Este documento discute questões de privacidade e proteção de dados nas bibliotecas digitais à luz do Regulamento Geral de Proteção de Dados (RGPD). Ele explora como as empresas de tecnologia coletam dados pessoais, medidas de mitigação de riscos de privacidade e o que constitui tratamento de dados. Também discute o papel das bibliotecas no RGPD e os aspectos a serem considerados.
Questões da privacidade nas bibliotecas da era digital
1. As questões da privacidade nas
bibliotecas da era digital
Centro Cultural Gil Vicente , Sardoal
03 março 2020
Autor: Fernando Rui Campos | frcamposri@gmail.com
2. Disclaimer
• A presente apresentação é da exclusiva
responsabilidade do seu autor .
• Não pode ser interpretado como um
documento oficial ou orientação para as
bibliotecas escolares e municipais.
. Existem imagens com licenciamentos
específicos e distintos.
2
3. Algumas questões
• Privacidade e proteção de dados, que relação?
• Como obtêm as empresas tecnológicas os dados
pessoais, quase que sem sequer nos
apercebermos?
• Que medidas de mitigação podem ser realizadas
para reduzir os riscos de privacidade?
• O que é considerado tratamento de dados?
• As bibliotecas e o RGPD, que alguns aspetos a ter
em conta?
3
4. Privacidade
Ideia que remonta a 1834, EUA através do
reconhecimento da manifestação de “ser
deixado só”.
direito à privacidade - Lei Constitucional nº
1/2004, de 24 de julho), consagrado no elenco
de direitos, liberdades e garantias, previsto no
n.º1 do art.º 26º da Constituição da Republica
Portuguesa (CRP)
4Fonte: https://www.uc.pt/protecao-de-dados/da_privacidade_a_protecao_de_dados
5. Da privacidade à proteção de dados (1)
Evolução legislativa dos países europeus, nas últimas quatro gerações:
• A primeira, com origem na Alemanha, através da lei Land, inaugura em
1970 a proteção dos dados informatizados;
• A segunda focou-se na tutela dos direitos fundamentais envolvidos nas
relações das comunicações virtuais. A lei francesa de 1978, a lei do
Luxemburgo de 1979 e as leis da Suíça da Islândia de 1981 e, foram no
sentido da proteção de arquivos informatizados. Hesse, inaugura em
1970;
• Em 1981, a Convenção 108 do Conselho da Europa (Convenção para a
Proteção das Pessoas relativamente ao Tratamento Automatizado de
Dados de Carácter Pessoal) - o respeito pelos seus direitos e liberdades
fundamentais, e especialmente pelo seu direito à vida privada face ao
tratamento automatizado dos dados de carácter pessoal que lhes digam
respeito (“proteção dos dados”).
5
6. Da privacidade à proteção de dados (2)
Evolução legislativa dos países europeus, nas últimas
quatro gerações:
• A terceira começou em 1981, a primeira lei
portuguesa de 1991, modificada em 1998, que
transpôs a Diretiva 95/46 do Parlamento Europeu e
do Conselho.
• A quarta geração visou responder às constantes e
progressivas ameaças à vida privada. O Regulamento
nº. 2016/679, do Parlamento e do Conselho
Europeus, em 27 de abril de 2016 (Regulamento
Geral de Proteção de Dados – RGPD)
6
8. 8
Pegada digital & dados pessoais
Fonte: https://www.youtube.com/watch?v=F7pYHN9iC9I
9. Tecnologia atual – que as tecnológicas
utilizam
• Cookies
• Tracking
• Scripts de publicidade
• Geolocalização
• …
• Inteligência artificial
Registo quando :
Se fazem compras, navegar na internet, uso de Apps
(depende S.O.).
9
10. O que disponibilizamos em troca dos
serviços digitais:
https://policies.google.com/privacy?utm_source=hpp&utm_medium=pushdown&utm_campaign=tos
10
11. Social media
• FaceBook , recolhe dados de equipamentos,
através das suas redes sociais, via dezenas de
Apps Android, através do envio de informações
de rastreamento do dispositivo e dados essoais
para a rede social.
• Exemplo de Apps – Kayak, Yelp, Shazam.
• Utilizar telefone específico (e barato) apenas para
registo das aplicações que exigem contacto
telefónico (por exemplo pré-pagos).
11
15. Uso de navegação “privada” – diminuir o
registo da navegação
A navegação privada pode variar de acordo com o navegador usado.
Normalmente, a navegação privada significa que:
• as pesquisas realizadas ou os sites visitados não são salvos no
dispositivo nem no histórico de navegação;
• é possível que os arquivos transferidos por download e os
favoritos adicionados sejam salvos no seu dispositivo;
• os cookies serão excluídos depois que a janela for fechada;
• é possível que sejam exibidos resultados de pesquisa e
sugestões com base na sua localização ou em outras pesquisas
feitas durante a sessão de navegação atual.
https://support.google.com/websearch/answer/4540094
Observação: entrar com as credenciais numa conta (Google, p.ex.) para usar um serviço da Web, como o Gmail,
as pesquisas e atividades de navegação poderão ser salvas na sua conta.
15
Mitigar os riscos de seguimento das pesquisas efetuadas
16. Cybersegurança - Nada está completamente seguro
– Compartimentação da informação
– Cada compartimento tem informação separada
• Identidade Profissional
• Social Media
• Identidade privada
16
https://www.youtube.com/watch?v=lLessJ4R6w8
Medidas de mitigação
17. Medidas de mitigação
• Diferentes serviços de diferentes empresas
fornecedoras de serviço de internet
– Identidade profissional
• Separar o endereço de correio de trabalho do pessoal
• Isolar a atividade em linha, de tudo o resto
• Instalar navegadores específicos com “extensões” –
p.ex. FireFox para cada uso
Fechar e abrir novamente o Navegador de internet entre cada utilizador de sessão no caso de uso de
computadores partilhados.
17
18. Utilização de navegadores com
proteção adicional
• Exemplo FireFox com extensões adicionais ou
Navegadores desenvolvidos em OpenSource ,
por exemplo Brave
18
Medidas de mitigação
19. Experiência com correio eletrónico –
um exemplo
• Experiência exploratória
• Dois e-mail SCAM e dois legítimos
• 163 participantes, universitários
Resultados principais:
• Apenas 1,7 % identificou corretamente os quatro
• 64,5% identificou corretamente 3 dos quatro
• 59,3 % indicou que soube identificar todos os emails
corretamente
https://commons.erau.edu/cgi/viewcontent.cgi?referer=&httpsredir=1&article=1280&context=adfsl
Fonte: ADFSL Conference on Digital Forensics, Security and Law, 2014
19
20. Privacidade – Na pesquisa
• Uso de navegadores com proteção adicional
e que não registem as pesquisas:
https://www.startpage.com/search/settings?lang=pt
Dispositivos móveis: p.ex:
20
Medidas de mitigação
21. Medidas mitigação – As pessoas
21
Conhecimento e acompanhamento através
dos profissionais.
Formação dos intervenientes no processo
Constante atualização e reconhecimento
23. O que é considerado tratamento de dados?
• Tratamento: uma operação ou um conjunto de
operações efetuadas sobre dados pessoais ou
sobre conjuntos de dados pessoais, por meios
automatizados ou não automatizados, tais como
a recolha, o registo, a organização, a
estruturação, a conservação, a adaptação ou
alteração, a recuperação, a consulta, a utilização,
a divulgação por transmissão, por difusão ou por
qualquer outra forma de disponibilização, a
comparação ou interconexão, a limitação, o
apagamento ou a destruição;
23
Fonte: Lei 59/2019 de 8 de agosto 2019 & CNPD
24. ✓ O que pode identificar direta ou indiretamente
uma pessoa singular, utilizando dados obtidos
através de informação disponível, incluindo dados
públicos de uma ou mais fontes.
✓ A autenticação consiste no ato de provar que uma
certa pessoa possui uma certa identidade e/ou está
autorizada a realizar certas atividades.
Nota: Os dados pessoais podem apresentar formas distintas: imagens, som e estar em formato digital ou
noutro meio físico como por exemplo papel.
24
Dados pessoais, o que são?
25. O que mudou o RGPD
✓ O reconhecimento da importância em proteger os dados
pessoais;
✓ O alargamento do conceito de dados pessoais que passa a
incluir quaisquer dados suscetíveis de identificar, mesmo que
de forma indireta, o indivíduo;
✓ O Reforço dos direitos dos titulares (direito ao esquecimento
e a portabilidade);
✓ Alteração do modelo de regulação, modelo de hétero-
regulação para o modelo de auto-regulação;
✓ A Introdução de um quadro sancionatório (ver Lei 58/2019, 8
agosto);
✓ A obrigatoriedade de reportar à Autoridade de Controle
(CNPD) de incidentes que envolva incidentes de privacidade;
25
Alteração da operacionalização:
26. • Titulares de dados – Pessoa singular que disponibiliza algum dado Pessoal
(aluno, leitor, docente, …).
• Representante do titular de dados – Pessoa singular que representa o
menor, como por exemplo encarregado de educação, tutor,…
• Responsável pelo tratamento de dados – Pessoa responsável pelo
tratamento de dados de uma determinada organização e que é responsável pela Proteção de
dados da organização (Agrupamento, Biblioteca Municipal). É sempre o dirigente máximo da
organização.
• Encarregado de proteção de Dados – Responsável por um conjunto
alargado de atividades relacionadas com o RGPD. No caso dos agrupamentos e das escolas
públicas encontra-se distribuído de forma Regional.
• Subcontratante – Entidade que acede/gere, dados pessoais de acordo com relação
contratual com a entidade responsável pelo tratamento (por exemplo empresas que prestam
serviço aos computadores existentes nas bibliotecas).
Papeis e intervenientes - RGPD
26
28. Regulamento – RGPD – no caso das
entidades públicas
Documentação de apoio
Avaliação
Impacto
Proteção de
Dados
(dados de
menores)
Política de
Privacidade
Regulamento
Interno do
Agrupamento
ou entidade
Novas
exigências
contratuais com
empresas e
protocolos
entre entidades
públicas
28
29. Regulamento - RGPD
Fundamentos e práticas (Componente
tecnológica)
Tempo
retenção
dados
pessoais
Controlo de
acessos aos
dados
pessoais
Utilização
palavra-
chave
seguras na
autenticação
e acesso
Ligação acesso
seguro via
certificado de
segurança
Transferência
de dados
pessoais de
forma segura
(caso exista autorização)
29
30. Documentos estruturantes - Entidades
As regras podem sofrer atualizações.
Verificar:
✓ Politica de privacidade
✓ Código de conduta
✓ Regulamento interno
✓ Avaliação de impacto de proteção de dados – contem Avaliação de risco do
tratamento
✓ Eventual documentação adicional em função de temas específicos
✓ Orientações emanadas pela tutela (DGESTE, no caso das escolas) e pelo
responsável tratamento dados da entidade.
✓ Orientações da autoridade nacional de controlo
30
31. A noção de risco de privacidade
Na área da privacidade, os riscos a considerar são aqueles que
incluem o tratamento de dados pessoais, como por exemplo:
✓ Acesso ilegítimo a dados pessoais: são conhecidos por pessoas não
autorizadas dados pessoais sob tratamento;
✓ Mudança indesejada nos dados pessoais: eles são alterados ou
alterados;
✓ Desaparecimento de dados pessoais: eles não estão ou já não
estão disponíveis.
31
Noção de risco de privacidade RGPD
32. Algumas fontes de informação a nível
nacional
• Comissão Nacional de proteção de dados – CNPD.
• Secretaria Geral da Educação e Ciência
• DIREÇÃO-GERAL DE ESTATÍSTICA DA EDUCAÇÂO E CIÊNCIA
• O Regulamento geral de proteção de dados (RGPD)
• Glossário dados e privacidade
• Medidas Técnicas de mitigação risco privacidade
32