No dia 25 de Maio deste ano, Portugal terá de mostrar se está preparado para a nova configuração jurídica da União Europeia no que se refere ao ciberespaço. Nessa data, é transposta a Directiva NIS (Network and Information Security), relativa à segurança das redes e da informação, adoptada pelo Parlamento Europeu em 2015. Os especialistas consideram que este vai ser um grande teste à harmonização das legislações dos países da UE em relação à cibersegurança. A colaboração dos Estados-membros será determinante, mas a empreitada não é fácil nem está livre de polémicas. Raquel Alexandra Brízida Castro, professora da Faculdade de Direito da Universidade de Lisboa e coordenadora científica do primeiro mestrado em cibersegurança em Portugal, explicou ao P2 as linhas gerais do que estará em causa nos próximos tempos.

É correcto pensarmos que as questões ligadas ao ciberespaço são um assunto de uma só responsabilidade, designadamente, do poder legislativo?
A regulação, legislativa ou administrativa, do ciberespaço é uma missão difícil, mas já não é considerada impossível. Mais do que ser um palco de condutas em total liberdade, o ciberespaço é para mim, em termos muito genéricos e em primeiro lugar, um cenário onde deve existir a máxima liberdade possível, mas com a máxima responsabilidade. No entanto, a partir do momento em que existe a susceptibilidade de lesão de direitos, liberdades e garantias, o Estado deve intervir, na medida do possível. Ou seja, o direito, a política e a tecnologia devem aliar-se no sentido da protecção dos direitos fundamentais, através dos instrumentos jurídico-normativos internacionais e nacionais aplicáveis, designadamente e, antes de mais, a Constituição. Convém, no entanto, referir que os problemas do ciberespaço podem não ter motivações erradas ou criminosas, resultando antes da falta de consciência ou de conhecimento de regras básicas de higiene digital.

Os ciberataques feitos às grandes empresas ou às administrações públicas acontecem numa base diária. No entanto, só muito poucos são conhecidos das pessoas, que também podem ser utentes ou utilizadoras desses “territórios”. Quais são as razões para que isto aconteça? E que fragilidades denunciam?
Quando esses ciberataques assumem uma dimensão relevante, quase sempre chegam ao conhecimento das pessoas. Embora a informação que chega seja, quase sempre, parcial…. No entanto, na maioria dos casos, não interessa que essa informação seja divulgada, precisamente porque escancara fragilidades que causam, no mínimo, embaraço. Com a transposição da Directiva NIS, as empresas qualificadas como operadores de serviços essenciais e prestadores de serviço digitais vão ter de cumprir requisitos apertados de segurança informática, bem como deveres de notificação do Estado, caso ocorra um ciberataque. A responsabilidade de zelar pela segurança das redes vai recair, em grande medida, sobre as empresas e as entidades gestoras de infra-estruturas críticas e serviços essenciais, que deverão implementar programas para criar uma cultura de gestão e prevenção de riscos e ataques, bem como de reacção aos mesmos.

Portugal está tão preparado para um ataque informático como outro Estado-membro?
Sou jurista e não sei responder a esta pergunta. O que sei é que não existem sistemas 100% seguros. Nem em Portugal nem em qualquer outro Estado-membro.

Os próximos meses vão ser decisivos para uma maior fiabilidade e segurança na Internet?
A elaboração de uma Lei da Cibersegurança, de transposição da Directiva NIS, constitui uma oportunidade irrepetível de gerar e estimular uma consciência colectiva dos problemas da segurança do ciberespaço e da cibersegurança. A partilha de preocupações é, a meu ver, o instrumento mais eficaz de esclarecimento dos cidadãos e das empresas sobre o verdadeiro alcance das ciberameaças e, reflexamente, da relevância da segurança das redes e da informação no ciberespaço. Na minha opinião, uma futura lei de cibersegurança deverá ser clara na definição dos deveres das empresas e deve responsabilizar a Autoridade de Cibersegurança densificando legalmente os critérios objectivos da sua actuação.

De quem é o problema da segurança (ou falta dela) do ciberespaço?
O ciberespaço é um recurso global, cujo controlo dificilmente pode ser reclamado por um Estado. No ciberespaço existem dificuldades acrescidas de regulação por causa da facilidade de recurso ao anonimato e dos problemas de jurisdição e extraterritorialidade das condutas susceptíveis de lesar direitos fundamentais.

A privacidade acabou mesmo? Ou está nas mãos de quem não sabemos, para fins que desconhecemos?
Quando se fala em privacidade, normalmente podemos referir-nos a duas dimensões diferentes: uma é a privacidade no sentido de evitar ingerências do Estado na reserva da vida privada, através, por exemplo da garantia do sigilo das comunicações, outra diz respeito ao controlo que cada indivíduo tem ou pode ter sobre os seus dados pessoais. Diz-se que os negócios gerados em torno dos dados pessoais são o novo petróleo… Não sei se a privacidade acabou mesmo, espero que não. O que sei é que temos de caminhar, gradualmente, para uma situação em que cada pessoa tenha a plena consciência da sua pegada digital e formas de garantir o direito à sua autodeterminação. O direito à autodeterminação informacional (e as suas formas concretas de protecção, mesmo normativas) constitui um desafio em constante construção. A aplicação plena, no nosso Direito, do novo Regulamento Geral de Protecção de Dados, também a partir de Maio, acompanhado da lei nacional que o vem concretizar (e que ainda desconhecemos) será um ponto importante de resposta à sua questão. Outra perspectiva é a do direito à privacidade perante formas cada vez mais intrusivas das novas tecnologias, ao serviço dos Estados em nome da segurança e da perseguição penal. Neste ponto, acho que corremos o risco de ressuscitar o controverso e inaceitável “direito penal do inimigo” [conceito segundo o qual algumas pessoas, por serem consideradas inimigas da sociedade (ou do Estado), não detêm todas as protecções penais e processuais penais que são dadas aos demais indivíduos].