apresentada pela Comissão Europeia em 16 de dezembro de 2020, tem como objetivo aumentar o âmbito de atuação e elegibilidade das organizações suscetíveis aos cumprimentos das regras de segurança de informação. É exatamente neste espectro sancionatório que o RGPD foi impulsionado e é com a mesma premissa que se espera que o tema da segurança da informação seja impulsionado, de mãos dadas com a privacidade num contexto cada vez mais complexo e díspar, de seu nome trabalho remoto, onde a segurança da nossa privacidade potencia outra nova dimensão.
Num período em que os casos relacionados com a privacidade dos dados pessoais e a segurança da informação são notícia diária, o tema em apreço é definitivamente a grande preocupação emergente, a qual paradoxalmente nos alerta para que encaremos a privacidade e a segurança como elementos irremediavelmente agregados e inevitavelmente agregadores em toda a sociedade, durante os próximos anos.