OSAE foi palco da “Conferência sobre proteção de dados” Paulo Teixeira recebido em audição conjunta que debateu os projetos de lei sobre

REPORTAGEM DINA TEIXEIRA / FOTOGRAFIA OSAE

Asede da Ordem dos Solicitadores e dos Agentes de Execução, em Lisboa, foi, no passado dia 13 de outubro, palco da “Conferência sobre proteção de dados”, uma iniciativa inserida no âmbito do projeto europeu FILIT (For EU law through interprofessional training), que contou com a participação de uma centena de pessoas, que estiveram a assistir presencialmente e online a este evento. Esta conferência pretendeu ser uma oportunidade para os Agentes de Execução e Solicitadores se manterem a par das evoluções da proteção de dados da União Europeia (UE) e para partilharem as suas melhores práticas.

O evento teve início com um discurso de abertura de Francisco Serra Loureiro, Vice-Presidente do Conselho Geral da OSAE e Solicitador, que começou por deixar uma mensagem de boas-vindas a Portugal e de agradecimento pela presença de todos os participantes. “Nesta iniciativa será analisado o regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, sobre a proteção das pessoas singulares relativamente ao tratamento de dados pessoais e sua livre circulação, e que revoga a Diretiva 95/46/ CE (Regulamento Geral de Proteção de Dados)”, revelou. Além disso, também “serão dados exemplos de como os países implementaram este regulamento na sua legislação nacional e de como os Solicitadores e Agentes de Execução se adaptaram para cumprir esse regulamento no seu trabalho diário”, referiu ainda.

De seguida, foi a vez de Rute Couto, Professora do Instituto Politécnico de Bragança, fazer uso da palavra, introduzindo a questão do “Regulamento Geral de Proteção de Dados”. Para Rute Couto, “esta é uma Regulação que pode ser adaptada aos vários países e que vem assegurar, entre outras coisas, que os dados pessoais devem ser claros, transparentes, fiáveis e confidenciais”. A acrescentar a isto, “devemos recolher o mínimo de informações possível para o tipo de procedimento que estamos a realizar”. “Alcançámos muito com este Regulamento, mas ainda há muitos desafios pela frente”, rematou.

Já sobre o tema “Jurisprudência recente do Tribunal de Justiça da União Europeia (TJUE)”, Guillaume Payan, Professor da Universidade de Toulon, chamou a atenção para alguns aspetos do Regulamento Geral de Proteção de Dados e para a forma como foram interpretados pelo Tribunal de Justiça, nomeadamente os artigos n.º 2, 4, 5, 6, 9, 10, 55 e 58.

Após uma breve pausa para recuperar energias, fez-se a introdução ao Painel I “O RGPD e os DPO’S: análise e comentários”, que contou com a moderação de Francisco Serra Loureiro. Participaram como oradores neste painel João Ferreira Pinto, EPD do Supremo Tribunal de Justiça, Filipa Calvão, Presidente da Comissão Nacional de Proteção de Dados em Portugal, e Duarte Pinto, Responsável pelo tratamento de dados da OSAE e Presidente do Conselho Profissional do Colégio dos Agentes de Execução da OSAE.

Para João Ferreira Pinto, “cada EPD é unico. Este é um trabalho muito especial, mas desafiante, pois no sistema de Justiça temos de lidar com regulações muito diferentes”, acrescentando ainda que “neste sistema é feito todo o tipo de recolha de dados e o controlo sobre esta informação é fundamental”.

Duarte Pinto, por sua vez, realçou: “a minha função é controlar os dados na OSAE. A OSAE tem muitos dados de cidadãos e esta é uma matéria muito sensível. Por isso, com os ataques informáticos constantes a que temos vindo a assistir, decidimos fechar o acesso ao site da OSAE a partir de outros países do mundo. Esta foi uma solução encontrada para responder à ameaça atual do cibercrime.”

Já Filipa Calvão, referiu que “o trabalho do EPD é um tanto ou quanto agridoce. A sua função foca-se em verificar se na organização tudo está a ser cumprido no que toca à proteção de dados e isto não é uma tarefa fácil”, mencionou, salientando que “a maior dificuldade com que um EPD se defronta hoje é criar uma cultura de respeito de proteção de dados dentro da organização”.

Francisco Serra Loureiro chamou ainda a atenção para o facto de que “o roubo de dados é um negócio. Vende-se a informação para ganhar dinheiro. Porque, acima de tudo, informação é poder”. Portanto, “a sensibilização para esta questão da proteção de dados é imprescindível”, destacou João Ferreira Pinto. “Devemos usar a tecnologia a nosso favor”, afirmou Filipa Calvão.

Depois de uma intervalo para almoço, repleta de convívio e de partilha de saberes, retomaram-se os trabalhos com o tema “O projeto de Regulamento de Inteligência Artificial e o seu impacto na proteção de dados”, analisado por Matthieu Quiniou, Advogado em Paris, Mestre de Conferências em Ciências de Informação e Comunicação e Co-titular da CHAIRE UNESCO ITEN, e Michèle Dubrocard, Oficial de assuntos legais EPD (Controladora Europeia de Proteção de Dados, Unidade de Política e Consulta).

Matthieu Quiniou procedeu à explanação da tipologia funcional da Inteligência Artificial, assim como à sua relação com a proteção de dados, elencando que “quando é feita a recolha e o processamento de dados por meio de Inteligência Artificial, esse procedimento deve estar sempre de acordo com o Regulamento Geral de Proteção de Dados”. É importante, para isso, recordou, “definir um propósito e uma base legal, estabelecer uma base

de dados, minimizar os dados recolhidos, definir um período para retenção desses dados, assegurar melhorias contínuas, identificar possíveis riscos associados a modelos de Inteligência Artificial, entre outros”.

Já Michèle Dubrocard deu continuidade a este tema, fazendo alusão às funções do Conselho Europeu de Dados Pessoais (EDPS) e do Supervisor Europeu de Dados Pessoais (EDPD), bem como fundamentando as suas perspetivas relativamente ao Regulamento: “De acordo com as opiniões do EDPS e EDPD, o Regulamento Geral de Proteção de Dados tem um impacto importante na proteção de dados, mas há algumas imprecisões a serem melhoradas”, disse.

A parte da tarde foi ainda preenchida com o Painel II “Melhores práticas de RGPD nos diferentes Estados-Membros”, que contou com as intervenções de Francisco Serra Loureiro, Patrick Gielen, Oficial de Justiça e Secretário da UIHJ, e Mathieu Bourgeois, Advogado em Paris na kleinwenner.

Francisco Serra Loureiro, tomando a palavra, destacou que este painel pretendeu realçar as diferenças do Regulamento em Portugal, França e Bélgica.

Para Mathieu Bourgeois, “as profissões legais, como advogado, jurista, solicitador, têm de ter particular diligência no processamento e tratamento de dados, algo que este regulamento veio assegurar”. Em França, “esta Lei foi, regra geral, bem recebida e implementada”, disse, lançando a seguinte questão: “sente que este Regulamento foi bem compreendido e facilmente inserido no panorama legal português?”. “Sim, em Portugal a implementação foi boa, mas poderia ter sido mais antecipada”, respondeu Francisco Serra Loureiro. “O que mudou nos nossos escritórios foi, acima de tudo, que passámos a adotar um maior cuidado e consciência relativamente aos dados dos nossos clientes”, acrescentou.

“Na Bélgica, houve também um esforço positivo de todos para incluir este Regulamento”, afirmou Patrick Gielen, adicionando ainda a ideia de que “com a digitalização, foi necessário evoluir em muitos campos e este Regulamento é fruto dessa evolução, tão importante e necessária”.

Francisco Serra Loureiro concluiu o dia de trabalhos, agradecendo o contributo de todos os participantes e, em particular, de todos os oradores que acrescentaram muito ao tema aqui apresentado.

A tecnologia é o seu melhor aliado. O computador, o seu esconderijo. O silêncio, a sua maior arma. E os sistemas vulneráveis, o seu principal alvo. O que se procura é informação. O motivo pode ser um de muitos: lucro, protesto, vingança ou até curiosidade. Mas os impactos, esses, são imensamente nefastos. Falamos do cibercrime. Venha conhecer connosco os responsáveis pela resposta preventiva e repressiva a este fenómeno: a UNIDADE NACIONAL DE COMBATE AO CIBERCRIME E À CRIMINALIDADE TECNOLÓGICA (UNC3T) da Polícia Judiciária (PJ).

REPORTAGEM DINA TEIXEIRA / FOTOGRAFIA RUI SANTOS JORGE

crime digital, crime informático... São muitas as expressões utilizadas para descrever a atividade ou prática ilícita que envolve um computador, quer este seja o alvo do crime, ou o meio usado para o praticar. Mas será que sabemos tudo sobre a Unidade operacional da PJ especializada em lidar com este tipo de crimes?

A nossa equipa de reportagem deslocou-se até à sede da PJ para lhe desvendar tudo sobre o trabalho desempenhado pela UNC3T. Quem nos recebeu foi o Diretor desta Unidade, Carlos Cabreiro, que começou por nos falar do seu surgimento: “A partir do momento em que começaram a aparecer alguns fenómenos ilegítimos relacionados com a internet no início da década de 90, a PJ rapidamente percebeu que existiriam crimes que podiam transitar para o espaço virtual e, por esse motivo, logo em 1992, criou um pequeno grupo de investigação da chamada criminalidade informática. Era necessário criar uma Unidade com valências, conhecimentos e especialização, que pudesse ombrear com as responsabilidades que o combate a este tipo de crime nos exige”. Assim nasce a UNC3T. E nasce de uma inquietação que veio a provar-se, e bem, tinha muita razão de ser: “Olhamos para o cibercrime com uma grande preocupação. Hoje, temos cada vez mais aquilo a que eu chamo de «vinho velho em garrafas novas», pois aquelas práticas criminais a que assistíamos no passado, e sem o uso da internet, transferiram-se para o espaço digital. Em particular, aqueles crimes que eram de interação com as vítimas. Essa interação passou a ocorrer no espaço digital, porque facilita o contacto, uma vez que o criminoso deixa de ter de encarar a vítima”, revela, assinalando que “a Unidade nasceu em 2017 e o balanço destes anos de atividade é bastante positivo. Temos evoluído, de modo a adaptarmo-nos à realidade, e temos criado capacidades que não tínhamos antes”. Prevenção, deteção e investigação de crimes praticados com recurso ou por meio de tecnologias ou de meios informáticos, assim como dos crimes previstos na Lei n.º 109/2009 – Lei do Cibercrime (entrou em vigor em Portugal no dia 15 de outubro de 2009 e estabelece as disposições penais materiais e processuais, bem como as disposições relativas à cooperação internacional em matéria penal, relativas ao domínio do cibercrime e da recolha de prova em suporte eletrónico). É esta a missão da UNC3T. E para a cumprir, conta a PJ com uma equipa de investigação digital especializada e em constante formação. Diz-nos Carlos Cabreiro que “a PJ não tem a possibilidade de fazer um recrutamento específico para uma Unidade deste tipo, pese embora possa optar por licenciaturas que se adequem mais. A aposta que tem sido feita é na formação ao nível das organizações internacionais (Interpol e Europol)”. Percorrendo os corredores, um tanto ou quanto labirínticos, fomos observando o ritmo acelerado dos que aqui trabalham. Quisemos, por isso, saber como é um dia habitual dos profissionais da UNC3T. “O dia-a-dia de um Investigador desta Unidade é muito imprevisível. Implica, por um lado, cuidar das investigações que tem a seu cargo, no sentido de realizar diligências e, por outro, estar constantemente preparado para reagir a novas investigações que possam surgir. Ou seja, até podemos ter um esquema mental planeado de naquele dia ir tratar de uma investigação e, a certo momento, temos de acudir a crimes que estão a decorrer”, explica o Diretor da UNC3T.

Carlos Cabreiro

E se já percebemos que os crimes tradicionais migraram em força para a internet, a verdade é que outros fenómenos também proliferaram no ciberespaço. “O dano informático, a falsidade informática, a burla informática, o acesso ilegítimo, a sabotagem, entre outros, são alguns dos novos crimes que nasceram com a internet”, esclarece Carlos Cabreiro.

E por falar em crimes, não poderíamos perder a oportunidade de descobrir quais os que são mais praticados na internet. “Nós temos assistido a um conjunto de crimes relacionados com o Phishing, que é a captura de credenciais, ou com o malware, que é distribuído como software malicioso, podendo ser colocado aos utilizadores com variantes de ransomware, quando há, por exemplo, roubo de dados em que se impede os utilizadores de acederem ao seu sistema ou ficheiros, exigindo-lhes o pagamento de um resgate para devolver esse acesso”, menciona o Diretor. Mas não é tudo. “Outros crimes que se têm verificado muito no espaço digital são os relacionados com meios de pagamento eletrónicos – tudo o que tem a ver com cartões de pagamento (de crédito ou débito) e criptoativos (moedas virtuais) – e a pornografia de menores.”

Depois de esclarecido todo este panorama, dúvidas não restam de que a investigação no mundo virtual traz

seguramente mais desafios. “A internet trouxe-nos mais desconhecimento e mais potencialidades, dividiu e desmultiplicou as capacidades de acesso. Basta pensar no tipo de aparelhos que permitem o acesso à internet, nas plataformas de conversação, nas redes sociais. Tudo isso potenciou, por um lado, vantagens para todos nós, mas também trouxe alguns fatores negativos, uma vez que a internet usada de forma mal-intencionada pode se constituir um fator de insegurança”, alerta o Diretor da UNC3T, o que nos leva à seguinte questão: podemos dizer que a internet pode ser mais perigosa do que a “vida real”? Para Carlos Cabreiro, “estamos a falar de um perigo diferente. Na vida real há o contacto imediato, mas a internet veio potenciar também esse contacto, se necessário, o que se pode tornar perigoso”.

Certamente o leitor estará a questionar-se se é mais difícil apanhar um criminoso na internet do que «nas ruas». O Diretor responde: “Não é mais difícil, é diferente. Temos um espaço distinto – um ciberespaço sem fronteiras. Note-se a facilidade que alguém tem de comunicar com outrem do outro lado do mundo, utilizando mais do que um operador de comunicação”. Há, no entanto, uma dificuldade acrescida na recolha de prova. “É mais volátil, isto é, mais difícil de estabilizar. Estamos, por vezes, a falar de um simples clique no rato que é peça única de um determinado facto.” Tudo isto obriga a uma grande cooperação internacional. “Este tipo de criminalidade não é localizada, nem sazonal. Por isso, temos de estar em constante evolução naquilo que tange à transnacionalidade do crime, à cooperação internacional que possamos ter com os nossos parceiros e também com as entidades que organizam e que estão na génese de grupos de trabalho, como são a Interpol e a Europol”, menciona.

Em Portugal, os ciberataques têm tido um aumento deveras exponencial, situação que não passa despercebida aos olhos de quem todos os dias se debruça sobre esta área de investigação. “No que diz respeito aos ciberataques sobre organizações/ entidades, como tem vindo a ser noticiado desde o início do ano, é um facto que tivemos várias circunstâncias que colocaram no espectro dos criminosos um conjunto de entidades que foram atacadas”, afirma Carlos Cabreiro, destacando que “durante a pandemia tivemos um incremento significativo de uma determinada franja de criminalidade informática, porque as pessoas estavam a trabalhar a partir de casa, mais ligadas ao online e usavam plataformas de acesso às empresas/ organizações (VPN). E tudo isso

pode ter criado fragilidades que estão a ser, ou podem vir a ser, exploradas pelos criminosos”.

E para combater este crescendo de criminalidade, várias medidas têm sido tomadas pela UNC3T. “Para além dos recursos humanos terem aumentado na Unidade, temos também investido na especialização e formação contínua dos nossos profissionais”, indica o Diretor, justificando que “o mundo da internet é vasto e tem várias componentes, desde a parte da cifragem, a Dark web, as plataformas de comunicação e não podemos esperar que um Inspetor da Polícia tenha essas valências todas”. Nesta Unidade, andar a par e passo com o desenvolvimento tecnológico é imprescindível. Para isso, “temos aderido a algumas ferramentas específicas associadas à investigação, sejam elas para análise forense ou para a investigação de casos concretos”.

Mas será que alguma coisa pode ser feita para garantir uma maior prevenção destes ataques informáticos? “Ainda não encontrei ninguém, mesmo da área da segurança da informação ou da engenharia informática, que me dissesse que há sistemas totalmente seguros”, confessa-nos Carlos Cabreiro, enaltecendo, contudo, que “as empresas têm feito uma evolução muito positiva, ao apostar em cibersegurança. Esta passou a ser claramente um ativo das empresas e organizações, sejam elas estatais ou privadas”.

Apostar numa cultura de segurança é, pois, mais que obrigatório nos tempos que correm. Devem as empresas ter esse cuidado. E não só. Também as pessoas singulares têm de o fazer. O Diretor da UNC3T admite que os portugueses estão cada vez mais conscientes dos perigos subjacentes ao uso das novas tecnologias, mas que devem ter muitas precauções. “É importante perceberem que os acessos, as potencialidades e as oportunidades que a internet lhes dá também são capazes de ofender a sua vida, o seu património e a sua honra. Por isso, a prática que temos, no mundo real, de proteger os nossos bens, de não mostrar a nossa carteira, ou seja, de estarmos precavidos e atentos tem que ser transportada para a vida digital”, recomenda.

Quase a terminar a nossa passagem pela sede da PJ, chegamos finalmente a uma das salas onde grande parte da investigação acontece. Servidores. Cabos. E outros tantos equipamentos de rede. Mas apenas um único computador. Aqui se escreve, todos os dias, a história da investigação criminal. “Nesta área, nós temos a perceção de que os criminosos são rápidos a aderir às novas tecnologias, da mesma forma que são rápidos a recrutar pessoas com muito conhecimento e a componente da investigação também é essa: encurtar o passo que pode mediar entre o conhecimento que o crime tem e o conhecimento que a polícia tem que rapidamente adquirir para o combater”, explica Carlos Cabreiro.

Num mundo cada vez mais conectado pela tecnologia, o cibercrime tem ganhado muito terreno e não há dúvidas de que esta ameaça veio para ficar. “A tecnologia não para e nós também não podemos parar no que concerne à adoção e ao conhecimento das potencialidades que a tecnologia nos traz”, conclui o Diretor da UNC3T. É este o caminho. É este o desafio. E, assim, segue a investigação… à espreita do crime.

Carlos Cabreiro