CYBER&DATA PROTECTION IPV

O Regulamento Geral de Proteção de Dados (RGPD), é um Regulamento aprovado em 2016, por dois órgãos da União Europeia, designados Parlamento Europeu e Conselho Europeu, que estabelece novas regras relativas à proteção de dados das pessoas singulares, no que respeita ao tratamento e à livre circulação dos dados. Assim, o RGPD é um ato legislativo da União Europeia, que se aplica diretamente em todos os Estados- Membros e visa essencialmente, garantir uma aplicação uniforme de determinadas regras em toda a União Europeia. O RGPD, encontra-se publicado no Jornal Oficial da União Europeia L119/1, de 04.05.2010, sob a referência “Regulamento (EU) 2016/679”. 

O RGPD, é aplicável a toda a União Europeia desde 25.05.2018, data a partir da qual, todas as entidades a ele sujeitas, são obrigadas a cumprir as suas normas.

O RGPD, introduz uma alteração significativa relativamente às normas vigentes em Portugal, na medida em que desloca a centralidade da proteção dos dados pessoais, para o titular dos dados. Quer isto dizer que, de acordo com a nova regulamentação europeia, toda a apreciação, interpretação e aplicação do RGPD, tem de ser feita na perspetiva de proteção dos direitos dos titulares dos dados, ou seja, o que passa a ser importante não é o local onde os dados pessoais são tratados, mas sim o local onde se encontra o titular dos dados.

O RGPD regula a proteção dos dados pessoais de todas as pessoas singulares vivas, que se encontrem na EU, não sendo necessário que sejam nela residentes ou nacionais dos Estados Membros. A proteção abrange o tratamento de dados que é feito por uma entidade, seja pessoa singular ou coletiva, situada na EU. No entanto, tendo por base o facto de o mundo estar globalizado, através dos meios tecnológicos, o RGPD também é aplicável a entidades que não se situem no território da EU, mas que desenvolvam atividades de oferta de bens e serviços aos titulares dos dados, situados na EU, ou que controlem o comportamento dos titulares dos dados, desde que esse comportamento ocorra na EU.

Contudo, o RGPD, distingue situações em que o tratamento dos dados é feito para o que se designa uso doméstico – exº lista de contactos pessoais (telefone, morada, correio eletrónico, data de nascimento, nome, etc.), não se lhe aplicando. Quer isto dizer que, com exceção destas situações, todos aqueles que tratem dados pessoais, estão obrigados a cumprir o RGPD, sejam pessoas singulares ou coletivas, no âmbito da sua atividade, independentemente da sua natureza pública ou privada. Por último, os princípios que regem o RGPD, determinam que o responsável pelo tratamento, atue de forma mais transparente, mais leal para com o titular dos dados, para que este seja reforçado nos seus direitos (temática a abordar em novo Boletim Informativo).

Os dados pessoais, são todos e quaisquer elementos relativos a uma pessoa singular, ou seja, um indivíduo, que o identificam ou que são suscetíveis de o identificar. O mesmo é dizer, que qualquer informação, de qualquer natureza e independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular, que a permita identificar de forma direta ou indireta, imediata ou agregando diversos elementos, é um dado pessoal. Essa “informação” é todo e qualquer elemento (nome, sexo, ocupação, localização, preferências, etc.), sob qualquer formato, guardada em papel, em suporte digital ou de qualquer outro modo. Importa compreender que a informação está “relacionada” com um indivíduo, sempre que permita identificá-lo ou caracterizá-lo de alguma forma, mesmo que agregando várias informações. Um indivíduo está “identificado”, quando a informação permite, de forma direta e individual, conhecer a respetiva identidade (nome, número de identificação fiscal, de identificação civil, de utente, fotografia, análises genéticas, entre outras). Um indivíduo é “identificável”, quando a informação pode, de forma indireta ou agregada com outras informações, conhecer a sua identidade (localização, idade, características físicas, sociais, culturais, entre outras). 1 Neste âmbito, o RGPD, incorpora as alterações tecnológicas, uma vez que hoje através do Internet Protocol (IP), dos cookies, é possível identificar uma pessoa, utilizando identificadores, que em concreto permitem conhecer a identidade de um indivíduo, que procedeu a um determinado download ou pesquisa.

De entre os dados pessoais, existe uma categoria especial de dados, habitualmente designada por dados sensíveis, cujo tratamento é, em regra, proibido ou sujeito a condições especiais, uma vez que coloca em risco direitos fundamentais das pessoas.

Para se perceber esta distinção, importa distinguir a noção de dados pessoais da dos dados sensíveis.

O RGPD define como dado pessoal toda a informação relativa a uma pessoa singular identificada ou identificável. O que quer dizer que, por exemplo, o nome, associado a uma morada, ou a um número de contribuinte e/ou de segurança social constituem dados pessoais. Mas também são dados pessoais o endereço eletrónico, os elementos de identidade física, os genéticos ou de ordem fisiológica, os dados obtidos através de dispositivos eletrónicos – endereço de IP e dados de localização, os dados financeiros, preferências sociais…

Como se depreende desta noção ampla de dado pessoal, o Regulamento veio a considerar hipoteticamente tudo o que, amiúde, possa identificar o titular dos dados. Mas, para além do alargamento da noção de dado pessoal, o RGPD veio criar uma categoria de dados que dada a sua natureza, merece, pois, uma proteção acrescida. Assim, foram classificados pelo referido Regulamento determinados dados como sensíveis. São eles:

• Raciais ou de índole étnica;
• Políticos;
• Crenças Religiosas ou filosóficas;
• Sindicais;
• Genéticos;
• Biométricos para identificação;
• Dados de Saúde;
• De natureza sexual, seja de vida ou de orientação

Dados Genéticos, Biométricos e de Saúde

O RGPD impõe com clareza que os dados genéticos deverão ser definidos como os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que resultem da análise de uma amostra biológica da pessoa singular em causa, nomeadamente da análise de cromossomas, ácido desoxirribonucleico (ADN) ou ácido ribonucleico (ARN), ou da análise de um outro elemento que permita obter informações equivalentes. Os dados biométricos para identificação, são aqueles resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos (impressões digitais).

E quanto aos dados de saúde, deverão ser considerados todos aqueles que forem relativos ao estado de saúde de um titular de dados que revelem informações sobre a sua saúde física ou mental no passado, no presente ou no futuro.

O que precede informações sobre a pessoa singular recolhidas durante a inscrição para a prestação de serviços de saúde, ou durante essa prestação, a essa pessoa singular; qualquer número, símbolo ou sinal particular atribuído a uma pessoa singular para a identificar de forma inequívoca para fins de cuidados de saúde; as informações obtidas a partir de análises ou exames de uma parte do corpo ou de uma substância corporal, incluindo a informação partir de dados genéticos e amostras biológicas; e quaisquer informações sobre, por exemplo, uma doença, deficiência, um risco de doença, historial clínico, tratamento clínico ou estado fisiológico ou biomédico do titular de dados, independentemente da sua fonte, através de um médico ou outro profissional de saúde, um hospital, um dispositivo médico ou um teste de diagnóstico in vitro.

Proteção Especial dos Dados Sensíveis no RGPD

Ora, os dados sensíveis mereceram uma proteção específica, já que, são especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais, pois o seu tratamento pode implicar riscos significativos para o direito à reserva da vida privada. Como tal, o Regulamento consagra como regra geral que a sua recolha e/ou tratamento está proibida, (cfr. Art.º 9º do RGPD). Quer isto dizer que nenhuma organização pode recolher e tratar, por exemplo, os dados de saúde ou biométricos? Não. Pois, foram fixadas situações excecionais para as quais o tratamento de dados sensíveis é possível se for considerado necessário:

• para efeitos do cumprimento de obrigações e do exercício de direitos específicos do responsável pelo tratamento ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social, na medida em que esse tratamento seja permitido pelo direito da União (por exemplo, para o processamento de salários, contratação de apólices obrigatórias de seguro de acidentes de trabalho);
• para proteger os interesses vitais de uma pessoa singular (até de terceiro, caso este esteja impossibilitado de dar o seu consentimento);
• no âmbito das suas atividades legítimas e mediante garantias adequadas, por uma fundação, associação ou outra organização sem fins lucrativos e que prossiga fins religiosos, sindicais políticos;
• dados que o seu titular tenha tornado públicos (como no caso do titular de dados ser um político, fazendo declarações através da comunicação social, ou se publicar em redes sociais abertas ao público, opiniões relativas às suas ideologias);
• à declaração, ao exercício ou à defesa de um direito num processo judicial ou através dos tribunais na sua função jurisdicional;
• por motivos de interesse público importante, com base no direito da União, devendo ser proporcional ao interesse ou ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas, que acautelem os direitos fundamentais e os interesses do titular dos dados;
• para fins de medicina preventiva ou do trabalho, diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social, ou gestão de sistemas e serviços de saúde, ou de ação social, com base no direito da União, ou dos Estados-Membros ou por força de um contrato com um profissional de saúde, sob reserva de sigilo profissional ou por pessoa sujeita ao dever de confidencialidade (por exemplo, no caso das organizações de higiene e segurança no trabalho que recolhem e tratam dados de saúde para emissão das fichas de aptidão; ou organizações que prestem serviços de saúde);
• por motivos de interesse público no domínio da saúde pública (por exemplo, no caso de estarmos perante a possibilidade de surtos de determinadas doenças de natureza contagiosa);
• para fins de arquivo de interesse público, para fins de investigação científica ou histórica para fins estatísticos, (cfr. Art.º 89º n.º 1) que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção de dados pessoais e prever medidas adequadas e especificas para a defesa dos direitos fundamentais e dos interesses do titular dos dados.
• E, por fim, deixando um largo espectro de tratamento se o titular tiver dado o seu consentimento explícito para o tratamento desses dados pessoais para uma ou mais finalidades específicas;

O Regulamento deixa, ainda, a porta aberta a que o direito nacional dos Estados Membros possa permitir derrogações à proibição de tratamento de categorias especiais de dados pessoais, ainda que devam ser sujeitas a salvaguardas adequadas, de forma a proteger os dados pessoais e outros direitos fundamentais, caso tal seja do interesse público, nomeadamente o tratamento de dados pessoais em matéria de direito laboral, de direito de proteção social, incluindo as pensões, e para fins de segurança, monitorização e alerta em matéria de saúde, prevenção ou controlo de doenças transmissíveis e outras ameaças graves para a saúde. Essas derrogações poderão ser previstas por motivos sanitários, incluindo de saúde pública e de gestão de serviços de saúde, designadamente para assegurar a qualidade e a eficiência em termos de custos dos procedimentos utilizados para regularizar os pedidos de prestações sociais e de serviços no quadro do regime de seguro de saúde, ou para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos.

O Regulamento define, assim, que as categorias especiais de dados pessoais que merecem uma proteção mais elevada só deverão ser objeto de tratamento para fins relacionados com a saúde quando tal for necessário para atingir os objetivos no interesse das pessoas singulares e da sociedade no seu todo, nomeadamente no contexto da gestão dos serviços e sistemas de saúde ou de ação social, incluindo o tratamento por parte da administração e das autoridades sanitárias centrais nacionais desses dados para efeitos de controlo da qualidade, informação de gestão e supervisão geral a nível nacional e local do sistema de saúde ou de ação social, assegurando a continuidade dos cuidados de saúde ou de ação social e da prestação de cuidados de saúde transfronteiras, ou para fins de segurança, monitorização e alerta em matéria de saúde, ou para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos baseados na legislação e que têm de cumprir um objetivo, assim como para os estudos realizados no interesse público no domínio da saúde pública.

O Regulamento veio estabelecer condições harmonizadas para o tratamento de categorias especiais de dados pessoais relativos à saúde, tendo em conta necessidades específicas, designadamente quando o tratamento desses dados for efetuado para determinadas finalidades ligadas à saúde por pessoas vinculadas a um dever de sigilo. A legislação nacional deverá prever medidas específicas e adequadas com vista à defesa dos direitos fundamentais e dos dados pessoais das pessoas singulares. Assim, as legislações nacionais de cada Estado-Membro podem manter ou introduzir outras condições, incluindo limitações, no que diz respeito ao tratamento de dados genéticos, dados biométricos ou dados relativos à saúde.

De acordo com o RGPD, tratar dados pessoais significa:

• Realizar uma operação ou um conjunto de operações sobre dados pessoais ou sobre conjuntos de dados pessoais, e fazê-lo;
• Por meios automatizados ou não automatizados.

a) Operações de tratamento de dados: recolha, registo, organização, estruturação, conservação, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, comparação ou interconexão, limitação, apagamento ou destruição. Exºs: médico que tem as fichas dos seus pacientes em papel, classificadas por ordem alfabética de apelido, consulta por trabalhador, de dados sobre a assiduidade dos demais trabalhadores da Instituição, para processamento de salários. Não existe tratamento de dados apenas quando alguém transmite dados pessoais nossos a outra pessoa. Mesmo no caso de um mero sistema de armazenamento de dados num servidor, um back-up feito para uma pen, ou um download de um ficheiro Excel com dados sobre formandos de uma ação, que realizamos do servidor para o ambiente de trabalho do computador, configuram atos de tratamento de dados pessoais.

b) Tratamento automatizado e não automatizado: Apesar de habitualmente se associar a proteção de dados pessoais apenas ao tratamento automatizado, isto é, às operações que se realizam com o apoio de meios tecnológicos, é essencial referir que o RGPD, se aplica igualmente ao tratamento de dados que é feito em papel. Daqui decorre a necessidade, por parte das entidades que procedem ao tratamento de dados pessoais, de adaptar, por exemplo, os formulários em papel que entregam. Uma empresa de formação que permita a realização de inscrições em papel, terá 1 obrigatoriamente de adequar a recolha de dados pessoais a que procede, aos princípios e normas do RGPD, com o objetivo de proteger os dados pessoais do formando. Por outro lado, o formando, deverá ser informado sobre os dados que lhe são solicitados, e que devem ser apenas os necessários para a finalidade para a qual são tratados. Por exemplo, se o formando e titular dos dados não necessitar de fazer qualquer pagamento, não deverá ser solicitado o número de identificação fiscal, se mesmo assim for solicitado, a empresa tem de indicar a finalidade para que o faz.

Dados Sensíveis

São todas as informações pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, bem como os dados genéticos, biométricos, ou relativos à saúde, e também os dados relativos à vida sexual ou orientação sexual de uma pessoa. Considerando que tais dados, integram mais reforçadamente a privacidade dos seus titulares, a sua violação pode afetar os seus direitos, liberdades e garantias, descriminando-os ilicitamente. O mesmo é dizer que, o tratamento de dados que assente em aspetos pessoais, como as convicções religiosas ou de orientação sexual, opiniões politicas, pode dar origem à criação de bases de dados discriminatórias, violando o direito de igualdade, bem como direitos fundamentais dos indivíduos. É por isso que o RGPD estabelece como regra, a proibição de tratamento de dados pessoais sensíveis, podendo o mesmo ocorrer apenas em determinadas situações especiais, como adiante se explicará.

O Consentimento Explícito e Consentimento Inequívoco

O consentimento explícito, é o meio pelo qual o titular dos dados dá o seu acordo para que sejam utilizados um ou mais dados pessoais sensíveis, em determinado contexto especificado. O consentimento explícito é mais exigente do que o que é solicitado, por exemplo, para receber uma newsletter ou marketing ou para integrar uma mailing list de uma entidade. Neste caso, o RGPD exige que o consentimento seja inequívoco, mas não obriga a que seja explicito.

Diferenças

Consentimento Inequívoco:

corre sem que haja dúvidas sobre a vontade do titular dos dados. Exº- quando pretendemos o consentimento do titular para recebimento de uma newsletter ou para integrar a mailing list de uma organização, o mesmo pode ser obtido através da colocação de uma cruz num formulário online, desde que o mesmo não venha pré-preenchido.

Consentimento Explícito:

por estar relacionado com os dados sensíveis e a sua especial vulnerabilidade a riscos de violação de privacidade, para o seu titular, deve o titular ser informado sobre quais os dados pessoais específicos que irão ser tratados(o resultado de uma análise ao sangue, uma ressonância magnética, determinado histórico familiar, etc), em que formato(em papel , numa base de dados), para que efeito específico( para uma conferência, para uma publicação científica, para análise num grupo, para todos os fins referidos anteriormente), sobre a utilização desses dados de forma anónima ou não, sobre a transferência desses dados(de um, vários ou todos), para outras entidades(identificando-as), ao que na posse desta informação, deve o titular consentir de forma expressa nesse tratamento, exclusivamente para os termos e condições que lhe foram comunicados. Exemplificando, não é possível presumir que, se o titular dos dados autorizou o tratamento dos seus dados médicos para efeitos de uma estatística hospitalar, esse consentimento seja extensivo e legitime a sua utilização num estudo e publicação numa revista científica. Já se o titular dos dados deu o seu consentimento para o tratamento automatizado para definição do seu perfil de consumo, pode considerar-se que o consentimento também foi dado, para recebimento de marketing de produtos.

O principio da licitude, determina que só é possível o tratamento de dados pessoais, se existir uma razão suficientemente legítima que o justifique. Nestas circunstâncias, um tratamento de dados pessoais, só é licito, se e na medida em que se verifique pelo menos uma das seguintes situações:

• Consentimento (autorização do titular dos dados);
• Execução de um contrato (exº recolha de nome, NIF, Nº Cartão de Cidadão, para formalização de contrato de trabalho);
• Cumprimento de uma obrigação legal (exº recolha de informação dos trabalhadores, para reporte à CGA ou Segurança Social);
• Defesa de interesses vitais (exº em caso de perigo de vida, partilha de dados de saúde por médicos assistentes, sem consentimento do doente);
• Exercício de funções de interesse público ou exercício de autoridade pública;
• Interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiro (exº medição da temperatura dos trabalhadores em contexto pandémico).

O principio da lealdade, determina que o processo do tratamento de dados pessoais, deve ser equilibrado, ponderando os interesses dos responsáveis pelo tratamento e dos subcontratantes, por um lado, e dos titulares dos dados, por outro. Exemplo: cartões de fidelização com descontos, com recolha de dados que servirão posteriormente para estabelecer um padrão de consumo, sem conhecimento e ou autorização do subscritor do cartão.

O principio da transparência, determina que as informações ou comunicações relacionadas com o tratamento de dados pessoais, devem ser de fácil acesso e compreensão, e formuladas numa linguagem clara e simples, especialmente as informações fornecidas aos titulares dos dados sobre a identidade do responsável pelo tratamento, os fins a que o tratamento se destina e a salvaguarda dos direitos, devendo o titular obter confirmação dos dados pessoais que estão a ser tratados. Este princípio é desenvolvido no artigo 12.º do RGPD, que determina que as informações previstas nos artigos 13.º e 14.º, bem como as comunicações referidas nos artigos 15.º a 22.º e 34.º, que digam respeito ao tratamento de dados pessoais, devem ser prestadas de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, em especial quando as informações são dirigidas especificamente a crianças. Tais informações são prestadas por escrito ou por outros meios, incluindo, se for caso disso, por meios eletrónicos.

Significa que os dados pessoais só podem ser tratados para fins específicos, explícitos e legítimos. Por outro lado, e considerando que este princípio se correlaciona diretamente com o princípio da licitude, lealdade e transparência, é obrigatório informar o titular dos dados sobre quais as finalidades para que os dados são recolhidos e tratados, sendo ilícita a recolha e tratamento para finalidades distintas e incompatíveis com as que foram comunicadas ao titular. Porém, o tratamento subsequente para fins de interesse público, de investigação científica, histórica ou para fins estatísticos, não é considerado ilícito ou em violação do princípio do tratamento leal e transparente.

Significa que apenas podem ser tratados, os dados pessoais que sejam relevantes e estritamente necessários para cumprimento da finalidade para a qual foram recolhidos. Exº: na inscrição para a frequência de uma ação de formação, deverá recolher-se o NIF, do formando (titular dos dados) se for este a pagar a formação. Caso o pagamento recaia sobre a entidade empregadora, ou se resultar de contratos celebrados por ela, no âmbito de financiamentos comunitários, já não será necessário.

Este princípio, exige que os dados pessoais a tratar para uma determinada finalidade, estejam sempre atualizados, devendo eliminar-se ou retificar-se os que não estejam exatos.

Significa que os dados pessoais dos titulares, só podem ser conservados durante o tempo necessário para prossecução da finalidade para a qual foram recolhidos e são tratados. Quanto mais longo o prazo de conservação, maiores riscos se correm de exposição desses dados a acessos indevidos, transferências ou até perdas. Nesse contexto, o RGPD impõe ao responsável pelo tratamento (entidade ou organização), que defina os prazos de conservação para cada um dos dados pessoais que trata, prazos que poderão ser distintos, em função da finalidade para que foram recolhidos e conservados. Exº: Pode verificar-se ser necessário manter os dados relativos a faturação e pagamentos por um prazo mais alargado, por imposição da lei fiscal, relativamente ao prazo de conservação do email do titular dos dados, que apenas serviu de contacto durante um período de tempo em que foi prestado um serviço ou adquirido um bem.

Tal princípio, significa que o tratamento tem de ocorrer de forma segura, protegida contra acessos e tratamentos ilícitos, perdas acidentais, danos ou destruição. Para o efeito, tem as entidades que procedem ao tratamento de dados, de tomar as medidas organizativas e técnicas que garantam a segurança dos dados e os protejam contra tratamentos e acessos ilícitos. A anonimização e a pseudonimização, constituem alguns dos exemplos de mecanismos de reforço do princípio da integridade e confidencialidade dos dados.

Anonimização: Sempre que a entidade que trata os dados pessoais seleciona/separa a informação recolhida, de forma a não ser possível a identificação do titular, sendo tal operação irreversível.

Pseudonimização: Processo através do qual se separam os dados, de forma a não ser possível identificar o titular, contudo, permite-se se necessário posteriormente associar informação para identificar o titular.

Exº: No caso dos exames escolares, as provas tem um número identificativo, mas a correção é feita de forma anónima (sem nome do aluno). Após a avaliação, associa-se o número ao examinando, para o identificar e comunicar a classificação atribuída.

A anonimização é um processo habitualmente utilizado no tratamento de dados para fins estatísticos;

A pseudonimização constitui um processo de garantia de confidencialidade e integridade durante um determinado período de tempo, onde se considera que é necessário ou poderá vir a revelar-se necessário, proceder à identificação do titular dos dados.

Quando os dados são recolhidos ou em momento posterior, pode o titular dos dados solicitar que lhe sejam prestadas as seguintes informações:

• finalidade do tratamento
• prazo de conservação dos dados
• se o responsável pelo tratamento os transmite a terceiros

Exemplo: na celebração de um seguro de saúde, tenho o direito a saber qual o destino dos meus dados pessoais, durante quanto tempo a seguradora os conserva e quem tem acesso aos mesmos.

O titular dos dados tem ainda o direito de aceder aos dados que o responsável pelo tratamento tem sobre si, o qual para ser garantido de forma o mais ampla possível, tem de ser exercido do seguinte modo:

• sem restrições
• atempadamente e sem custos acrescidos
• obtendo as informações disponíveis sobre a origem desses dados.

O exercício deste direito, deve ocorrer através de um email de contacto ou de formulário online disponibilizados pelo responsável tratamento e pode ser exercido por escrito ou oralmente. No caso particular do direito de acesso a dados sensíveis de saúde, incluindo dados genéticos, deve ser exercido, em regra, por profissionais de saúde. Do mesmo modo que, por ser titular dos meus dados de saúde, posso por exemplo, junto do meu médico, solicitar o acesso aos resultados de análises e exames que tenha feito. Na prática, enquanto titular dos meus dados, posso:

• confirmar se a entidade está a tratar os meus dados pessoais
• obter uma cópia dos meus dados pessoais
• aceder a toda a informação suplementar que exista sobre mim, em resultado do tratamento dos meus dados

Exemplo: posso solicitar ao médico a consulta a todo o historial médico que ele reuniu sobre mim, em consultas, exames, análises e outros. Corresponde este direito, a outro direito, o de tomar conhecimento sobre informações que existam sobre mim, não me sendo permitido aceder à informação de outras pessoas(3ºs), a não ser que demonstre estar a representar esse terceiro ou que essa informação também me diz respeito.

Exemplos: Na qualidade de mãe de um menor de 6 anos, posso aceder aos seus dados pessoais, porque sou sua representante legal Na qualidade de co-titular de uma conta bancária, posso aceder com o titular da conta aos dados bancários.

Tendo o titular dos dados pessoais direito a que os dados existentes a seu respeito, sejam exatos e atuais, tem direito a solicitar a todo o tempo a sua retificação.

Por exemplo, pode exigir que os seus dados sejam eliminados dos ficheiros de endereços utilizados para marketing.

O mesmo direito, pode ser igualmente exercido junto do responsável pelo tratamento, o qual tem de indicar de forma clara o meio pelo qual esse direito pode ser exercido, de preferência através de um procedimento simples.

O que deve ser feito em caso de recolha de informação com erros?

Exemplo: No caso de um paciente a quem foi diagnosticada uma doença, com base num diagnóstico errado, por terem sidos trocados os exames médicos, é provável que seja conservado tanto o registo médico incorreto, como o registo médico já corrigido. Nesta situação, apesar de coexistirem o registo incorreto com o correto, consideram-se respeitados os direitos do titular dos dados, uma vez que quem consultar o histórico médico, perceberá que houve um erro entretanto corrigido.

Permite este direito ao titular dos dados pessoais, impedir a continuação do tratamento dos seus dados e de exigir que eles sejam apagados quando deixarem de ser necessários para as finalidades para as quais foram recolhidos.

Quer isto dizer que se sempre que o titular exerça este direito, e o responsável pelo tratamento não tenha razões legítimas para a sua conservação (por exemplo para fins estatísticos) os dados obrigatoriamente apagados.

Exemplos:

Estou inscrito num ginásio em Viseu, mas, por motivos profissionais, passo a viver na Guarda, tenho direito de solicitar ao ginásio de Viseu que apague todas as informações que tem sobre mim.

Faço um contrato com uma operadora de telecomunicações para um pacote de TV, telefone e internet, mas, entretanto, vendo a casa e vou para o estrangeiro. Nesse caso posso exigir à operadora que elimine os meus dados (morada, número de telefone ou qualquer outro dado recolhido para formalização do contrato), porque não quero que ela conserve esses dados a meu respeito.

O RGPD, confere ao titular dos dados o direito a opor-se:

• A seu pedido e sem custos, ao tratamento dos seus dados pessoais para efeitos de marketing direto ou de qualquer outra forma de prospeção
• A que os seus dados de cliente, sejam utilizados para efeitos de marketing da empresa
• A que os seus dados pessoais sejam transmitidos ou comunicados a terceiros, salvo disposição legal em contrário

Exemplo: O titular dos dados, tem direito a opor-se a que um supermercado, utilize os seus dados para divulgação de promoções.

Quando o tratamento de dados pessoais, ocorrer através de meios automatizados e tiver como fundamento de licitude, ou o consentimento ou o cumprimento de uma obrigação contratual, o titular dos dados tem direito a:

• Receber os seus dados pessoais, objeto de tratamento, num formato estruturado, de uso corrente e leitura automática
• Solicitar à entidade que os tratou (responsável pelo tratamento), que transmita esses dados a outra entidade (responsável por tratamento) sem que a primeira se possa opor
• Essa disponibilização, deverá ocorrer no prazo máximo de 1 mês, e caso a entidade pretenda não o fazer, terá de o fundamentar por escrito

Exemplo: Tenho o direito a solicitar que os meus dados pessoais sejam transmitidos de uma clínica médica para outra, caso queira mudar de médico. Para o efeito, posso solicitar que me sejam enviados num formato que me permita ler, como posso solicitar que sejam diretamente enviados de uma entidade para outra, como no caso das duas clinicas.

O RGPD prevê que não podem ser tomadas apenas decisões automatizadas, sem qualquer tipo de envolvimento humano.

Proíbe também a definição de perfis (processamento automático de dados pessoais para avaliar certas características de um indivíduo – perfis para fins de marketing por exemplo), quando isso é necessário para se poderem tomar decisões automatizadas.

Exemplo: Utilização de software em ambiente laboral, que permita após o registo de mais de 5 faltas seguidas injustificadas, a instauração automática de um processo disciplinar.

Quer isto dizer que o titular de dados pessoais, tem direito a opor-se a qualquer tipo de decisões baseadas exclusivamente em tratamentos automatizados, incluindo à elaboração de perfis, que venham a produzir efeitos jurídicos ou causar-lhe qualquer dano.

É certo, que através de algoritmos, a lei permite definir perfis para determinados objetivos, mas mesmo nesses casos, o titular dos dados, tem o direito de se opor ao resultado a que esse tratamento conduziu; Exigindo-se sempre também, a intervenção humana, que avalie a aplicação ao caso concreto, para que o resultado se considere final.

Exceção: é permitido o tratamento automatizados nos seguintes casos:

• O titular dos dados, deu o seu consentimento
• É necessário para a execução de um contrato
• Previsto pelo Direito da União Europeia, mas com medidas adequadas a proteger os direitos, liberdades e garantias dos cidadãos.

Os titulares dos dados têm direito a opor-se ao uso do profiling, ou seja, qualquer forma automatizada de processamento de informação pessoal, com o objetivo de avaliar e tipificar indivíduos com base nos seus dados pessoais.

O mesmo é dizer, que o titular de dados pessoais tem direito a não ser objeto de uma decisão baseada unicamente no tratamento automatizado, incluindo a elaboração de perfis, que produza efeitos jurídicos na sua esfera ou lhe venha a causar qualquer tipo de dano.

O Regulamento Geral sobre a Proteção de Dados (RGPD), aborda especificamente as questões da definição de perfis e das decisões individuais automatizadas, incluindo a definição de perfis.

A definição de perfis e as decisões automatizadas, são utilizadas em áreas cada vez mais numerosas, tanto do setor privado como do setor público.

Os avanços tecnológicos e potencialidades da análise de megadados, da inteligência artificial e da aprendizagem automática, tornaram mais fácil criar perfis e tomar decisões automatizadas, podendo ter um impacto significativo nos direitos e nas liberdades das pessoas.

A disponibilidade generalizada de dados pessoais na Internet e a partir de dispositivos da Internet das Coisas (IdC), bem como a capacidade para encontrar correlações e criar ligações, podem tornar possível determinar, analisar e prever aspetos que digam respeito ou à personalidade ou ao comportamento, aos interesses e aos hábitos de uma pessoa.

Neste âmbito, importa ter em atenção que por vezes a lei permite a utilização de algoritmos, para definir um perfil para determinados efeitos, mas ao titular dos dados, é sempre permitido opor-se ao resultado desse tratamento, o qual só se considera definitivo, após a intervenção humana na avaliação da sua aplicação caso a caso.

O RGPD introduz disposições destinadas a garantir que a definição de perfis e as decisões individuais automatizadas (independentemente de incluírem ou não a definição de perfis), não sejam utilizadas de forma a terem um impacto injustificado nos direitos de privacidade dos cidadãos.

E embora o RGPD preveja que não possam ser tomadas decisões baseadas só em sistemas automáticos, sem qualquer intervenção humana, existem exceções, permitindo-se a tomada de decisões automatizadas, quando:

• O titular dos dados tenha dado o seu consentimento;
• Sejam necessárias para a execução de um contrato;
• Seja permitido pelo Direito da EU, com medidas adequadas para proteger os direitos, liberdades e garantias dos cidadãos. 

A cibersegurança, também conhecido como segurança digital, é a prática de proteger as suas informações digitais, dispositivos e recursos. Tal inclui as suas informações pessoais, contas, ficheiros, fotografias e até mesmo o seu dinheiro.

CIA

O acrónimo “CIA” é frequentemente utilizado para representar os três pilares da cibersegurança.

Confidencialidade – Manter os seus dados secretos e garantir que apenas as pessoas autorizadas podem aceder aos seus ficheiros e contas.

Integridade – Garantir que as suas informações permanecem intactas e que ninguém insere, modifica ou elimina os seus dados sem a sua permissão. Por exemplo, mal intencionadamente um número numa primeira vez.

Acesso – Garantir que pode aceder às suas informações e sistemas quando precisar. Um exemplo de um problema de acesso seria um ataque denial of service, em que os atacantes sobrecarregam o seu sistema com o tráfego de rede para que o acesso seja praticamente impossível; ou um ransomware que encripta o sistema e o impede de utilizá-lo.

A segurança é um processo e não um produto

Apesar de as aplicações e dispositivos de segurança, como o software antimalware e as firewalls, serem essenciais, não chega instalar essas ferramentas e ficar descansado. A segurança digital exige a implementação de um conjunto de práticas e processos ponderados. Estes incluem:

• Cópias de segurança de dados – os dados importantes devem ser armazenados numa localização segura, e deverá ser capaz de restaurar uma cópia válida e testada desses dados, caso aconteça algum percalço.
• Bons hábitos digitais – Não abra ligações ou anexos inesperados que possa receber por e-mail ou SMS, mesmo que pareçam ser provenientes de um remetente de confiança.
• Mantenha o seu software atualizado – os sistemas operativos como o Windows, MacOS, iOS ou Android, bem como aplicações e browsers, devem ser atualizados com as correções e correções mais recentes do fabricante.
• Utilizar palavras-passe seguras, exclusivas – as palavras-passe boas devem ter, pelo menos, 14 carateres, não devem ser palavras inglesas e não devem ser reutilizadas em múltiplas contas.
• Utilize a Autenticação Multifator – Sempre que possível, tanto em casa como no trabalho, ative a autenticação multifator para manter as suas contas mais seguras.
• Bloqueie os seus dispositivos – Certifiquese de que os seus dispositivos necessitam de uma palavra-passe, PIN ou autenticação biométrica, como um reconhecimento de impressão digital ou facial, para iniciar sessão. Os dispositivos perdidos ou roubados podem ser uma mina de ouro para os criminosos, caso consigam aceder facilmente aos dados a partir de um dispositivo desbloqueado.

A cibersegurança é um desporto de equipa

Se vir algo suspeito ou desconfiar que poderá ter sido vítima de acesso ilícito, contacte um consultor de confiança. Se estiver no trabalho ou na escola, comunique essa situação ao departamento de TI da sua organização o mais depressa possível. É possível que seja um falso alarme. No entanto, o seu administrador de TI preferirá certamente ficar descansado ao constatar que se tratava efetivamente de um falso alarme do que ficar alarmado ao detetar um problema, sem que ninguém o tenha comunicado.

Não se iniba de partilhar boas práticas, sugestões ou recursos de segurança que considere úteis com os seus familiares e amigos. Sem forem proveitosos para si, é provável que também o sejam para outras pessoas.

Uma das grandes preocupações das empresas é serem vítimas de uma invasão mal intencionada. Cada vez mais temos assistido a um aumento dos ataques de hackers, devido à grande quantidade de informações confidenciais que as empresas possuem.

Fique a conhecer 7 ataques de hackers que a sua empresa pode sofrer:

Ransomware

O ransomware tem como objetivo bloquear o acesso a todos os arquivos do servidor, e apenas serão libertados após o pagamento de uma quantidade grande de dinheiro, sendo que o valor do “resgate” será sempre definido pelo próprio criminoso. Com este ataque, o hacker passa a ter total controlo dos arquivos e informações da sua empresa, e uma vez que os controla remotamente, fica ainda mais difícil de identificar o problema.

Os cibercriminosos fazem com que o utilizador clique num link e instale no seu computador um virus. Este link parece bastante credível, o que leva a que as pessoas não suspeitem de nada.

Phishing

O phishing é geralmente realizado em forma de email, em que os cibercriminosos fazem com que os utilizadores, sem saberem que estão a ser apanhados pelos cibercriminosos, revelem informações confidenciais como passwords e dados bancários, entre outras.

Port Scanning Attack

Este malware o que faz é procurar no servidor vulnerabilidades no sistema de segurança. Se receber alguma mensagem em que existe uma “porta” disponível, este malware irá explorar tudo e poderá ter acesso aos arquivos que estão no servidor.

DDoS Attack

Este ataque tem como objetivo sobrecarregar as atividades do servidor de um computador, fazendo com que fique lento e não consiga aceder aos sites. Quando um site fica indisponível, os utilizadores não irão conseguir aceder ao seu site, o que poderá originar perda de vendas ou não conseguirem aceder aos seus serviços.

Cavalo de Troia

Esta é uma das ameaças mais conhecidas, e este malware só irá funcionar com a “autorização” do utilizador. Para que isto aconteça, o utilizador clicou por exemplo em algum anexo que veio num email suspeito ou desconhecido. Existem vários objetivos que os cibercriminosos pretendem objetar com este malware: roubar informações pessoais ou parar algumas funções do seu computador.

Ataques de força bruta

Este ataque consiste no furto de passwords através de diversas tentativas de combinação de utilizador e password. Quando os cibercriminosos tiverem esta informação, poderão enviar diversas mensagens, em que o remetente é conhecido, com conteúdos como phishing e spam.

Ataques internos

Os ataques desta natureza, podem ser realizados por pessoas mal intencionadas. Estes ataques internos podem ser feitos por pen’s infectadas, instalações de sistemas, uso de malwares nos computadores ou inúmeras situações prejudiciais.

Desde que existem computadores, existem também cibercrimes. Porém, com milhões de ciberataques e quase mil milhões de vítimas de atividades criminosas online todos os anos, o cibercrime nunca esteve tão alto como agora. Qualquer um pode ser vítima desta atividade, e o facto de todos estarmos virtualmente ligados coloca cada um de nós sob um risco ainda maior.

O termo “cibercrime” pode referir-se a qualquer atividade criminosa que envolva um computador, quer este seja a ferramenta usada no ataque, quer seja o seu alvo. De acordo com o Departamento de Justiça dos Estados Unidos, todos os cibercrimes recaem numa de três categorias:

• crimes que usam computadores como arma (e.g. ataques de hackers);
• crimes que visam um computador ou outro dispositivo (e.g. obtenção ilícita de acesso a uma rede);
• crimes nos quais o computador não é nem a principal arma, nem o principal alvo, mas ainda assim desempenha um papel importante (e.g. armazenamento de ficheiros obtidos ilegalmente).

Com uma disponibilidade da Internet cada vez maior, a natureza do cibercrime evoluiu. Não há muito tempo atrás, grande parte das atividades cibercriminosas envolvia downloads ilegais de conteúdo com direitos de autor, ou discursos do ódio na Internet. Apesar de não poderem ser ignorados, estes atos são praticamente inofensivos quando comparados com o que veio de seguida. Atualmente, novos casos de extorsão, vigilância em massa, roubo financeiro, fugas de dados, roubo de informação pessoal e espionagem são notícia quase todos os dias.

O crime digital tem tido um crescimento nunca antes visto nos últimos tempos, e por isso não devia ser uma surpresa o facto de a economia mundial estar a perder mais de 500 mil milhões de dólares por ano como resultado de atividades cibercriminosas.

Apesar de muitas agências policiais por todo o mundo estarem a fazer o seu melhor para infligir alguns danos ao cibercrime, esta tendência não mostra sinais de abrandar. Para evitarem a perseguição, alguns cibercriminosos emigraram para países com leis muito permissivas no que toca ao cibercrime e passaram a usar criptomoedas que não deixam rasto em detrimento dos dólares.

Tal como acontece com as atividades criminosas ditas “offline”, a maioria dos autores de atos cibercriminosos é motivada por razões financeiras. Mas além do dinheiro, os cibercriminosos também podem ser motivados pelo seu próprio ego, uma causa a que sejam fiéis, vingança pessoal, um desejo de ganhar notoriedade, ou mesmo uma vontade de aumentar o seu estatuto junto dos círculos de hackers.

Reduzir o risco de exposição de dados confidenciais é uma tarefa básica nos negócios de hoje, protegendo as informações da empresa na cloud da forma mais eficiente possível. O facto é que os ataques aos computadores estão a acontecer cada vez mais rapidamente, o que coloca em risco a integridade de qualquer empresa, independente de seu tamanho.

Agora mais do que nunca, depois de muito tempo em que tivemos que nos adaptar às possibilidades da tecnologia nos nossos empregos, estarmos protegidos de ataques deste género é fundamental se não queremos sofrer os temidos crimes cibernéticos, que podem ir desde o roubo de propriedade intelectual até a extração de informações confidenciais comprometedoras ou a remoção de bases de dados inteiras.

De acordo com o Relatório de Crimes Cibernéticos de 2019, publicado pelo Ministério do Interior espanhol, no ano passado foram registrados 218 302 crimes cometidos na Internet somente na Espanha, um número que representa 35,8% a mais que no período anterior (160 729 em 2018) e duplicou as 117 399 reclamações recebidas durante 2017. Estes números permitem-nos referir ao cibercrime como o segundo crime mais comum depois do furto.

Num período de incerteza, em que nos vemos obrigados a mudar os nossos hábitos e a nossa relação com o nosso meio pessoal e profissional, reivindicar a cibersegurança como uma necessidade e uma oportunidade de trabalho que se tornará num perfil imprescindível em qualquer empresa, é almejar com certeza rumo a um objetivo fundamental num mundo no qual a identidade, privacidade e segurança são valores essenciais.

Fique a conhecer 5 razões porque a cibersegurança é um perfil promissor:

1. Ser um “super-herói” do século XXI Quando, graças a este trabalho, uma empresa conseguir evitar um ataque cibernético, percebese que não estamos a exagerar. Existem outras formas de ser um super-herói. Ao efetuar formação em segurança cibernética, permite garantir a segurança de quem a confia, ao criar ambientes seguros para proteger a matéria-prima fundamental em serviços digitais – ou seja, dados, contra hackers e outros cibercriminosos. 

2. Aposta num setor cuja procura está no seu auge Um especialista em scibersegurança é um profissional cada vez mais indispensável. Um especialista nesta área conhece diferentes protocolos, padrões, ferramentas, métodos e até leis para impedir o possível roubo de informações de uma empresa. Empresas e governos em todo o mundo enfrentam um número cada vez maior de ataques cibernéticos, enquanto o número de profissionais dedicados a esta área continua insuficiente. Segundo dados da publicação especializada Cibersecurity Ventures, as ofertas de trabalho em cibersegurança triplicarão nos próximos dois anos.

3. Equacionar um salário à altura Trabalhar com segurança digital é sinónimo de estabilidade no emprego. O salário médio de um especialista em cibersegurança está entre 30000 e 60000 euros por ano, dependendo da responsabilidade e do nível de especialização. Os números mais altos estão associados a gerentes de segurança, embora aqueles que optam por opções como administração de segurança de sistema e redes, consultoria de segurança e hacking ético ou gestão de proteção de dados não ficam assim tão atrás.

4. Desenvolver competências que muito poucas pessoas conhecem Tendências tecnológicas como Bring Your Own Device (BYOD), Cloud Computing, Big Data, Internet das Coisas ou aplicações móveis exigem formação e soluções que representam desafios reais para os profissionais de tecnologia. Saber como responder de forma adequada à segurança de serviços e aplicações como esses vai transformar em um especialista versátil em que as empresas vão querer depositar sua confiança e sigilo.

5. Cibersegurança é um trabalho entusiasmante Aprender a colocar no lugar dos outros e saber ouvir, conhecer os seus problemas e fornecer as melhores soluções. Também educar as equipas de trabalho no uso adequado dos dispositivos para evitar imprevistos (por ex: empresas de alto nível). Enfrentar desafios entusiasmantes e desafios contínuos – no fundo, ser a melhor defesa da sua equipa. É necessária saber responder à questão. Tens coragem de garantir a privacidade e a segurança em grandes empresas? Se sim, opta pela cibersegurança e não deixes que os hackers coloquem os serviços digitais das pessoas com quem trabalhas numa encruzilhada. 

Um dos “pontos críticos” que identificamos é a palavra-passe e o comportamento que devemos estimular é a capacidade de “complicar”, uma vez que o nosso principal objetivo deverá ser tornar a captura da palavra-passe mais difícil e complexa.

Assim, para podermos criar uma palavrapasse, que complique e não simplifique a possibilidade de ser descoberta, apresentamos a “Regra das 8 Complicações”.

A palavra-passe

1) deve ser secreta, e não transmitida a ninguém;

2) deve ser complexa e memorizável, difícil de descobrir e não registada em documentos acessíveis – pode ser uma frase, com vários tipos de caracteres, em vez de uma palavra;

3) deve ser alterada sempre que se desconfie que foi comprometida;

4) deve ser usada numa só plataforma, evitando comprometimento de vários serviços no caso de ser descoberta;

5) se possível, utilizar autentificação de duplo fator, garantindo a segurança no caso de comprometimento;

6) deve ser alterada sempre por defeito, evitando palavraspasse indicadas pelos serviços e produtos adquiridos;

7) deve ser guardada num gestor offline com base de dados cifrada, que permite gerir uma variedade grande de palavraspasse com risco reduzido de perda ou esquecimento;

8) não deve ser guardada em browsers, dado que existem métodos relativamente simples para descobrir estas palavras-passe.

Ter uma palavra-passe forte e robusta é fundamental para proteger a informação pessoal e corporativa. O comprometimento da palavra-passe pode envolver o roubo de identidade e a violação de dados.

O segundo “ponto crítico” é o e-mail e o comportamento que devemos estimular é a desconfiança em relação aos e-mails que recebemos, assim como aos conteúdos dos mesmos.

O e-mail é um ponto nevrálgico de muitos ataques. É a porta de entrada para os sistemas privados e/ou de empresas, e está muito associado ao ransomware (tipo de malware que infeta os sistemas informáticos e cifra os seus dados de modo a que a vítima não consiga utilizar os mesmos, sendo alvo de chantagem para pagar um resgate em troca da chave de decifra).

Desta forma, para capacitarmos comportamentos de desconfiança, apresentamos a “Regra das 6 desconfianças”:

1) abrir apenas e-mails de origem conhecida, os e-mails desconhecidos podem ser maliciosos;

2) caso abra um email desconhecido, não clicar em nenhum link ou anexo, dado que são pontos críticos para a instalação de software malicioso;

3) verificar o endereço e a veracidade dos e-mails conhecidos, mesmo os e-mails aparentemente conhecidos podem estar comprometidos (devemos estar atentos a pormenores desajustados, como caracteres diferentes, imagens, etc.);

4) não enviar informação sensível/confidencial por e-mail, mesmo que o destino seja de confiança, o envio pode ser comprometido por terceiros, a não ser que se use PGP (Pretty Good Privacy);

5) identificar o SPAM para que o sistema faça uma seleção prévia, a identificação é a melhor maneira de evitar a receção deste tipo de email, potencialmente malicioso;

6) terminar sempre a sessão quando finalizar a utilização do e-mail, uma sessão por encerrar pode ser acedida por alguém que abra o browser posteriormente.

O terceiro “ponto crítico” são as redes sociais e o comportamento a estimular é a preservação da vida privada.

A taxa de utilização das redes sociais atinge, presentemente, valores bastante significativos e os comportamentos de exposição da vida e dados pessoais continuam a ser um fator crítico a evitar. Furto de identidade, engenharia social, entre outros fenómenos consequentes desta exposição têm que ser contrariados. Apresentamos os 5 “A não fazeres” nas Redes, para estimularmos a preservação da vida privada:

1) não aceitar convites de desconhecidos, uma vez que aceitar estes convites é arriscar uma ligação a alguém com intenções maliciosas;

2) não indicar telefone ou moradas no perfil, estes dados podem ser usados em ações de engenharia social;

3) não partilhar locais, imagens de crianças ou dados sensíveis, dado que além de estes dados também poderem ser usados para a engenharia social, podem ainda servir para assaltos ou pornografia infantil;

4) não partilhar notícias falsas – verificar sempre a fonte, em caso de dúvida (apenas fontes reconhecidas devem ser legitimadas);

5) não clique em posts suspeitos – podem ser phishing, que também existe nas redes sociais (devemos usar as mesmas regras de proteção que usamos para o e-mail).

Fique a saber ainda:

• aquilo que publica pode ser usado por terceiros, uma vez que está acessível a desconhecidos por diversos canais;
• por cada gosto ou partilha realizado por si, é criado um perfil utilizável em plataformas que vendem os dados a empresas de publicidade, que fazem microsegmentação;
• quando acede a plataformas usando contas de redes sociais, partilha os seus dados, visto que está a autorizar o acesso destas plataformas às suas redes sociais;
• ao colocar uma imagem nas redes sociais, abdica dos direitos sobre a mesma. As redes sociais ficam com os direitos de autor da imagem publicada (nada é gratuito nas redes sociais, troca-se o serviço por dados e conteúdos que disponibilizamos).

O quarto “ponto crítico” é o hardware e o comportamento a promover é o de bloquear os dispositivos a terceiros.

A recomendação que sugerimos para este comportamento é a utilização da “Hardware Checklist”:

• Cobrir câmaras e desativar microfone, visto que através de acessos maliciosos ao computador é possível ativar estas funções e ter acesso a imagem e som em direto;
• Ativar bloqueio e não deixar os dispositivos desbloqueados, para evitar ações maliciosas de estranhos;
• Usar palavra-passe e limite de tentativas, para proteger os dados no caso de furto ou perda;
• Evitar olhares indiscretos, ao tratar informação confidencial, quando os ecrãs estão em espaço público ou visíveis a terceiros;
• Em viagem, identificar e vigiar dispositivos;
• Em organizações, cifrar informações e proteger perímetro, evitando a ação, voluntária ou não, de insiders;
• Proteger portas USB, estas são um ponto de entrada para ações maliciosas, existem métodos para controlar o perímetro e programas que definem o acesso permitindo-o apenas a alguns dispositivos – no limite, é possível desativar estas portas;
• Não usar pen USB desconhecida, pode transportar malware.

O quinto e último “ponto crítico” é a navegação e o comportamento a seguir é o de prevenir a navegação por “sítios” maliciosos.

A utilização de Wi-Fi pública não é segura, a não ser que use uma VPN, uma vez que é possível ficar exposto a terceiros. Também é necessário ter cuidado com as Apps que instala nos seus dispositivos.

Apresentamos as “Apptitudes” certas para se proteger de Apps maliciosas:

• usar apenas plataformas reconhecidas para instalaçãodeApps;
• verificar as reviews, pontuação e escolhas do editor – podem dar-nos indicações sobre a segurança da App;
• não instalar Apps duvidosas, que estejam fora das plataformas conhecidas ou que levantem suspeitas;
• denunciar Apps fraudulentas, para que outros não sejam vítimas;
• não autorizar o acesso a funcionalidades desnecessárias – os dados dos utilizadores podem ser comercializados.

Deixamos também um conjunto de “Avisos à navegação” para que possa ”surfar” a Internet em segurança:

• Use firewall, pois permite selecionar o tráfego seguro e evitar o inseguro com base em regras estabelecidas;
• Considere que endereços com “https” são mais seguros, por se tratar de uma garantia de segurança adicional ao “http”, cifrando a informação trocada;
• E-Banking: confirmar a autorização do Banco de Portugal ao Banco online que utiliza;
• Compras online: desconfiar de ofertas demasiado boas, recolher informação sobre o vendedor, usar formas de pagamento seguras (carteiras digitais, cartões temporários) e guardar o registo das transações;
• Acompanhar a navegação das crianças, elas são um elo mais fraco. É importante conhecer o uso que fazem da Internet e com quem interagem – se necessário, bloquear o seu acesso a algumas plataformas. 

Por último, não podíamos deixar de referir, o aviso que é transversal a todos os pontos críticos até aqui mencionados: manter todos os programas e em particular o antivírus atualizados. As atualizações fazem correções de vulnerabilidades, protegendo de ameaças identificadas e eventualmente massificadas. Não esquecer! Os hábitos de ciber-higiene são fundamentais para a segurança e só dependem de cada um de nós.