Manchete PolíticaLei da Cibersegurança | Maioria a favor apesar de receios sobre privacidade Diana do Mar - 7 Set 2018 A maioria defende ser necessário e urgente criar um sistema para proteger a cibersegurança. No entanto, persistem receios de que tanto a privacidade como as liberdades de expressão e de imprensa saiam beliscadas com a nova lei. As preocupações foram demonstradas na consulta pública ao regime da cibersegurança [dropcap style=’circle’]É[/dropcap]o que revela o relatório da consulta pública sobre a Lei da Cibersegurança: a maioria defende não só ser necessário como urgente criar um sistema para proteger a cibersegurança da RAEM. Contudo, e apesar das garantias dadas pelo Governo, sobretudo pelo secretário da tutela, Wong Sio Chak, continuam a existir preocupações quanto à possibilidade de serem violados direitos como à privacidade, bem como as liberdades de expressão e de imprensa. Durante a consulta pública, realizada entre 11 de Dezembro e 24 de Janeiro, foram recolhidas 716 opiniões (529 do sector público e 187 do privado), das quais 255 a respeito da intenção legislativa, um dos temas que mais preocupação suscitou, de acordo com o relatório publicado ontem. Apenas uma minoria de 14 opiniões, todas expressas pelo público, discorda, por entender que a Lei de Combate à Criminalidade Informática já permite lidar com ataques de ‘hackers’. Outro dos receios desta minoria é que o Governo utilize a Lei da Cibersegurança para “legalizar a vigilância” na Internet, prejudicando direitos, como a liberdade de expressão e o sigilo das comunicações. Na réplica, o gabinete do secretário para a Segurança sustenta que a Lei da Criminalidade Informática não basta, na medida em que as diligências de investigação definidas têm lugar somente após a prática de crimes, enquanto a da Cibersegurança tem como objectivo evitar que ocorram. Em paralelo, garante que as medidas previstas na futura lei “visam a gestão preventiva da cibersegurança das infra-estruturas críticas” e “que as mesmas não intervirão nem prejudicarão os direitos fundamentais dos residentes, nomeadamente a liberdade de expressão, a privacidade pessoal e a liberdade de imprensa”. A futura lei – que tem como destinatários os operadores das infra-estruturas definidas como críticas, independentemente da natureza pública ou privada – prevê três níveis de supervisão. A saber: a Comissão Permanente para a Cibersegurança (órgão no topo da hierarquia), o Centro de Alerta e Resposta a Incidentes de Cibersegurança (CARIC, órgão operacional e coordenador) e as Entidades de Supervisão do Governo definidas por domínios de actividade. À luz do relatório, o CARIC, cuja coordenação vai ser assegurada pela Polícia Judiciária (PJ), suscitou o maior número de opiniões, dado que caber-lhe-á monitorizar o tráfego de dados informáticos entre as redes dos operadores das infra-estruturas críticas e a Internet. Embora a maioria concorde com a criação e composição do CARIC (as atribuições vão ser definidas através de regulamento administrativo), foram sinalizadas 18 opiniões contra. Em particular, devido à possibilidade de o CARIC supervisionar em tempo real a dimensão do fluxo dos dados e as características dos datagramas. Algo que, alegam, pode prejudicar a privacidade, a liberdade de expressão e de edição e até o segredo comercial. Sem dados pessoais Na resposta, constante do relatório, o Governo assegura que o CARIC vai apenas proceder “a uma averiguação da dimensão do fluxo de dados examinada, sem registar qualquer dado, muito menos decifrar qualquer conteúdo ou discurso que se encontre em rede”. Tal significa que “o pessoal das entidades de supervisão não pode obter quaisquer dados pessoais directamente ou mediante recurso à técnica de recuperação dos datagramas, informações relativas aos sectores das comunicações”. As entidades supervisoras também geraram receios, com opiniões a alertarem para a hipótese de virem a exigir às entidades supervisionadas dados confidenciais ou informações. Uma situação que pode colocar em causa a liberdade de expressão ou de imprensa, invocando o cumprimento dos deveres, como o de colaboração, atinentes aos operadores das infra-estruturas críticas. O Executivo coloca de lado estes receios. “O pessoal da entidade supervisora apenas poderá entrar nas instalações dos operadores de infra-estruturas críticas para conhecer a realidade quando as suas redes sofrerem ataques ou invasões” e “mesmo que exija o acesso dos dados durante a inspecção, não lhe é permitido obter os dados operacionais da actividade dos operadores das infra-estruturas críticas nem os dados pessoais dos clientes, entre outras informações confidenciais”. Além disso, “os dados pessoais e conteúdos de comunicação não poderão ser consultados ou obtidos pelo pessoal de supervisão, salvo o consentimento das entidades supervisionadas ou autorização pelo juiz devido à necessidade de investigação criminal”, acrescenta. Supervisores e supervisionados As entidades supervisoras dividem-se em dois tipos: os órgãos públicos serão supervisionados pelos Serviços de Administração e Função Pública (SAFP), enquanto os operadores das infra-estruturas críticas do sector privado ficarão sob o controlo de 11 serviços públicos relacionados com a actividade ou natureza dos mesmos. As infra-estruturas definidas como críticas dizem respeito a patrimónios, sistemas e redes relevantes para o funcionamento normal da sociedade, cujo dano ou revelação de dados é passível de causar prejuízos graves para a segurança, interesse e ordem pública. Uma esfera que abrange, entre outros, fornecedores de bens essenciais, incluindo de água e electricidade, hospitais, transportes, bancos ou casinos, mas também estações de rádio e televisão. O único ponto em que a maioria das opiniões recolhidas discordaram do proposto foi quanto à entrada em vigor da lei. O documento de consulta prevê 30 dias após publicação em Boletim Oficial, um período considerado demasiado curto e que o Governo aceitou alargar para 180 dias. Esta será uma das mexidas a introduzir no diploma na sequência das opiniões compiladas durante a consulta pública, a par de outras alterações pontuais para “tornar mais claro o teor textual” de forma a reduzir mal-entendidos.