Da Proteção de Dados em tempos de \'Big Data\'. Que exigências para as Administrações Públicas?
Descrição do Produto
Da Proteção de Dados em tempos de 'Big Data' Que exigências para as Administrações Públicas?
Manuel David Masseno GSSI 1
Da Proteção de Dados em tempos de ‘Big Data’
1 – Um par de premissas:
a expressão Big Data, "refere-se a conjuntos de dados gigantescos detidos por empresas, governos e outras grandes organizações, que são extensivamente analisados utilizando algoritmos computacionais" (Opinião n.º 3/2013 do Grupo de Trabalho do Artigo 29.º)
tecnicamente, resulta da confluência de tecnologias: as comunicações de banda larga, a Internet das Coisas e a Computação em Nuvem
com uma perspetiva europeia: a Diretiva 95/46/CE, de 24 de outubro de 1995, a Jurisprudência do Tribunal de Justiça da UE (Digital Rights Ireland, de 8 de abril de 2014, e Schrems, de 2015) e ainda o Novo Regulamento Geral, em fase de Triálogo 2
Da Proteção de Dados em tempos de ‘Big Data’
2 – Possibilidades e Consequências: a) entre a Eficiência
com um aumento radical da eficiência nos processos e na alocação de recursos, incluindo a deteção de fraudes e falhas possibilitando a deteção de micro-tendências, indo além dos métodos analíticos assentes em amostragens, incluindo o data mining habitual, possibilitando intervenções precoces
b) e o Controle
porém, passa a possibilitar um controle permanente e, tendencialmente, integral sobre as pessoas, com: dados coligidos e tratados em tempo real dados conservados por tempo indeterminado, com vista a obter informações ainda não evidentes, muitas delas nem sequer previstas, levando ao estabelecimento de perfis detalhados para cada pessoa, depois usados para prever e avaliar os respetivos comportamentos 3
Da Proteção de Dados em tempos de ‘Big Data’
3 – O Objeto:
a Atividade Administrativa, tanto jurídica quanto
material, corresponde, essencialmente, ao “tratamento de dados pessoais”, id est:
“’Tratamento de dados pessoais’ (‘tratamento’), qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição” sendo “’ Dados pessoais’, qualquer informação relativa a uma pessoa singular identificada ou identificável” (Art.º 2.º, alíneas b) e a), da Diretiva 95/46/CE) 4
Da Proteção de Dados em tempos de ‘Big Data’
4 – Delimitação:
ainda em termos preliminares e de forma a eliminar incertezas regulatórias, terei por objeto apenas a Administração Pública hoc sensu, nos seus vários níveis horizontais de fora ficam os setores com disciplinas próprias:
por um lado, as empresas públicas e os serviços de interesse geral, aos quais serão de aplicar os regimes comuns de proteção de dados, ou os especiais no que se refere às comunicações eletrónicas por outro, a Polícia e a Justiça, sobretudo a criminal, com as respetivas regras especiais em termos de tratamento e segurança dos dados, bem como os Serviços de Informações, onde existam e com regimes frequentemente excecionais, legitimados pela raison d'État 5
Da Proteção de Dados em tempos de ‘Big Data’
4 – O Tratamento de Dados:
no que se refere à Qualidade dos Dados (Art.ºs 6.º da Diretiva 95/46/CE e 5.º do Novo Regulamento), o quadro de referência é distinto face às Organizações Privadas. Assim:
a exigência de um consentimento informado tem um papel residual, perante a prossecução de fins públicos o mesmo ocorrendo com as oposições ao tratamento de dados, sobretudo quando se trata de bases de dados obrigatórias, como ocorre com os Registos em contrapartida, todos os tratamentos de dados, mesmo os não obtidos dos administrados, como os resultantes da recolha de informações em fontes abertas (OSINT), só são lícitos com base em atribuições legais expressas de competências e com estrito respeito pelos Princípios da Proporcionalidade e da Boa-Fé 6
Da Proteção de Dados em tempos de ‘Big Data’
5 – A Afetação Funcional:
por outro lado, cada entidade administrativa está vinculada a tratar os dados pertinentes aos seus fins próprios
logo, fica fora de causa a fusão de bases de dados e as interconexões deverão ser objeto de controle, tanto a priori quanto a posteriori
trata-se de impedir, ou dificultar ao máximo, o estabelecimento de perfis e decisões tomadas com base nestes (Art.ºs 15.º da Diretiva 95/46/CE e 20.º do Novo Regulamento)
sobretudo pelos erros nas inferências e pelo potencial de discriminação de minorias, ou dos mais afastados do Poder Político dominante
7
Da Proteção de Dados em tempos de ‘Big Data’
4 – A Permanência:
uma outra questão fundamental prende-se com a conservação dos dados:
ora, o serem os fins da Administração Pública perpétuos, não legitima que os dados possam ser mantidos por tempo indeterminado, sempre assim como, também não poderão os administrados invocar um “direito ao esquecimento” o que implica o estabelecer de regras que limitem funcionalmente tal conservação, de acordo com os objetivos de cada tratamento embora alguns tratamentos, como os dos Registos, tenham vocação de continuidade, o que exige um controle mais apertado tudo isto, dificulta a constituição de “séries longas” para análise 8
Da Proteção de Dados em tempos de ‘Big Data’
por outro lado, a reutilização de dados do Setor Público fica muito dificultada
v.g., os regimes decorrentes ou inspirados na Diretiva PSI (Diretiva 2003/98/CE, de 17 de novembro de 2003, relativa à reutilização de informações do sector público, como alterada pela Diretiva 2013/37/UE, de 26 de junho de 2013) são conhecidas as potencialidades de retorno para a Sociedade, sobretudo para as empresas, decorrentes do acesso a informações, originariamente, obtidas pelas Administrações Públicas com a possibilidade de tratamento através das técnicas inerentes à Big Data, mesmo em caso de anonimização, a barreira colocada pela Diretiva 2003/98/CE (Art.º 1.º n.º 4) alarga radicalmente a respetiva esfera de ação enquanto, o próprio “Princípio da Administração Aberta” tem de ser repensado
9
Da Proteção de Dados em tempos de ‘Big Data’
5 – A Segurança dos Dados:
distinguindo sempre entre Proteção e Segurança de Dados, inclusive porque a maior ameaça à Proteção de Dados consiste nas utilizações indevidas, é indispensável deixar algumas reflexões:
as Regras de Segurança de Sistemas têm de ser mais estritas sempre que se trate de tratamento dados pessoais um tal tratamento deve poder ser acompanhado, de perto e em tempo real, pelos Responsáveis por cada Entidades Administrativa, com supervisão de uma Autoridade Independente o que, no máximo admite um insourcing, nunca um outsoursing, muito menos na dependência de um prestador de serviços de Cloud, pela possibilidade devassa por terceiros, inclusive outros 10
Da Proteção de Dados em tempos de ‘Big Data’
neste mesmo sentido, os Acórdãos Digital Rights Ireland, de 8 de abril de 2014 (Processo C-293/12), e Schrems, de 6 de outubro de 2015 (Processo C-362/14), do Tribunal de Justiça da União Europeia, são muito claros o que nem evita, absolutamente e só por si, quebras massivas de segurança, como a sofridas recentemente pela OPM - United States Office of Personnel Management… finalmente, atendendo à perda de eficácia da anonimização, torna-se necessária a encriptação dos ficheiros contendo dados pessoais tratados pela Administração Pública, processando-se a sua consulta, tanto interna como por terceiros, através de sistemas de identificação segura, com diversos níveis de acesso, designadamente por meio de assinaturas eletrónicas
11
Lihat lebih banyak...
Comentários
