Lei portuguesa de execução do Regulamento Europeu de Proteção de Dados, que reduz receios de aplicação de coimas elevadas ao introduzir limites mínimos, foi publicada quinta-feira (08.08.2019), em Diário da República.

A partir desta sexta-feira (09.08.2019), as empresas a operar em Portugal já não podem alegar falta de enquadramento nacional para as regras europeias de proteção de dados. Foi publicada em Diário da República a Lei nº 58/2019, que assegura a execução, na ordem jurídica nacional, do Regulamento Europeu de Proteção de Dados (RGPD). A presente lei entra em vigor na sexta-feira.

Essencial para clarificar e traduzir alguns aspetos do regulamento europeu para a realidade portuguesa, a legislação final é publicada mais de um ano depois da data em que as regras de Bruxelas se tornaram obrigatórias na União Europeia (UE), a 25 de maio de 2018. Não só devido aos atrasos na elaboração da sua primeira versão, mas também pelas divergências entre Governo, Comissão Nacional de Proteção de Dados (CNPD) e deputados.

As temidas coimas que, nos casos mais graves, podem ir até 20 milhões de euros ou 4% do volume de negócios anual da empresa a nível mundial foram atenuadas pela Assembleia da República, com a introdução de limites mínimos (artigos 37º e 38º). Nas contraordenações mais graves, por exemplo, o seu valor começa nos 5 mil euros para as grandes empresas, nos dois mil euros para as pequenas e médias empresas e nos mil euros para as pessoas singulares.

O legislador português considerou ainda que, a partir dos 13 anos, qualquer pessoa está habilitada a dar o seu consentimento livre, específico, informado e explícito, sem necessitar do encarregado de educação. E especificou que os encarregados de proteção de dados não precisam de ter uma certificação profissional (artigo 9º), mas apenas conhecimentos em direito e em matéria de proteção de dados.

Ao contrário do que estava previsto nas primeiras versões, o texto final não inclui a moratória de seis meses para o cumprimento da legislação pelo sector público - um ponto que, aliás, gerou alguma discussão por criar uma vantagem do público face ao privado. Na versão hoje publicada, os organismos do Estado estão obrigados ao cumprimento das regras de proteção de dados tal como os privados.

Mas há uma exceção para o Estado. Se a autoridade de controlo - a Comissão Nacional de Proteção de Dados (CNPD) - assim o considerar, os organismos públicos estão isentos de coimas durante um período de três anos. De acordo com o artigo 44º da lei portuguesa, “as entidades públicas, mediante pedido devidamente fundamentado, podem solicitar à CNPD a dispensa da aplicação de coimas durante o prazo de três anos a contar da entrada em vigor da presente lei”.

Fonte: Jornal Expresso

Características das vulnerabilidades abrem portas para um ataque de propagação semelhante ao WannaCry a elevadores, automóveis, robôs industriais, radares, entre muitos outros equipamentos. Já foram disponibilizadas correções de segurança.

Há 200 milhões de equipamentos vulneráveis, incluindo routers, impressoras, dispositivos médicos, automóveis, radares e robôs industriais, e que no pior dos cenários podem ser alvo de um ataque informático remoto. A revelação foi feita por uma empresa de segurança especializada em Internet das Coisas (IoT). Na Wikipédia, é possível confirmar que o sistema operativo da produzido pela empresa WindRiver é usado em vários dispositivos de uso quotidiano.

Ao todo foram descobertas onze falhas no sistema operativo VxWorks, que é usado para equipamentos de funcionamento constante – como um controlador de um elevador. Das falhas elencadas, que foram apelidadas de Urgent/11, seis são consideradas críticas e permitem executar ataques à distância contra os dispositivos.

As outras cinco falhas não são tão graves, mas ainda assim permitem ataques de negação de serviço, extração de dados ou a exploração de falhas lógicas. As vulnerabilidades afetam todas as versões do VxWorks a partir da versão 6.5, que foi lançada em 2006. As exceções são a mais recente versão do sistema operativo (reconhecida pelo número 7) e as versões VxWorks 653 e Cert Edition.

As vulnerabilidades em questão estão relacionadas com o módulo IPNet do sistema operativo, que na prática gere a capacidade dos dispositivos de se ligarem à internet e de comunicarem com outros equipamentos numa rede local.

Em dois exemplos, um atacante que explore as vulnerabilidades pode manipular os robôs de produção de uma empresa e parar por completo a linha de produção ou, no caso de um hospital, aceder e manipular os dados vitais de um paciente, assim como criar falsos alarmes médicos.

Devido às características das falhas, os ataques têm um «potencial severo» e que fazem lembrar a falha EternalBlue, responsável pela disseminação do ransomware WannaCry, que paralisou várias empresas em 2017.

Fonte: Exame Informática

O passo que faltava para a lei nacional do Regulamento Geral da Proteção de Dados (RGPD) ser de aplicação obrigatória está dado. Só falta a publicação em Diário da República.

O documento português já tinha saído do Grupo de Trabalho parlamentar dedicado ao RGPD e aprovado pelos deputados a 14 de junho, mas só agora foi promulgado pelo Presidente da República, esperando-se brevemente a publicação em Diário da República.

O comunicado da Presidência da República relativo ao assunto admite que a lei portuguesa não é perfeita, mas ainda assim considera-se necessária a promulgação: “embora a legislação nacional não tenha acolhido, tal como refere a CNPD no seu Parecer, uma maior atenção na economia das normas e uma maior clarificação dos direitos e liberdades relativos ao tratamento de dados pessoais -, mas tendo em consideração que o Regulamento Geral sobre Proteção de Dados é aplicável desde o dia 25 de maio de 2018, o Presidente da República promulgou o Diploma que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados”.

Há poucos dias, a União Europeia relembrou que Portugal, Grécia e Eslovénia eram os únicos estados-membros que ainda não tinham transposto o regulamento europeu para a lei nacional, e ameaçou “utilizar os instrumentos à sua disposição, incluindo os procedimentos de infração” para ver cumpridas as regras. Não será preciso, agora que Portugal já viu a lei nacional sobre o RGPD promulgada.

Como já anteriormente tinha sido indicado, as principais alterações feitas pelo grupo de trabalho no documento do governo. Destacam-se a continuação da exceção de coimas para o Estado durante três anos, mas agora apenas com autorização da CNPD.

O montante das coimas que forem aplicadas reverte em 60% para o Estado e em 40% para a CNPD.

A idade mínima para consentimento de tratamento de dados fixa-se no novo documento nos 13 anos, e não nos 16, como antes previsto.

Também a advertência prévia dos agentes em incumprimento, antes de aplicação de sanções, é obrigatória, por parte da CNPD, exceto em caso de dolo.

O enquadramento das sanções também é especial no caso português, distinguindo-se contraordenações muito graves e graves (que já eram uma realidade no documento do governo), uma ideia que não está prevista na norma europeia mas que os deputados resolveram manter.

Uma contraordenação muito grave pode chegar a ser multada em 20 milhões de euros ou em 4% do volume de negócios, no caso das grandes empresas, e 2 milhões no caso das PME, conforme o valor mais elevado. As contraordenações graves são puníveis com multa até 10 milhões de euros ou 2% do volume de negócios, nas PME esse valor é de 1 milhão e mantém-se a proporção de 2%.

Fonte: IT Insight