As novas regras de proteção de dados, que serão aplicadas às redes e serviços de informação de escolas, finanças, hospitais e tribunais, entre outros serviços estatais, entram em vigor em outubro de 2019.
A lista de requisitos, uns obrigatórios e outros apenas recomendáveis, abrange por exemplo a capacidade de monitorização, registo e análise de toda a atividade de acesso de modo a procurar ameaças prováveis ou a inspeção automática de conteúdos para procurar dados sensíveis (como dados de saúde) e acessos remotos aos sistema a partir do exterior do ambiente organizacional.
“O Governo considera fundamental definir orientações técnicas para a Administração Pública, recomendando-as ao Setor Empresarial do Estado [que integra a Lusa ou RTP], em matéria de arquitetura de segurança das redes e sistemas de informação e procedimentos a adotar de modo a cumprir as normas do Regulamento Geral de Proteção de Dados (RGDP)”, aplicável a partir de 25 de maio de 2018, lê-se na resolução do Conselho de Ministros.
O regulamento, ao contrário de uma diretiva comunitária não precisa de ser transposto para a legislação nacional, mas neste caso Bruxelas deu a possibilidade aos Estados-membros de manterem ou aprovarem disposições nacionais “para especificar a aplicação das regras” do regulamento, que visa proteger os direitos fundamentais de pessoas singulares com coimas até 4% da faturação anual global ou 20 milhões de euros.
Na quinta-feira passada, após o Conselho de Ministros, a ministra da Modernização Administrativa, Maria Manuel Leitão Marques, anunciou a intenção do Governo de isentar o Estado dessas multas, defendendo que o regulamento comunitário tinha sido “sobretudo pensado” para as multinacionais “e não para as administrações públicas dos Estados-membros que têm também a obrigação de os proteger, mas não usam os dados pessoais como negócio”.
Mas as novas orientações técnicas em matéria de arquitetura de segurança das redes e sistemas de informação, hoje publicadas, só vão entrar em vigor quase 17 meses depois de começar a ser aplicado em Portugal, e em os outros Estados-membros, o Regulamento Geral de Proteção de Dados.
“Os requisitos referidos no anexo à presente resolução devem ser implementados no prazo máximo de 18 meses após a data de entrada em vigor da presente resolução”, afirma o Governo no diploma hoje publicado, adiantando que a resolução entra em vigor na quinta-feira, dia seguinte ao da publicação.
A Lusa e a RTP integram o setor empresarial do Estado, sendo abrangidas pela recomendação do Governo para em 18 meses implementarem aqueles requisitos, mas no Conselho de Ministros da semana passada, Maria Manuel Leitão Marques, ressalvou que a proteção de dados pessoais não pode prejudicar “o exercício da liberdade de expressão, informação e imprensa”.
Comentários