Da Estratégia de Segurança da Informação na União Europeia

Da Estratégia de Segurança da Informação na União Europeia Santa Maria, 29 de maio de 2015

Manuel David Masseno

1

Das Estratégias de Segurança da Informação na UE

A – Enquadramento Geral Há pouco mais de um mês, foi apresentada a Comunicação da Comissão ao Conselho e ao ao Parlamento Europeu – O Programa europeu em matéria de segurança (COM(2015) 185 final), de 28 de abril de 2015 Em atenção ao Princípio da Subsidariedade (Art.º 5.º n.ºs 1 e 3 do Tratado da União Europeia), a Comissão Juncker propõe-se complementar a ação dos Estados-Membros nos domínios da Segurança que mais preocupam os Cidadãos:  o Terrorismo  a Criminalidade Organizada e  a Cibercriminalidade Agora, iremos nos centrar nas implicações do Programa em matéria de Cibersegurança e de Combate ao Cibercrime 2

Das Estratégias de Segurança da Informação na UE

“O terrorismo, a criminalidade organizada e a cibercriminalidade constituem desafios para a segurança complexos e em permanente evolução, que não respeitam as fronteiras da Europa. Assim, chegou a hora de os europeus trabalharem melhor e de forma mais próxima para garantir a segurança dos cidadãos. Através desta agenda partilhada por todos os países da UE, pretendemos que as autoridades nacionais cooperem de forma mais eficaz e num espírito de confiança mútua. Os terroristas atacam os valores democráticos que nos são caros. Defenderemos firmemente os direitos fundamentais e trabalharemos para resolver as causas subjacentes à radicalização, promovendo uma genuína cultura de tolerância nas nossas sociedades.” (Frans Timmermans, 1.º Vice-Presidente da Comissão Europeia) 3

Das Estratégias de Segurança da Informação na UE

“Sem liberdade não pode haver segurança, assim como sem segurança não pode haver liberdade. A Comissão assume um papel de iniciativa neste domínio, ao apresentar uma Agenda Europeia para a Segurança centrada nos setores em que a União Europeia poderá fazer verdadeiramente a diferença. A agenda não surge apenas em resposta aos recentes eventos trágicos. Representa, isso sim, uma renovação da nossa Estratégia de Segurança comum, num ambiente político e jurídico em evolução e no qual todos concordamos que deveremos confiar uns nos outros, por forma a conseguir coordenar eficazmente a nossa ação e trocar a informação necessária para enfrentar as novas ameaças. A agenda estabelece medidas concretas para a transformação destes princípios fundamentais em realidades práticas: um conjunto de medidas fortes, que vão desde uma ação preventiva até medidas nos domínios da proteção, da deteção e da aplicação da legislação.” (Dimitris Avramopoulos, Comissário responsável pela Migração, Assuntos Internos e Cidadania) 4

Das Estratégias de Segurança da Informação na UE

B – Um Ponto de Partida: garantir o “respeito absoluto pelos Direitos Fundamentais” 

sobretudo num Estado de Direito, as questões dos fins e dos meios devem estar sempre presentes nas políticas de segurança



id est, as ações de prevenção e de investigação criminal apenas estão legitimadas se tiverem como finalidade e decorrerem no estrito quadro dos Direitos Fundamentais, de todos, tendo por referência constante o Princípio da Proporcionalidade por outras palavras, não é concebível uma ação centrada na eliminação do inimigo, mesmo se eletrónico o que decorre diretamente do Tratado da União Europeia (Art.ºs 1.º e 2.º n.º 2)





5

Das Estratégias de Segurança da Informação na UE

Já antes, designadamente:  na Estratégia da União Europeia para a cibersegurança: “Um ciberespaço aberto, seguro e protegido” (JOIN(2013) 1 final), de 7 de fevereiro, são enunciados os Princípios da Cibersegurança, em cujos termos valores fundamentais da UE aplicam-se tanto no mundo digital como no mundo físico e que o essencial é proteger os direitos fundamentais, a liberdade de expressão, os dados pessoais e a privacidade ou  na Comunicação da Comissão, “Rumo a uma política da UE em matéria penal: assegurar o recurso ao direito penal para uma aplicação efectiva das políticas da UE” (COM(2011) 573 final, de 20 de setembro 6

Das Estratégias de Segurança da Informação na UE

Sendo reafirmados os Princípios fundamentais: 







“O direito penal deve manter-se sempre uma medida de último recurso; As sanções penais são reservadas aos ilícitos especialmente graves; As medidas de direito penal podem afectar os direitos fundamentais, pelo que a nova legislação deve respeitar plenamente os direitos fundamentais previstos na Carta dos Direitos Fundamentais da UE e na Convenção Europeia de Proteção dos Direitos do Homem; Todas as decisões quanto ao tipo de medida ou sanção penal a adoptar devem ser acompanhadas de provas fatuais claras e respeitar os princípios da subsidiariedade e da proporcionalidade.” 7

Das Estratégias de Segurança da Informação na UE

Agora:  é recolocada a tónica no respeito pelos Valores inerentes a Sociedades Abertas, nomeadamente ao Princípio do Estado de Direito e aos Direitos enunciados na Carta da União Europeia  limitando as restrições aos critérios de necessidade e proporcionalidade, enunciados na própria Carta, e incluindo as devidas garantias de controle jurisdicional (Art.º 52.º n.º 1) e ainda  são ainda feitas referências expressas ao Acórdão de 8 de abril de 2014, Digital Rights Ireland e Seitlinger e o. Processo C-293/12 (Processos apensos C-293/12, C-594/12) 8

Das Estratégias de Segurança da Informação na UE 





“Em conformidade com o artigo 52.º, n.º 1, da Carta, quaisquer restrições ao exercício dos direitos e liberdades reconhecidos por esta devem ser previstas por lei, respeitar o conteúdo essencial desses direitos e liberdades e, na observância do princípio da proporcionalidade, essas restrições só podem ser introduzidas se forem necessárias e corresponderem efetivamente a objetivos de interesse geral reconhecidos pela União, ou à necessidade de proteção dos direitos e liberdades de terceiros.”, logo “No que respeita ao caráter necessário da conservação dos dados […], cabe observar que é verdade que a luta contra a criminalidade grave […] assume primordial importância para garantir a segurança pública e a sua eficácia pode depender em larga medida da utilização das técnicas modernas de investigação.” e “Quanto ao direito ao respeito pela vida privada […] a proteção deste direito fundamental exige, em quaisquer circunstâncias, que as derrogações à proteção dos dados pessoais e as suas limitações devem ocorrer na estrita medida do necessário.” 9

Das Estratégias de Segurança da Informação na UE 

aliás, já a Diretiva 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações eletrónicas, dispunha que “Os EstadosMembros podem adoptar medidas legislativas para restringir o âmbito dos direitos e obrigações previstos [desde que] que essas restrições constituam uma medida necessária, adequada e proporcionada numa sociedade democrática para salvaguardar a segurança nacional a defesa, a segurança pública, e a prevenção, a investigação, a detecão e a repressão de infrações penais ou a utilização não autorizada do sistema de comunicações eletrónicas. [na linha do Art.º 8.º n.º 2 da Convenção Europeia dos Direitos do Homem] Para o efeito, os Estados-Membros podem designadamente adotar medidas legislativas prevendo que os dados sejam conservados durante um período limitado, pelas razões enunciadas no presente número.” (Art.º 15.º n.º 1) 10

Das Estratégias de Segurança da Informação na UE

C – Os Antecedentes Este Programa surge na sequência uma longa série de documentos com preocupações análogas, ao longo de mais de uma década a) em termos gerais: 



o “Programa de Tampere”, adotado pelo Conselho Europeu a 15 e 16 de outubro de 1999, tendo por objeto a instituição de “um espaço de liberdade, de segurança e de justiça” na União Europeia a Comunicação da Comissão “Programa de Haia: dez prioridades para os próximos cinco anos. Parceria para a renovação europeia no domínio da liberdade, da segurança e da justiça” (COM(2005) 184 final, de 10 de maio 11

Das Estratégias de Segurança da Informação na UE 







a Comunicação da Comissão “Elaboração de um conceito estratégico para combater a criminalidade organizada” (SEC (2005) 724), de 2 de junho o “Programa de Estocolmo”, do Conselho Europeu, “Uma Europa aberta e segura que sirva e proteja os cidadãos” (2010/C 115/01), de 4 de maio a Comunicação da Comissão “Rumo a uma política da UE em matéria penal: assegurar o recurso ao direito penal para uma aplicação efectiva das políticas da UE” (COM(2011) 573 final, de 20 de setembro e a Comunicação da Comissão “Como conseguir uma Europa aberta e segura”, do Conselho, (COM(2014) 154 final, de 11 de março 12

Das Estratégias de Segurança da Informação na UE

b) no que se refere à Segurança da Informação: 









a Comunicação da Comissão ‘‘Segurança das redes e da informação: Proposta de uma abordagem política europeia” (COM(2001) 298 final, de 6 de junho a Estratégia da Comissão “Para uma sociedade da informação segura” (COM(2006) 251 o Plano de ação e Comunicação da Comissão sobre “A proteção das infraestruturas críticas da informação” (COM(2009) 149, de 30 de março a Comunicação da Comissão “Governo da Internet: as próximas etapas” (COM(2009) 277, e 17 de novembro e a Comunicação da Comissão “Luta contra a criminalidade na era digital: criação de um Centro Europeu da Cibercriminalidade” (COM(2012) 0140 final, de 28 de março 13

Das Estratégias de Segurança da Informação na UE

c) e quanto ao Terrorismo: 







a Comunicação da Comissão “Prevenção, estado de preparação e capacidade de resposta aos atentados terroristas” (COM (2004) 698 final, de 20 de outubro a Comunicação da Comissão “Estado de preparação e gestão das consequências na luta contra o terrorismo” (COM (2004) 701 final, também de 20 de outubro e a Comunicação da Comissão “Proteção das infraestruturas críticas na luta contra o terrorismo” (COM(2004) 702 final, ainda de 20 de outubro, e o Livro Verde relativo a um programa europeu de protecção das infraestruturas críticas (COM (2005) 576 final, de 17 de novembro 14

Das Estratégias de Segurança da Informação na UE

D – Os Conteúdos a) as orientações transversais: 









o reforço da responsabilidade, da transparência e do controle democráticos, agora com competência codecisional do Parlamento Europeu em matéria penal, por força do Tratado de Lisboa a afirmação da necessidade de uma cooperação global, das Instituições e Agências da EU, dos Estados-Membros e das Autotidades Nacionais uma melhor utilização e aplicação dos instrumentos legislativos existentes uma abordagem inter-setorial e inter-agências das questões e a conjugação das dimensões interna e externa da segurança, pelo diálogo com países e organizações 15

Das Estratégias de Segurança da Informação na UE

b) as ações, no que se refere à Informação: 

potenciar o Sistema de Informação Schengen (SIS) 









apoiar tecnicamente os Estados-Membros com maiores dificuldades articular o SIS com a Europol no que se refere a documentos de voo furtados ou perdidos (SLTD) implementar indicadores de risco comuns no que se refere ao acesso e circulação na União, começando pelos “combatentes terroristas estrangeiros” por em ação a partilha de dados prevista no Tratado de Prüm, de ADN, impressões digitais e registos dos veículos

outras ações 

fomentar a utilização da Rede de Troca de Informação Segura (SIENA), da Europol 16

Das Estratégias de Segurança da Informação na UE 











estabelecer um regime europeu para Registo de Nomes de Passageiros (PNR) concluir o processo legislativo correspondente ao Regulamento Geral sobre Proteção de Dados Pessoais até final de 2015 promover a Segurança e a Privacidade desde a conceção das aplicações acompanhar a evolução das disciplinas nacionais em matéria de conservação de dados do tráfego / registros de conexão aperfeiçoar o Sistema Europeu de Informação sobre os Registos Criminais (ECRIS), nele incluindo as condenações de residentes em países terceiros lançar um projeto piloto de Sistema Europeu de Registo Criminal (EPRIS), possibilitando o acesso transfronteiras das polícias, em tempo real 17

Das Estratégias de Segurança da Informação na UE

c) as prioridades, sempre no que se refere à Segurança da Informação: 

Lutar contra o Terrorismo e prevenir a radicalização 









dar resposta ao alarme social decorrente dos atentados de Copenhaga, Paris e Bruxelas impedir a participação de cidadãos europeus em ações terroristas no exterior (Síria, Iraque e Líbia) focando e reforçando a atuação da Europol na matéria e criando em Centro Europeu de Luta contra o Terrorismo e uma Unidade de Identificação de Conteúdos na Internet (EU IRU), no seu seio lançar, ainda em 2015, um Fórum Europeu com o Setor da Informática, para envolver este com as Forças de Segurança e a Sociedade Civil reforçar a proteção das Infraestruturas Críticas 18

Das Estratégias de Segurança da Informação na UE 

Combater o Cibercrime 







tornou-se uma das principais ameaças contra os direitos fundamentais dos cidadãos e a competitividade das empresas europeias, podendo por em causa o Mercado Único Digital promover a rápida transposição da Diretiva 2013/40/UE do Parlamento Europeu e do Conselho, de 12 de agosto de 2013, relativa aos ataques contra os sistemas de informação obter a ratificação, por todos os Estados-Membros da Convenção do Conselho da Europa sobre o Cibercrime, adotada em Budapeste, a 23 de novembro de 2001 conseguir uma rápida adoção da Proposta de diretiva relativa às medidas destinadas a garantir um elevado nível de segurança das redes e da informação na União (COM(2013) 48 final), de 7 de fevereiro 19

Das Estratégias de Segurança da Informação na UE

E – As “Faltas” a) desconsideração da “Estratégia da União Europeia para a cibersegurança: um ciberespaço aberto, seguro e protegido” (JOINT(2013), de 7 de fevereiro48 final, de 7 feiro Recordando as correspondentes Prioridades Estratégicas e Ações: 

garantir a resiliência do ciberespaço :reforçar

a capacidade de resposta concertada, se possível com a ENISA  estabelecer requisitos mínimos comuns para a segurança das redes e da informação – SRI  articular os CERT com um CERT-EU 20

Das Estratégias de Segurança da Informação na UE :envolver

o setor privado, na prevenção e na resposta a incidentes de segurança, no segundo caso sobretudo em termos de alertas 

reduzir drasticamente a cibercriminalidade :aplicar

a Convenção de Budapeste, em todos os Estados-membros  adotar a Proposta de Diretiva sobre os ataques contra sistemas de informação e transpor em todos os Estados-Membros a relativa à luta contra o abuso sexual e a exploração sexual de crianças e a pornografia infantil reforçar os meios operacionais, nacionais e da EU  criar uma maior coordenação entre as polícias dos Estados-Membros, via Europol, e entre os sistemas judiciais, através do Eurojust 21

Das Estratégias de Segurança da Informação na UE :apoiar

o EC3 - Centro Europeu da Cibercriminalidade 

desenvolver a política e as capacidades no domínio da ciberdefesa no quadro da Política Comum de Segurança e Defesa (PCSD) :pela

Alta Representante e através da Agência Europeia de Defesa  promovendo a coordenação entre meios civis e meios militares 

desenvolver os recursos industriais e tecnológicos para a cibersegurança :promover

um mercado único dos produtos de cibersegurança  promover os investimentos em I&D e em inovação no setor 22

Das Estratégias de Segurança da Informação na UE 

estabelecer uma política internacional coerente em matéria de ciberespaço para a União Europeia :integrar

as questões do ciberespaço nas relações externas e na Política Externa e de Segurança Comum (PESC) da EU  reforçar as capacidades em matéria de cibersegurança e desenvolvimento de infraestruturas informáticas resilientes nos países terceiro

b) omissão de quaisquer referências à identificação eletrónica mesmo com o recém adotado Regulamento (UE) n.º 910/2014, do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno… 

23

Das Estratégias de Segurança da Informação na UE

F – A Outra Segurança da Informação Entretanto foi também anunciada a Estratégia para o Mercado Único Digital (COM(2015) 192 final), de 6 de maio de 2015  Estratégia esta que assenta em três pilares: 

I - melhor acesso dos consumidores e empresas a bens e serviços digitais em toda a Europa;



II - criação de condições adequadas e de condições de concorrência equitativas para o desenvolvimento de redes digitais e de serviços inovadores; e



III - otimização do potencial de crescimento da economia digital 24

Das Estratégias de Segurança da Informação na UE 

no II Pilar, são tratadas as questões relativas à Confiança e à Segurança, nomeadamente: 



as vias garantir a remoção de conteúdos ilícitos, sem afetar a Liberdade de Expressão o imperativo de reforçar a confiança no Mercado através da proteção de dados pessoais com  





a adoção rápida do Regulamento Geral uma reforma da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações electrónicas, alargando o seu âmbito para além dos operadores de telecomunicações o apoio ao desenvolvimento de tecnologias de reforço da Privacidade (PET), prevista na Estratégia de Cibersegurança, e a criação de uma Parceria Público-Privada no domínio das tecnologias de cibersegurança, em 2016 25