This document is an excerpt from the EUR-Lex website
Document 52021XX0511(01)
Summary of the Opinion of the European Data Protection Supervisor on the Cybersecurity Strategy and the NIS 2.0 Directive (The full text of this Opinion can be found in English, French and German on the EDPS website www.edps.europa.eu) 2021/C 183/03
Resumo do Parecer da Autoridade Europeia para a Proteção de Dados sobre a Estratégia de Cibersegurança e a Diretiva SRI 2 (O texto integral do presente parecer encontra-se disponível em inglês, francês e alemão no sítio Web da AEPD em www.edps.europa.eu) 2021/C 183/03
Resumo do Parecer da Autoridade Europeia para a Proteção de Dados sobre a Estratégia de Cibersegurança e a Diretiva SRI 2 (O texto integral do presente parecer encontra-se disponível em inglês, francês e alemão no sítio Web da AEPD em www.edps.europa.eu) 2021/C 183/03
JO C 183 de 11.5.2021, p. 3–7
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
11.5.2021 |
PT |
Jornal Oficial da União Europeia |
C 183/3 |
Resumo do Parecer da Autoridade Europeia para a Proteção de Dados sobre a Estratégia de Cibersegurança e a Diretiva SRI 2
(O texto integral do presente parecer encontra-se disponível em inglês, francês e alemão no sítio Web da AEPD em www.edps.europa.eu)
(2021/C 183/03)
Em 16 de dezembro de 2020, a Comissão Europeia adotou uma proposta de diretiva do Parlamento Europeu e do Conselho relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança em toda a União, que revoga a Diretiva (UE) 2016/1148 («Proposta»). Paralelamente, a Comissão Europeia e o Alto Representante da União para os Negócios Estrangeiros e a Política de Segurança emitiram uma Comunicação Conjunta ao Parlamento Europeu e ao Conselho intitulada «Estratégia de Cibersegurança da UE para a Década Digital» («Estratégia»).
A AEPD apoia plenamente o objetivo geral da Estratégia de assegurar uma Internet mundial e aberta, com fortes salvaguardas em relação aos riscos para a segurança e os direitos fundamentais, reconhecendo o valor estratégico da Internet e da sua governação e reforçando a ação da União nesse domínio, num modelo multilateral.
Por conseguinte, a AEPD congratula-se igualmente com o objetivo da proposta de introduzir alterações sistémicas e estruturais à atual Diretiva SRI, a fim de abranger um conjunto mais vasto de entidades em toda a União, com medidas de segurança mais fortes, incluindo a gestão obrigatória do risco, normas mínimas e disposições relevantes em matéria de supervisão e aplicação. A este respeito, a AEPD considera que é necessário integrar plenamente as instituições, os organismos, os órgãos e as agências da União no quadro geral de cibersegurança a nível da UE, a fim de alcançar um nível de proteção uniforme, incluindo expressamente no âmbito da Proposta as instituições, os organismos, os órgãos e as agências da União.
A AEPD salienta ainda a importância de integrar a perspetiva da privacidade e da proteção de dados nas medidas de cibersegurança decorrentes da Proposta ou de outras iniciativas de cibersegurança da Estratégia, a fim de assegurar uma abordagem holística e possibilitar sinergias na gestão da cibersegurança e na proteção das informações pessoais que tratam. É igualmente importante que qualquer potencial limitação do direito à proteção dos dados pessoais e da privacidade decorrente dessas medidas satisfaça os critérios estabelecidos no artigo 52.o da Carta dos Direitos Fundamentais da UE, e em especial que seja concretizada através de uma medida legislativa, e que seja necessária e proporcionada.
A AEPD espera que a Proposta não pretenda afetar a aplicação da legislação da UE em vigor que rege o tratamento de dados pessoais, incluindo as funções e competências das autoridades de controlo independentes competentes para controlar o cumprimento desses instrumentos. Isto significa que todos os sistemas e serviços de cibersegurança envolvidos na prevenção, deteção e resposta a ameaças cibernéticas deverão estar em conformidade com o atual quadro de proteção da privacidade e dos dados. A este respeito, a AEPD considera importante e necessário estabelecer uma definição clara e inequívoca do termo «cibersegurança» para efeitos da Proposta.
A AEPD emite recomendações específicas para garantir que a Proposta complementa correta e eficazmente a legislação da União em vigor em matéria de proteção de dados pessoais, em especial o RGPD e a Diretiva Privacidade Eletrónica, envolvendo também a AEPD e o Conselho Europeu para a Proteção de Dados, quando necessário, e estabelecendo mecanismos claros para a colaboração entre as autoridades competentes dos diferentes domínios regulamentares.
Além disso, as disposições relativas à gestão dos registos de domínio de topo (TLD) na Internet deverão definir claramente o âmbito e as condições legais relevantes. O conceito de verificação proativa das redes e dos sistemas de informação pelos CSIRT exige igualmente mais esclarecimentos sobre o âmbito e os tipos de dados pessoais tratados. Chama-se a atenção para os riscos de eventuais transferências de dados não conformes relacionadas com a contratação externa de serviços de cibersegurança ou a aquisição de produtos de cibersegurança e a respetiva cadeia de abastecimento.
A AEPD congratula-se com o apelo à promoção da utilização da cifragem, e em particular da cifragem de ponta a ponta, e reitera a sua posição sobre a cifragem como tecnologia crítica e insubstituível para uma proteção eficaz dos dados e da privacidade, cuja evasão privaria o mecanismo de qualquer capacidade de proteção devido à sua possível utilização ilícita e perda de confiança nos controlos de segurança. Para este efeito, importa esclarecer que nenhuma disposição da Proposta deverá ser interpretada no sentido de apoiar o enfraquecimento da cifragem de ponta a ponta por formas clandestinas ou através de soluções semelhantes.
1. INTRODUÇÃO E CONTEXTO
|
1. |
Em 16 de dezembro de 2020, a Comissão Europeia adotou uma proposta de diretiva do Parlamento Europeu e do Conselho relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança em toda a União, que revoga a Diretiva (UE) 2016/1148 (1) («Proposta»). |
|
2. |
Na mesma data, a Comissão Europeia e o Alto Representante da União para os Negócios Estrangeiros e a Política de Segurança emitiram uma Comunicação Conjunta ao Parlamento Europeu e ao Conselho intitulada «Estratégia de Cibersegurança da UE para a Década Digital» («Estratégia»). (2) |
|
3. |
A Estratégia visa reforçar a autonomia estratégica da União nos domínios da cibersegurança e melhorar a sua resiliência e resposta coletiva, bem como desenvolver uma Internet mundial e aberta, com barreiras de segurança firmes para enfrentar os riscos que se colocam à segurança e aos direitos e liberdades fundamentais das pessoas na Europa. (3) |
|
4. |
A Estratégia contém propostas de iniciativas de regulamentação, de investimento e de política em três domínios de ação da UE: (1) resiliência, soberania tecnológica e liderança, (2) criação de capacidade operacional para prevenir, dissuadir e responder, e (3) promover um ciberespaço mundial e aberto. |
|
5. |
A Proposta constitui uma das iniciativas regulamentares da Estratégia, em especial no domínio da resistência, da soberania tecnológica e da liderança. |
|
6. |
De acordo com a Exposição de Motivos, o objetivo da Proposta é modernizar o quadro jurídico em vigor, ou seja, a Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho («Diretiva SRI») (4). A Proposta visa desenvolver e revogar a atual Diretiva SRI, que foi a primeira legislação a nível da UE sobre cibersegurança e que prevê medidas jurídicas para aumentar o nível global de cibersegurança na União. A Proposta tem em conta o aumento da digitalização do mercado interno nos últimos anos e a evolução do panorama de ameaças à cibersegurança, ampliado desde o início da crise da COVID-19. A Proposta visa colmatar várias lacunas identificadas na Diretiva SRI e visa aumentar o nível de resiliência cibernética de todos os setores, públicos e privados, que desempenham uma função importante para a economia e a sociedade. |
|
7. |
Os principais elementos da Proposta são:
|
|
8. |
Em 14 de janeiro de 2021, a AEPD recebeu um pedido de consulta formal da Comissão Europeia sobre a «Proposta de Diretiva do Parlamento Europeu e do Conselho relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança em toda a União, que revoga a Diretiva (UE) 2016/1148». |
3. CONCLUSÕES
|
77. |
Tendo em conta o supramencionado, a AEPD formula as seguintes recomendações: |
Relativamente à Estratégia de Cibersegurança
|
— |
ter em conta que o primeiro passo para atenuar os riscos de proteção de dados e da privacidade associados às novas tecnologias para melhorar a cibersegurança, como a IA, consiste em aplicar os requisitos de proteção de dados desde a conceção e por defeito estabelecidos no artigo 25.o do RGPD, que contribuirão para integrar as salvaguardas adequadas, como a pseudonimização, a cifragem, a exatidão dos dados, a minimização dos dados, na conceção e utilização dessas tecnologias e sistemas; |
|
— |
ter em conta a importância de integrar a perspetiva da privacidade e da proteção de dados nas políticas e normas relacionadas com a cibersegurança, bem como na gestão tradicional da cibersegurança, a fim de assegurar uma abordagem holística e possibilitar sinergias às organizações públicas e privadas na gestão da cibersegurança e na proteção das informações que tratam sem uma multiplicação inútil de esforços; |
|
— |
considerar e planear a utilização de recursos por parte das IUE para reforçar a sua capacidade de cibersegurança, inclusive de uma forma que respeite plenamente os valores da UE; |
|
— |
ter em conta as dimensões da privacidade e da proteção de dados da cibersegurança, investindo em políticas, práticas e ferramentas em que a perspetiva da privacidade e da proteção de dados seja integrada na gestão tradicional da cibersegurança e em que sejam integradas salvaguardas eficazes em matéria de proteção de dados ao tratar dados pessoais em atividades de cibersegurança; |
Quanto ao âmbito da Estratégia e da Proposta para as instituições, organismos, órgãos e agências da União
|
— |
ter em conta as necessidades e o papel das IUE, para que estas sejam integradas neste quadro global de cibersegurança a nível da UE enquanto entidades que gozam do mesmo nível elevado de proteção que as entidades dos Estados-Membros; e |
|
— |
incluir expressamente no âmbito de aplicação da Proposta as instituições, os organismos, os órgãos e as agências da União. |
Relativamente à relação com a legislação da União em vigor em matéria de proteção de dados pessoais
|
— |
esclarecer no artigo 2.o da Proposta que a legislação da União em matéria de proteção de dados pessoais, em especial o RGPD e a Diretiva Privacidade Eletrónica, se aplica a qualquer tratamento de dados pessoais abrangido pelo âmbito de aplicação da Proposta (e não apenas em contextos específicos); e |
|
— |
esclarecer igualmente, num considerando relevante, que a Proposta não pretende afetar a aplicação da legislação da UE em vigor que rege o tratamento de dados pessoais, incluindo as funções e competências das autoridades de controlo independentes competentes para controlar o cumprimento desses instrumentos; |
Relativamente à definição de cibersegurança
|
— |
esclarecer a diferente utilização dos termos «cibersegurança» e «segurança das redes e da informação»; e utilizar por regra o termo «cibersegurança» e o termo «segurança das redes e da informação» apenas quando o contexto (por exemplo, puramente técnico, sem ter em conta os impactos também sobre os utilizadores dos sistemas e outras pessoas) o permitir. |
Relativamente aos nomes de domínio e aos dados de registo («dados WHOIS»)
|
— |
especificar claramente o que constitui «informação relevante» para efeitos de identificação e de contacto com os detentores dos nomes de domínio e dos pontos de contacto que administram os nomes de domínio nos TLD; |
|
— |
esclarecer com maior pormenor que categorias de dados de registos de domínio (que não constituam dados pessoais) deverão ser objeto de publicação; |
|
— |
esclarecer ainda que entidades (públicas ou privadas) podem constituir «requerentes de acesso legítimos»; |
|
— |
esclarecer se os dados pessoais detidos pelos registos do TLD e pelas entidades que prestam serviços de registo de nomes de domínio para o TLD deverão também estar acessíveis a entidades fora do EEE e, se for esse o caso, estabelecer claramente as condições, as limitações e os procedimentos para esse acesso, tendo também em conta os requisitos do artigo 49.o, n.o 2, do RGPD, quando forem aplicáveis; e |
|
— |
introduzir uma maior clarificação sobre o que constitui um pedido «lícito e devidamente justificado» com base no qual o acesso será concedido e em que condições. |
Relativamente ao «exame proativo das redes e dos sistemas de informação» por parte dos CSIRT
|
— |
delinear claramente os tipos de exame proativo que os CSIRT podem ser convidados a realizar e identificar as principais categorias de dados pessoais envolvidas no texto da Proposta. |
Relativamente à contratação externa e à cadeia de abastecimento
|
— |
ter em conta as características que permitem a aplicação efetiva do princípio da proteção de dados desde a conceção e por defeito, ao avaliar as cadeias de abastecimento de tecnologias e sistemas que tratam dados pessoais; |
|
— |
ter em conta requisitos específicos no país de origem que possam constituir um obstáculo ao cumprimento da legislação da UE em matéria de privacidade e proteção de dados, ao avaliar os riscos da cadeia de abastecimento dos serviços, sistemas ou produtos de TIC; e |
|
— |
incluir no texto legal a consulta obrigatória da CEPD para a definição dos elementos acima referidos e, se necessário, na avaliação de riscos setorial coordenada referida no considerando 46. |
|
— |
recomendar a menção, num considerando, de que os produtos de cibersegurança de código aberto (software e hardware), incluindo a cifragem de código aberto, podem oferecer a transparência necessária para atenuar os riscos específicos da cadeia de abastecimento |
Relativamente à cifragem
|
— |
esclarecer no considerando 54 que nenhuma disposição da Proposta deverá ser interpretada no sentido de apoiar o enfraquecimento da cifragem de ponta a ponta por formas clandestinas ou através de soluções semelhantes; |
Relativamente às medidas de gestão dos riscos de cibersegurança
|
— |
incluir tanto nos considerandos como na parte substantiva da Proposta o conceito de que a integração da perspetiva da privacidade e da proteção de dados na gestão tradicional dos riscos de cibersegurança assegurará uma abordagem holística e possibilitará sinergias às organizações públicas e privadas na gestão da cibersegurança e na proteção das informações que tratam sem uma multiplicação inútil de esforços; |
|
— |
aditar no texto legal a obrigação de a ENISA consultar a CEPD aquando da elaboração dos pareceres pertinentes; |
Relativamente a violações de dados pessoais
|
— |
alterar o texto «num prazo razoável» do artigo 32.o, n.o 1, para «sem demora injustificada»; |
Relativamente ao Grupo de Cooperação
|
— |
incluir no texto legal a participação da CEPD no Grupo de Cooperação, tendo em conta a relação entre a missão deste grupo e o quadro de proteção de dados. |
Relativamente à jurisdição e à territorialidade
|
— |
esclarecer no texto legal que a Proposta não afeta as competências das autoridades de controlo da proteção de dados ao abrigo do RGPD; |
|
— |
proporcionar uma base jurídica abrangente para a cooperação e o intercâmbio de informações entre as autoridades competentes e de controlo, cada uma delas atuando no âmbito das respetivas áreas de competência; e |
|
— |
esclarecer que as autoridades competentes ao abrigo da Proposta deverão poder fornecer, a pedido das autoridades de controlo competentes ao abrigo do Regulamento (UE) 2016/679 ou por sua própria iniciativa, quaisquer informações obtidas no âmbito de auditorias e investigações relacionadas com o tratamento de dados pessoais, bem como incluir uma base jurídica expressa para este efeito. |
Bruxelas, 11 de março de 2021.
Wojciech Rafał WIEWIÓROWSKI
(1) Proposta de Diretiva do Parlamento Europeu e do Conselho relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança em toda a União, que revoga a Diretiva (UE) 2016/1148, COM (2020) 823 final.
(2) Estratégia de Cibersegurança da UE para a Década Digital, JOIN (2020) 18 final.
(3) Ver capítulo I. INTRODUÇÃO, página 4 da Estratégia.
(4) Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (JO L 194, 19.7.2016, p. 1).