T odos os dias, a qualquer hora, milhares de madeirenses recebem chamadas telefónicas e SMSs dos hackers que roubaram o Sesaram ou por aqueles a quem a base de dados foi vendida. Os anos vão passando, mas o problema prossegue. Autoridades, oposição, ninguém se toca para chamar os incompetentes à responsabilidade, apesar de haver lei!
O que se passou no Sesaram configura uma grave violação de múltiplas obrigações legais, conforme estabelecido pelo Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia e pela legislação nacional portuguesa (Lei n.º 58/2019).
O SESARAM, enquanto Responsável pelo Tratamento de Dados, tinha o dever legal de implementar medidas técnicas e de organização adequadas para proteger os dados pessoais, especialmente os dados de saúde, que são considerados Categorias Especiais de Dados Pessoais (Artigo 9.º do RGPD) e exigem um nível de proteção acrescido.
O principal dever violado é a falha em garantir a segurança dos dados pessoais. A fuga maciça de dados sugere que as medidas de segurança implementadas eram inadequadas (e.g., falta de encriptação robusta, fraca gestão de acessos, ausência de sistemas de deteção de intrusão eficazes). É a violação do Princípio da Integridade e Confidencialidade (Artigo 5.º, n.º 1, alínea f):
O SESARAM falhou em assegurar um nível de segurança adequado ao risco apresentado pelo tratamento de dados de saúde (que são altamente sensíveis). Violação do Dever de Implementar Medidas de Segurança Adequadas (Artigo 32.º). É a infração técnica mais direta.
O SESARAM tinha a obrigação de notificar a Comissão Nacional de Proteção de Dados (CNPD) da violação no prazo de 72 horas após ter tido conhecimento da mesma. Violação do Dever de Notificação da Violação (Artigo 33.º):
Se a violação for suscetível de resultar num elevado risco para os direitos e liberdades dos cidadãos (o que é claramente o caso, devido às tentativas de fraude e roubo de identidade), o SESARAM tinha o dever de comunicar a violação aos titulares dos dados sem demora injustificada. Violação do Dever de Comunicação aos Titulares dos Dados (Artigo 34.º):
As infrações cometidas, por ação ou omissão, podem ser enquadradas em vários artigos do RGPD, constituindo potencialmente contraordenações muito graves puníveis com coimas elevadas. As sanções por estas contraordenações podem ser extremamente elevadas, chegando a um máximo de 20 milhões de euros ou 4% do volume de negócios anual global (o que for mais elevado), no caso de infrações relativas aos princípios básicos do tratamento de dados ou aos direitos dos titulares.
Existe uma parte de humor nisto? Na atualidade, o GR que deu esta barraca, este vexame e irresponsabilidade manda os outros estudar a "Protecção de Dados". O maior ensinamento que de poderia dar era por o GR a pagar uma valente coima que todos despertam. Mas sobretudo chamar os irresponsáveis à razão.
Vou escrever outros dois textos sobre este assunto.
.jpg)
