Ir para conteúdo

SUMÁRIO EXECUTIVO

O objetivo deste Relatório é analisar os principais problemas éticos e jurídicos associados à (in)segurança no ciberespaço e as soluções que têm vindo a ser adotadas a nível internacional e nacional para resolver ou minorar estes problemas. A análise é dividida em três capítulos, incidindo sucessivamente sobre os desafios ético-morais, a genealogia legal e a aplicação prática do quadro normativo.

O primeiro capítulo faz o mapeamento das questões éticas suscitadas pela cibersegurança, a partir da observação da omnipresença da tecnologia na vida social e dos riscos daí decorrentes para os direitos fundamentais, a democracia e o Estado de Direito. É dedicada especial atenção ao papel eticamente ambíguo desempenhado pelos hackers e aos especiais deveres éticos que impendem sobre os profissionais de cibersegurança, ainda que não se descure que também os Estados, as empresas, as organizações e os cidadãos comuns têm o dever de atuar de forma responsável no ciberespaço.

O segundo capítulo - Genealogia Legal - analisa a evolução do Direito internacional, europeu e nacional da cibersegurança, começando por apresentar um panorama geral dos desenvolvimentos normativos ocorridos a partir da década de 1990, no plano interno e ao nível da União Europeia e demais organizações internacionais que Portugal integra. Segue-se a identificação das agências e organismos responsáveis por matérias de cibersegurança, na União Europeia e em Portugal, e um conjunto de análises setoriais sobre áreas relevantes para a discussão do Direito da cibersegurança - infraestruturas críticas e serviços essenciais, cibercrime e prova digital, proteção de dados pessoais, comunicações eletrónicas, comércio eletrónico, pagamentos eletrónicos e identificação eletrónica, propriedade intelectual e transição digital da Administração Pública.

O terceiro capítulo - Aplicação do Quadro Normativo - incide sobre o modo como os instrumentos legislativos de Direito da União Europeia e de Direito português têm vindo a ser aplicados pelos tribunais e pelas autoridades administrativas com poderes de fiscalização e sanção, centrando-se nas questões da cibercriminalidade, da prova digital e da proteção de dados. Analisa a jurisprudência relevante do Tribunal de Justiça da União Europeia e algumas pronúncias recentes de tribunais portugueses a respeito da conformidade da lei portuguesa com o Direito da União Europeia e da articulação da Lei do Cibercrime com o Código de Processo Penal. Analisa também as deliberações tomadas pela Comissão Nacional de Proteção de Dados desde 2018. Tendo como referência o ano de 2019, ainda que com pontuais comparações com anos anteriores, faz-se a apresentação de dados relativos ao número e tipo de cibercrimes registados pelas autoridades, ao número e tipo de incidentes de segurança registados pela Equipa de Resposta a Incidentes de Segurança Informática Nacional e pela Autoridade Nacional de Comunicações, e ao número de operadores de serviços essenciais identificados pelo Centro Nacional de Cibersegurança.

Este Relatório utiliza predominantemente fontes abertas, como bases de legislação e de jurisprudência, ainda que a sua preparação tenha envolvido a consulta de elementos facultados pelo Centro Nacional de Cibersegurança e beneficiado dos contributos dos vários parceiros ligados à Justiça e à Segurança que se prestaram a colaborar neste trabalho.

DESTAQUES ÉTICA

A insegurança no ciberespaço e os mecanismos de controlo e proteção cibernéticos podem ter efeitos devastadores para a dignidade da pessoa humana, com o potencial de afetar valores como a privacidade, a propriedade, a liberdade, a saúde ou mesmo a vida.

Os fundamentais desafios éticos com que se defronta a cibersegurança prendem-se com a necessidade de a mesma cumprir os seus propósitos no respeito pelos limites que constituem os valores subjacentes à proteção da dignidade da pessoa humana.

Os fornecedores de cibersegurança têm de lidar com os desafios éticos associados ao conhecimento dos limites da sua própria atuação: saber até onde devem ir para garantir os propósitos de segurança e integridade das redes, sem contender com os interesses e direitos fundamentais dos vários agentes envolvidos.

A heterogeneidade dos contextos em que atua a cibersegurança e a celeridade a que se verificam as transformações tecnológicas inviabilizam a implementação de diretrizes éticas estáveis e uniformes.

O legislador tem dificuldade em acompanhar, em tempo útil, as transformações tecnológicas. Em todo o caso, a ética não se esgota nas leis, nem se confunde com elas. Um comportamento lícito não é necessariamente um comportamento ético.

A definição de estratégias de cibersegurança deve atender à proteção de valores passíveis de congregação em torno dos eixos da confiabilidade, da transparência, da responsabilidade e dos direitos fundamentais.

A promoção da cultura de transparência e da ética de responsabilidade impende sobre as entidades prestadoras de serviços, públicas ou privadas, sobre os profissionais de cibersegurança e sobre os próprios cidadãos, enquanto utilizadores das plataformas e sistemas digitais.

É fundamental o papel desempenhado pelos cidadãos, informados e educados numa ética de responsabilidade, para o adequado funcionamento das estruturas e redes digitais.

DESTAQUES GENEALOGIA LEGAL

Panorama geral

A insegurança no ciberespaço e os mecanismos de controlo e proteção cibernéticos podem ter efeitos devastadores para a dignidade da pessoa humana, com o potencial de afetar valores como a privacidade, a propriedade, a liberdade, a saúde ou mesmo a vida.

Os fundamentais desafios éticos com que se defronta a cibersegurança prendem-se com a necessidade de a mesma cumprir os seus propósitos no respeito pelos limites que constituem os valores subjacentes à proteção da dignidade da pessoa humana.

Os fornecedores de cibersegurança têm de lidar com os desafios éticos associados ao conhecimento dos limites da sua própria atuação: saber até onde devem ir para garantir os propósitos de segurança e integridade das redes, sem contender com os interesses e direitos fundamentais dos vários agentes envolvidos.

A heterogeneidade dos contextos em que atua a cibersegurança e a celeridade a que se verificam as transformações tecnológicas inviabilizam a implementação de diretrizes éticas estáveis e uniformes.

O legislador tem dificuldade em acompanhar, em tempo útil, as transformações tecnológicas. Em todo o caso, a ética não se esgota nas leis, nem se confunde com elas. Um comportamento lícito não é necessariamente um comportamento ético.

A definição de estratégias de cibersegurança deve atender à proteção de valores passíveis de congregação em torno dos eixos da confiabilidade, da transparência, da responsabilidade e dos direitos fundamentais.

A promoção da cultura de transparência e da ética de responsabilidade impende sobre as entidades prestadoras de serviços, públicas ou privadas, sobre os profissionais de cibersegurança e sobre os próprios cidadãos, enquanto utilizadores das plataformas e sistemas digitais.

É fundamental o papel desempenhado pelos cidadãos, informados e educados numa ética de responsabilidade, para o adequado funcionamento das estruturas e redes digitais.


Quadro institucional de referência

Na União Europeia, os atores mais relevantes no tratamento das matérias de cibersegurança são a Agência da União Europeia para a Cibersegurança (ENISA), a equipa de resposta a emergências informáticas (CERT.EU) e o Centro Europeu da Cibercriminalidade (EC3).

Em Portugal, a Autoridade Nacional de Cibersegurança é o Centro Nacional de Cibersegurança, que faz parte do Gabinete Nacional de Segurança. Outros atores importantes incluem o Conselho Superior de Segurança do Ciberespaço, a Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica da Polícia Judiciária (UNC3T), o Gabinete Cibercrime da Procuradoria-Geral da República, a Equipa de Resposta a Incidentes de Segurança Informática Nacional (CERT.PT) e a Comissão Nacional de Proteção de Dados.


Infraestruturas críticas e serviços essenciais

O aumento das ligações (e da dependência) entre as infraestruturas críticas dos Estados e as redes e os sistemas e serviços de informação trouxe novos riscos e vulnerabilidades para a segurança dos Estados, motivando a adoção de medidas destinadas a assegurar a proteção das redes e infraestruturas.

A Diretiva 2008/114/CE, de 18 de dezembro, estabeleceu um procedimento de identificação e designação das Infraestruturas Críticas Europeias (ICE) e uma abordagem comum relativa à avaliação da necessidade de melhorar a sua proteção.

O Decreto-Lei n.º 62/2011, de 9 de maio, que transpôs a Diretiva 2008/114/CE, estabeleceu os procedimentos de identificação e de proteção das infraestruturas essenciais nos sectores da energia e transportes.

A Diretiva 2016/1148, de 6 de julho (Diretiva SRI), veio promover uma cultura de gestão dos riscos, com partilha de responsabilidades entre entidades públicas e privadas, e consagrar um padrão mínimo comum de segurança para operadores de serviços essenciais e prestadores de serviços digitais.

Para além dos setores da energia e dos transportes, a Diretiva SRI identifica como operadores de serviços essenciaisas entidades públicas ou privadas do setor bancário e infraestruturas do mercado financeiro, do setor da saúde, do setor do fornecimento e distribuição de água potável e as infraestruturas digitais.

Para a concreta identificação dos operadores de serviços essenciais, a Diretiva SRI elenca um conjunto de critérios que se prendem com a atividade social e/ou económica crucial desenvolvida, com a dependência das redes e sistemas de informação para a prestação desse serviço, e com os efeitos perturbadores na prestação desse serviço que um incidente possa causar.

Para alcançar um elevado nível comum de segurança das SRI em todo o território da União, a Diretiva cria um grupo de cooperação e uma rede de equipas de resposta a incidentes de segurança informática (Rede Europeia de CSIRT).

A Diretiva SRI foi transposta para a ordem jurídica portuguesa pela Lei n.º 46/2018, de 13 de agosto, que estabeleceu o regime jurídico da segurança do ciberespaço, fixou deveres de notificação de incidentes e estabeleceu um regime sancionatório para o incumprimento, nomeadamente, dos deveres de notificação.

A Lei n.º 46/2018, de 13 de agosto, remeteu para legislação complementar a definição dos requisitos de segurança das redes e dos sistemas de informação e a definição dos requisitos de notificação de incidentes. Esta legislação ainda não foi adotada, pelo que o regime instituído pela Lei n.º 46/2018 irá evoluir significativamente num futuro próximo.


Cibercrime e prova digital

A lei de referência em Portugal sobre o cibercrime é a Lei n.º 109/2009, de 15 de setembro (Lei do Cibercrime), que resulta da transposição para a ordem jurídica interna da Decisão-Quadro 2005/222/JAI, do Conselho, de 24 de fevereiro, relativa a ataques contra sistemas de informação, e da adaptação da ordem jurídica portuguesa à Convenção do Conselho da Europa sobre o Cibercrime, de 2001, que Portugal assinou em 2001 e ratificou em 2009.

Para além de tipos legais de crime atualizados face Lei da Criminalidade Informática, de 1991, a Lei do Cibercrime introduziu, no ordenamento jurídico português, um conjunto de disposições processuais relativas à prova digital.

A interpretação e a aplicação da Lei do Cibercrime e demais normas aplicáveis em matéria de cibercrime e prova digital têm suscitado dúvidas na jurisprudência e na doutrina portuguesas, sobretudo no que respeita à articulação entre a Lei do Cibercrime e o Código de Processo Penal, mas também quanto à compatibilidade do regime jurídico relativo à conservação de dados gerados ou tratados no contexto de comunicações eletrónicas (Lei n.º 32/2008, de 17 de julho) com o Direito da União Europeia.

Aguarda-se a conclusão do procedimento formal de infração movido pela Comissão Europeia contra Portugal relativo à transposição da Diretiva 2013/40/UE, de 12 de agosto, relativa a ataques contra os sistemas de informação, que substituiu a Decisão-Quadro 2005/222/JAI.


Proteção de dados pessoais

A proteção de dados pessoais tem uma longa tradição no Direito internacional dos direitos humanos, enquanto dimensão da proteção da intimidade da vida privada e familiar. No Direito da União Europeia, a proteção de dados pessoais constitui um direito fundamental autónomo, consagrado no artigo 8.º da Carta dos Direitos Fundamentais da União Europeia.

O Regulamento Geral de Proteção de Dados, adotado em 2016, veio assegurar às pessoas singulares de todos os Estados Membros o mesmo nível de direitos suscetíveis de proteção judicial, impondo obrigações e responsabilidades iguais aos responsáveis pelo tratamento e aos seus subcontratantes e um controlo coerente do tratamento dos dados pessoais, sanções equivalentes em todos os Estados Membros, bem como uma cooperação efetiva entre as autoridades de controlo dos diferentes Estados Membros.

No Regulamento Geral de Proteção de Dados, a preocupação com a cibersegurança está patente na exigência de que os dados pessoais sejam tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas.

A Lei n.º 58/2019, de 8 de agosto (Lei da Proteção de Dados Pessoais), que assegura a execução do Regulamento Geral de Proteção de Dados em Portugal, prevê o regime aplicável ao responsável pelo tratamento dos dados e especifica as funções do encarregado de proteção de dados. Também estabelece os regimes de proteção administrativa e judicial do titular de dados pessoais e os regimes de responsabilidade civil e sancionatória, contraordenacional e penal, para a violação das disposições do Regulamento.


Comunicações eletrónicas

Na União Europeia, tem havido a preocupação em assegurar que todos os Estados Membros se dotem de redes e serviços de comunicações eletrónicas de boa qualidade, sendo as operações daí decorrentes sujeitas a competente regulação pelas autoridades reguladoras nacionais (no caso português, a Autoridade Nacional de Comunicações).

A regulação das comunicações eletrónicas é pautada por preocupações de regulação social, com vista a mitigar as assimetrias entre as populações, atendendo a um conceito de “serviço universal” suficientemente dinâmico para se adequar aos desenvolvimentos no âmbito tecnológico e digital.

A transformação digital determinou a transição da telefonia vocal para o acesso à Internet, o que motivou a adoção da Diretiva (UE) 2018/1972 que estabelece o Código Europeu das Comunicações Eletrónicas.

O Código Europeu das Comunicações Eletrónicas visa assegurar a liberdade de oferta de serviços e redes de comunicações eletrónicas que observem um nível particularmente elevado de segurança.

Os padrões de segurança a assegurar exigem segurança física e ambiental, de fornecimento, de controlo de acesso às redes e de integridade dessas redes; a adoção de procedimentos de gestão que permitam detetar e minimizar incidentes de segurança; uma capacidade de continuidade operacional e a implementação de políticas de monitorização, de auditoria e de condução de testes.

A Diretiva que estabelece o Código Europeu das Comunicações Eletrónicas tem como prazo de transpoição pelo Estado português o dia 21 de dezembro de 2020.


Comércio eletrónico, pagamentos eletrónicos e identificação eletrónica

Em matéria de identificação eletrónica, assinaturas eletrónicas e certificação eletrónica, os momentos decisivos na evolução do regime jurídico foram a adoção da Diretiva 1999/93/CE, que estabeleceu o princípio da neutralidade tecnológica e definiu as regras essenciais do sistema de certificação eletrónica nos Estados Membros, e a adoção do Regulamento (UE) 910/2014 (eIDAS), que colocou a tónica na questão da identificação eletrónica (autenticação e assinatura) e introduziu um conjunto de novos serviços da sociedade da informação tendentes a garantir um nível mais elevado de segurança na prestação de serviços e nas transações eletrónicas e a interoperabilidade na prestação de serviços.

Em matéria de comércio eletrónico, o diploma de referência continua a ser a Diretiva 2000/31/CE, que estabelece regras de transparência e deveres de informação a cargo dos prestadores de serviços da sociedade da informação. O desenvolvimento tecnológico dos últimos anos virá certamente impor uma nova abordagem e uma profunda revisão do quadro atual. A regulação e funcionamento das plataformas e mercados online já foram anunciados como temas sobre os quais versarão, em breve, novas iniciativas legislativas.

Em matéria de pagamentos eletrónicos, os marcos na evolução do regime jurídico são a Diretiva 2007/64/CE, que estabeleceu regras em matéria de transparência das condições e requisitos de informação aplicáveis aos serviços de pagamento, e a Diretiva 2015/2366/EU, que reforçou a segurança dos pagamentos eletrónicos, com a introdução de conceitos novos como as credenciais de segurança personalizada e de autenticação forte e com a responsabilização dos prestadores de serviços de pagamento pelo estabelecimento de medidas para mitigar os riscos e manutenção de procedimentos eficazes de gestão de incidentes.


Propriedade intelectual

A matéria da propriedade intelectual encontra-se harmonizada internacionalmente através de um conjunto nuclear de tratados cuja preocupação central, a par da harmonização internacional da propriedade intelectual, tem sido a promoção da sua efetividade, essencialmente, pela criação de medidas cautelares, de investigação e de prova contra potenciais violações, associados a mecanismos de cooperação internacional.

A ubiquidade inerente à qualidade “imaterial” da criação tutelada pela propriedade intelectual torna o seu objeto particularmente vulnerável à violação do respetivo exclusivo patrimonial em ambientes digitais transnacionais.

Na área do Direito de Autor, tem sido aprovada legislação sobre medidas tecnológicas de proteção e gestão, com o fim de assegurar a cibersegurança do exclusivo de exploração digital das obras, prestações e produções protegidas por direito de autor e direitos conexos.

Na área da propriedade industrial e concorrência desleal, é na tutela da confidencialidade de informações comerciais e industriais (know-how), enquanto elemento essencial da competitividade das empresas e da lealdade da concorrência, que a preocupação com a cibersegurança dos sistemas informáticos empresariais se torna mais relevante.

Há ainda um caminho a fazer na tutela da propriedade intelectual no âmbito da cibercriminalidade, já que estes bens jurídicos ainda não se encontram devidamente valorizados como elementos agravantes dos crimes informáticos.


Transição digital da Administração Pública

A necessidade de criar uma Administração Pública em linha, assente no princípio da interoperabilidade, foi assumida pela Comissão Europeia, em 2015, como um vetor essencial ao estabelecimento do Mercado Único Digital.

O Princípio da credibilidade e da segurança é um dos princípios estruturantes do Plano de Ação para a Administração Pública em linha 2016-2020, exigindo que os esforços de modernização digital da Administração Pública se norteiem pela observância do quadro jurídico em sede de proteção de dados e de privacidade, assegurando a segurança informática desde a fase de conceção dos serviços.

O objetivo da Comissão Europeia de dotar a União Europeia de uma Plataforma Digital Única foi prosseguido com o Regulamento (UE) 2018/1724, de 2 de outubro, relativo à criação de uma plataforma digital única para a prestação de acesso a informações, a procedimentos e a serviços de assistência e de resolução de problemas.

Em 2020, foram aprovados o Plano de Ação para a Transição Digital e a Estratégia para a Inovação e Modernização do Estado e da Administração Pública 2020-2023, ambos com objetivos e medidas em matéria de cibersegurança. Está ainda em curso o desenvolvimento da Estratégia para a Transformação Digital da Administração Pública 2021-2023, que, com a Estratégia Nacional de Segurança do Ciberespaço 2019-2023, completará este conjunto de políticas públicas na área do digital para o Estado.

APLICAÇÃO DO QUADRO LEGAL

A aplicação do quadro legal de Direito da União Europeia e de Direito português tem suscitado dúvidas por parte dos tribunais e das entidades administrativas com poderes de fiscalização e sanção.

A declaração de invalidade da Diretiva 2006/24/CE, pelo Tribunal de Justiça da União Europeia, no acórdão Digital Rights Ireland, de 2014, suscitou, em Portugal, a questão de saber qual a validade jurídica da Lei n.º 32/2008, sobre conservação de dados, que transpôs a Diretiva para a ordem jurídica portuguesa. A Comissão Nacional de Proteção de Dados considera-a inválida e, em deliberação de 2017, decidiu deixar de a aplicar, ao passo que o Ministério da Justiça e o Gabinete Cibercrime da Procuradoria-Geral da República entendem que a Lei permanece válida.

Num acórdão de 2019, o Tribunal reconheceu que, apesar de a declaração da invalidade da Diretiva 2006/24/ CE não pôr imediatamente em causa a Lei n.º 32/2008, isso não obsta a que se considere imperativo avaliar a conformidade desta com o Direito da União Europeia, em especial com a Carta dos Direitos Fundamentais da União Europeia. Encontra-se pendente no Tribunal Constitucional um processo de fiscalização abstrata da constitucionalidade da Lei n.º 32/2008, requerido pela Provedora de Justiça, em 2019.

Os tribunais portugueses também se têm debatido com dúvidas quanto à articulação entre a Lei do Cibercrime e o Código de Processo Penal, em virtude da área de sobreposição existente entre o artigo 189.º do Código e os artigos 17.º (apreensão de correio eletrónico e registos de comunicações de natureza semelhante) e 19.º (interceção de comunicações) da Lei do Cibercrime. A orientação dos tribunais tem sido no sentido de sustentar uma revogação implícita ou tácita, pelo menos parcial, do artigo 189.º do Código de Processo Penal.

Dados da Direção-Geral de Política da Justiça indicam que os cibercrimes registados sofreram um crescimento acentuado desde a entrada em vigor da Lei do Cibercrime, na ordem dos 600%, sendo que o número total de cibercrimes registados pelas autoridades policiais em 2019 (18.158) corresponde a 5.41% do total de crimes registados no território nacional nesse ano.

Ainda não existem registos de processos contraordenacionais instruídos ao abrigo da Lei n.º 46/2018, por não ter sido adotada a legislação que irá definir os requisitos de segurança e os requisitos de notificação de incidentes cujo incumprimento importará responsabilidade contraordenacional.

A Comissão Nacional de Proteção de Dados já exerce as suas competências de fiscalização e sanção ao abrigo do Regulamento Geral de Proteção de Dados desde 2018, tendo produzido, até ao momento, cinco deliberações condenatórias (uma em 2018 e quatro em 2019). Os valores globais das coimas aplicadas oscilam entre dois mil euros e quatrocentos mil euros.

Em cumprimento do disposto no artigo 29.º, n.º 1, da Lei n.º 46/2018, o Centro Nacional de Cibersegurança procedeu à identificação dos operadores de serviços essenciais. Os dados disponíveis indicam que foram identificados 26 serviços essenciais e 1250 operadores de serviços essenciais. Segundo relatório da Comissão Europeia, Portugal está abaixo da média da União no que respeita à identificação de serviços essenciais (35 serviços) e acima da média da União no que respeita à identificação de operadores de serviços essenciais (633 operadores).

INTRODUÇÃO

O Relatório Cibersegurança em Portugal – Linha de Observação Ética & Direito é o quarto Relatório lançado pelo Observatório de Cibersegurança do Centro Nacional de Cibersegurança, depois de publicados os Relatórios da Linha de Observação Sociedade (2019 e 2020) e da Linha de Observação Riscos & Conflitos (2020). De acordo com a missão e os objetivos do Observatório, este relatório sistematiza informação sobre os problemas éticos e jurídicos associados à cibersegurança e as soluções adotadas a nível internacional e nacional para os debelar, com o propósito de contribuir para o desenvolvimento e a difusão de conhecimento multidisciplinar sobre cibersegurança em Portugal e para a criação de uma sociedade mais segura e consciente dos riscos e das responsabilidades inerentes ao ciberespaço.

Na ausência de uma definição universalmente aceite do que seja cibersegurança (ENISA, 2016: 10-11), este relatório usa como conceito operativo a definição que é dada, em Portugal, pela Estratégia Nacional de Segurança do Ciberespaço 2019-2023 (aprovada pela Resolução do Conselho de Ministros n.º 92/2019), nos termos da qual cibersegurança consiste no “conjunto de medidas e ações de prevenção, monitorização, deteção, reação, análise e correção que visam manter o estado de segurança desejado e garantir a confidencialidade, integridade, disponibilidade e não repúdio da informação, das redes e sistemas de informação no ciberespaço e das pessoas que nele interagem”.

A análise dos problemas éticos e jurídicos associados à cibersegurança é organizada em três capítulos nucleares:

Problemas Ético-Morais, referente às dimensões éticas da cibersegurança, aos desafios éticos enfrentados por governos, empresas e profissionais de cibersegurança e aos esforços no sentido de definir códigos de conduta para todos os participantes no ciberespaço, assentes em valores como a confiabilidade, a transparência, a responsabilidade e o respeito pelos direitos fundamentais.

Genealogia Legal, referente à evolução do quadro normativo de Direito internacional, da União Europeia e português, combinando uma visão global dos principais marcos legislativos ao longo das últimas três décadas com análises setoriais de medidas legislativas relativas a infraestruturas críticas e serviços essenciais, cibercrime e prova digital, proteção de dados pessoais, comunicações eletrónicas, comércio eletrónico, pagamentos eletrónicos e identificação eletrónica, propriedade intelectual e transição digital da Administração Pública.

Aplicação Prática do Quadro Normativo, referente aos processos judiciais e contraordenacionais decididos pelas autoridades portuguesas nos últimos dois anos, bem como ao processo de caracterização dos operadores de serviços essenciais por parte do Centro Nacional de Cibersegurança, e ainda à jurisprudência relevante do Tribunal de Justiça da União Europeia.

O presente relatório foi elaborado por uma equipa de investigadores do Centro de Investigação em Justiça e Governação (JusGov) da Universidade do Minho. Tal como os relatórios do Observatório de Cibersegurança que o antecederam, este trabalha com indicadores propostos pelo Centro Nacional de Cibersegurança e acordados com a equipa do JusGov. A exposição é, no entanto, substancialmente mais narrativa do que a dos relatórios anteriores, o que se deve às características de alguns dos indicadores utilizados (genealogia do processo legislativo da União Europeia, desafios éticos) e ao tipo de fontes consultadas (documentos de política, legislação e jurisprudência).

O relatório foi realizado com base em informações colhidas em diversas fontes públicas, como as Bases Jurídico-Documentais do Instituto de Gestão Financeira e Equipamentos da Justiça, a Procuradoria-Geral da República de Lisboa, a Direção-Geral de Políticas de Justiça e o portal EUR-Lex. O Relatório privilegiou os dados mais recentes, relativos a 2018 e a 2019, comparáveis internacionalmente e observáveis ao longo do tempo, ainda que tenha, pontualmente, feito uso de dados respeitantes a anos anteriores, quando considerados pertinentes. Procurou-se, sempre que possível, estabelecer a linha temporal e a respetiva tendência.

O relatório foi desenvolvido em estreita colaboração com a equipa do Centro Nacional de Cibersegurança e beneficiou da orientação e dos contributos prestados pelo Conselho Consultivo do Observatório de Cibersegurança. Foram também consultadas várias instituições nacionais e internacionais a operar na área da cibersegurança, como o Gabinete Cibercrime da Procuradoria-Geral da República, a Polícia Judiciária, o GabinetePortuguês de Acreditação (IPAC), a Autoridade Nacional de Comunicações (ANACOM) e a Agência da União Europeia para a Cibersegurança (ENISA), que disponibilizaram informações e prestaram esclarecimentos da maior importância para a concretização do projeto.

TERMOS E ABREVIATURAS

Assinatura digital: a modalidade de assinatura eletrónica avançada baseada em sistema criptográfico assimétrico composto de um algoritmo ou série de algoritmos, mediante o qual é gerado um par de chaves assimétricas exclusivas e interdependentes, uma das quais privada e outra pública, e que permite ao titular usar a chave privada para declarar a autoria do documento eletrónico ao qual a assinatura é aposta e concordância com o seu conteúdo e ao destinatário usar a chave pública para verificar se a assinatura foi criada mediante o uso da correspondente chave privada e se o documento eletrónico foi alterado depois de aposta a assinatura. (Decreto-Lei n.º 290-D/99, de 2 de agosto, na versão dada pelo Decreto-Lei n.º 88/2009, de 9 de abril)

Assinatura eletrónica: “os dados em formato eletrónico que se ligam ou estão logicamente associados a outros dados em formato eletrónico e que sejam utilizados pelo signatário para assinar”. [Regulamento (UE) 910/2014, de 23 de julho]

Autenticação eletrónica: “processo eletrónico que permite a identificação eletrónica de uma pessoa singular ou coletiva ou da origem e integridade de um dado em formato eletrónico a confirmar”. [Regulamento (UE) 910/2014, de 23 de julho]

Cibercrimes: “factos correspondentes a crimes previstos na Lei do Cibercrime e ainda a outros ilícitos penais praticados com recurso a meios tecnológicos, nos quais estes meios sejam essenciais à prática do crime em causa”. (Estratégia Nacional de Segurança do Ciberespaço 2019-2023)

Ciberespaço: “consiste no ambiente complexo, de valores e interesses, materializado numa área de responsabilidade coletiva, que resulta da interação entre pessoas, redes e sistemas de informação”. (Estratégia Nacional de Segurança do Ciberespaço 2019-2023)

Cibersegurança: “consiste no conjunto de medidas e ações de prevenção, monitorização, deteção, reação, análise e correção que visam manter o estado de segurança desejado e garantir a confidencialidade, integridade, disponibilidade e não repúdio da informação, das redes e sistemas de informação no ciberespaço, e das pessoas que nele interagem”. (Estratégia Nacional de Segurança do Ciberespaço 2019-2023)

Confidencialidade dos dados: “a proteção das comunicações ou dos dados armazenados contra a interceção e a leitura por pessoas não autorizadas”. [Regulamento (CE) 460/2004, de 10 de março]

Desinformação: “informação comprovadamente falsa ou enganadora que, cumulativamente, (a) é criada, apresentada e divulgada para obter vantagens económicas ou para enganar deliberadamente o público, e (b) é suscetível de causar um prejuízo público, entendido como ameaças aos processos políticos democráticos e aos processos de elaboração de políticas, bem como a bens públicos, tais como a proteção da saúde dos cidadãos da UE, o ambiente ou a segurança”. (Código de Conduta da UE sobre Desinformação)

Equipa de resposta a incidentes de segurança informática: “a equipa que atua por referência a uma comunidade de utilizadores definida, em representação de uma entidade, prestando um conjunto de serviços de segurança que inclua, designadamente, o serviço de tratamento e resposta a incidentes de segurança das redes e dos sistemas de informação”. (Lei n.º 46/2018, de 13 de agosto)

Hacktivistas: agentes “orientados a realizar ações de protesto contra decisões políticas/geopolíticas que afetam matérias nacionais e internacionais”. (ENISA, Threat Landscape Report 2018)

Identificação eletrónica: “o processo de utilização dos dados de identificação pessoal em formato eletrónico que representam de modo único uma pessoa singular ou coletiva ou uma pessoa singular que represente uma pessoa coletiva”. [Regulamento (UE) 910/2014, de 23 de julho]

Incidentes: “eventos com um efeito adverso real na segurança das redes e dos sistemas de informação”. (Lei n.º 46/2018, de 13 de agosto)

Infraestrutura crítica: “componente, sistema ou parte deste situado em território nacional que é essencial para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico ou social, e cuja perturbação ou destruição teria um impacto significativo, dada a impossibilidade de continuar a assegurar essas funções”. (Lei n.º 46/2018, de 13 de agosto)

Infraestrutura crítica europeia: infraestrutura crítica situada nos Estados Membros cuja perturbação ou destruição teria um impacto significativo em pelo menos dois Estados Membros. (Diretiva 2008/114/CE, de 8 de dezembro)

Interoperabilidade: “capacidade de organizações díspares e diversas interagirem com vista à consecução de objetivos comuns com benefícios mútuos, definidos de comum acordo, implicando a partilha de informações e conhecimentos entre si, no âmbito dos processos administrativos a que dão apoio, mediante o intercâmbio de dados entre os respetivos sistemas de TIC”. [Decisão (UE) 2015/2240, de 25 de novembro]

Malware [Software Malicioso]: “programa que é introduzido num sistema, geralmente de forma encoberta, com a intenção de comprometer a confidencialidade, a integridade ou a disponibilidade dos dados da vítima, de aplicações ou do sistema operativo, ou perturbando a vítima”. (NIST, IR 7298 Revision 2, Glossary of Key Information Security Terms)

Opt-in: “regime de consentimento prévio pelo qual alguém consente em receber determinado tipo de mensagens”. [Comunicação da Comissão Europeia COM (2004) 28]

Opt-out: “ação pela qual alguém manifesta a vontade de não receber determinado tipo de mensagens”. [Comunicação da Comissão Europeia COM (2004) 28]

Phishing: “mecanismo de elaboração de mensagens que usam técnicas de engenharia social de modo a que o alvo seja ludibriado ‘mordendo o isco’. Mais especificamente, os atacantes tentam enganar os recetores de emails ou mensagens para que estes abram anexos maliciosos, cliquem em URL inseguros, revelem as suas credenciais através de páginas de phishing aparentemente legítimas, façam transferências de dinheiro, etc.”. (ENISA, Threat Landscape Report 2018)

Plataforma eletrónica: “a infraestrutura tecnológica constituída por um conjunto de aplicações, meios e serviços informáticos necessários ao funcionamento dos procedimentos eletrónicos de contratação”. (Lei n.º 96/2015, de 17 de agosto)

Rede e sistema de informação: “qualquer dispositivo ou conjunto de dispositivos interligados ou associados, em que um ou mais de entre eles desenvolve, em execução de um programa, o tratamento automatizado de dados informáticos, bem como a rede de comunicações eletrónicas que suporta a comunicação entre eles e o conjunto de dados informáticos armazenados, tratados, recuperados ou transmitidos por aquele ou aqueles dispositivos, tendo em vista o seu funcionamento, utilização, proteção e manutenção”. (Lei n.º 46/2018, de 13 de agosto)

Segurança das redes e da informação: “a capacidade de uma rede ou sistema informático para resistir, com um dado nível de confiança, a eventos acidentais ou a ações dolosas ou ilícitas que comprometem a disponibilidade, autenticidade, integridade e confidencialidade dos dados armazenados ou transmitidos e dos serviços conexos oferecidos ou acessíveis através dessa rede ou sistema”. [Regulamento (CE) 460/2004, de 10 de março]

Serviço da sociedade da informação: “qualquer serviço prestado a distância por via eletrónica, mediante remuneração ou, pelo menos, no âmbito de uma atividade económica, na sequência de pedido individual do destinatário”. (Lei n.º 7/2004, de 7 de janeiro)

Serviço essencial: “um serviço essencial para a manutenção de atividades societais ou económicas cruciais, que dependa de redes e sistemas de informação e em relação ao qual a ocorrência de um incidente possa ter efeitos perturbadores relevantes na prestação desse serviço”. (Lei n.º 46/2018, de 13 de agosto)

Sistema de informação: “um dispositivo ou grupo de dispositivos interligados ou associados, dos quais um ou mais executam, através de um programa, o tratamento automático de dados informáticos, bem como de dados informáticos armazenados, tratados, recuperados ou transmitidos por esse dispositivo ou grupo de dispositivos, tendo em vista o seu funcionamento, utilização, proteção e manutenção”.

Sistema informático: “os computadores e as redes de comunicações eletrónicas, bem como os dados por eles armazenados, processados, extraídos ou transmitidos para efeitos de exploração, utilização, proteção e manutenção”. [Regulamento (CE) 460/2004, de 10 de março]

Violação de dados pessoais: “uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”. (Regulamento Geral de Proteção de Dados)

ANACOM: Autoridade Nacional de Comunicações

CDADC: Código de Direito de Autor e Direitos Conexos

CDFUE: Carta dos Direitos Fundamentais da União Europeia

CEDH: Convenção Europeia dos Direitos Humanos

CERT.EU: Computer Emergency Response Team for the EU Institutions

CERT.PT: Equipa de Resposta a Incidentes de Segurança Informática Nacional

CNCS: Centro Nacional de Cibersegurança

CNPD: Comissão Nacional de Proteção de Dados

COTEC: Associação Empresarial para a Inovação

CPA: Código do Procedimento Administrativo

CPI: Código da Propriedade Industrial

CRP: Constituição da República Portuguesa

DGPJ: Direção-Geral de Políticas de Justiça

DPO: Data Protection Officer

EBA: Autoridade Bancária Europeia [European Bank Authority]

EDI: Transferência/Intercâmbio Eletrónica(o) de Dados [Electronic Data Interchange]

ENISA: Agência da União Europeia para a Cibersegurança

GNS: Gabinete Nacional de Segurança

IA: Inteligência Artificial

ICE: Infraestruturas Críticas Europeias

INE: Instituto Nacional de Estatística

MP: Ministério Público

OCDE: Organização para a Cooperação e Desenvolvimento Económico

ONU: Organização das Nações Unidas

PATD: Plano de Ação para a Transição Digital para Portugal

RGPD: Regulamento Geral sobre a Proteção de Dados

RNCSIRT: Rede Nacional de Equipas de Resposta a Incidentes de Segurança Informática

SRI: Segurança das Redes e da Informação

TEDH: Tribunal Europeu dos Direitos Humanos

TEDIS: Trade Electronic Data Interchange Systems

TIC: Tecnologias de Informação e Comunicação

TJUE: Tribunal de Justiça da União Europeia

UE: União Europeia

Seguinte
Última atualização em 01-04-2021