(Artigo de Paulo Teixeira Brandão, consultor em Tecnologias e Sistemas de Informação e parceiro da LusaPME para a área das novas tecnologias)

(publicação simultânea em pauloteixeirabrandao.pt e lusapme.pt)

No passado dia 18, ao mesmo tempo que eu reunia com cerca de 80 pessoas no Salão Nobre da Junta de Freguesia do Bonfim, no Porto, sobre a temática do impacto do RGPD nas Micro e Pequenas Empresas, Steven J. Vaughan-Nichols escrevia sobre mais uma desadequação do “novo” RGPD da União Europeia, desta vez em relação à infra-estrutura WHOIS e ao registo de domínios na Internet.

Começar tarde…

Com efeito, embora o Regulamento Geral de Protecção de Dados esteja em vigor desde 8 de Maio de 2016 (!), a abordagem às necessárias alterações, desde a mais ínfima correcção de formulários até à alteração de aplicações e sistemas como impacto global só agora começa a ser profunda e eficaz. Deixar para amanhã o que não apetece fazer hoje não é apanágio só dos Portugueses: é também de outras paragens, porventura com motivações diferentes que as nossas, notoriamente culturais.

Eu próprio, que me gabo de abordar a minha actividade profissional com toda a influência vinda de Silicon Valley (foi assim que cresci), junto a tal questão cultural com um certo reconhecimento da percepção (que combato!) de que a Europa e a União Europeia não tem o poder de influência global que deveria idealmente ter. Ou seja, tendo eu próprio a não dar a atenção atempada à Legislação Europeia e Nacional em matéria de Tecnologias de Informação, talvez porque sei que deriva quase sempre de outra, vinda do lado de lá do Atlântico. Daí ter começado a abordar tarde, há cerca de seis meses, a problemática da adopção do RGPD, principalmente naquele que considero ser o núcleo duro da economia Portuguesa: as micro e pequenas empresas.

Durante todo este tempo, em que tentei dissecar o RGPD e a própria legislação Portuguesa acessória (ainda em fase de aprovação pela Assembleia da Republica), e com a ajuda de juristas da LusaPME – Associação de Pequenas e Médias Empresas, muitas foram as dúvidas que me surgiram, sendo as que considero mais relevantes, pela dificuldade ou até impossibilidade de solução, as relacionadas com a própria arquitectura dos sistemas informáticos e de informação, tal como até na própria Internet como um todo.

É o caso específico do citado artigo agora publicado pela ZDnet, da autoria de Vaughan-Nichols.

É só uma questão técnica?

Para leitores fora da área tecnológica, falar de WHOIS (e explicar em que consiste) pode ser um daqueles assuntos que são classificados como “isso-é-lá-com-os-informáticos”. De um certo ponto de vista é verdade. Mas isso só vem confirmar que, se as áreas de impacto da adopção do RGPD que conhecemos enquanto empresários, juristas e agentes da economia já são por si de difícil análise e adequação, as que se encontram fora deste âmbito e que “isso-é-lá-com-os-informáticos” ainda mais graves se tornam, pela falta da sua mediatização e consequente falta de contribuição (financeira e política), fora do universo especializado.

A infra-estrutura de DNS da Internet (ou de qualquer rede), de forma simples, “traduz” um endereço legível pelos humanos (www.pauloteixeirabrandao.pt, por exemplo) para um número, um endereço IP (do tipo 195.22.8.67), representante único de um equipamento (servidor, conjunto de servidores agrupado, etc) onde se encontra a informação que queremos aceder.

Esta infra-estrutura, apesar de simples do ponto de vista tecnológico, é organizada por níveis ou camadas, numa gestão partilhada e coordenada pela ICANN – Internet Corporation for Assigned Names and Numbers.

Esta é uma organização, sem fins lucrativos, que tem duas missões principais: a operação da infra-estrutura de DNS e a definição de políticas e regras que regulam técnica e formalmente todo o sistema. O seu universo de participantes inclui representantes dos sectores públicos e estatais, empresas privadas, técnicos especialistas e representantes governamentais. As decisões tendem a ser tomadas por consenso cientifico em oposição a interesses particulares ou estatais. É pois uma organização aparentemente supra-nacional, independente e baseada em princípios da gestão relacionados com a ciência e engenharia, que mantém a Internet a funcionar. Ou pelo menos assim deveria ser. Nasceu nos EUA, tal como a Internet, incorporou as funções da IANA que por sua vez exerceu as suas funções por contrato com o Governo dos EUA. A sua independência é assim relativa e dependente em certa medida do desejo de a manter assim por parte desse mesmo Governo. Recentemente, tal como vários outros aspectos da governação americana, a situação tem mudado.

O WHOIS é um dos sub-produtos do DNS e pode-se descrever como uma base de dados, onde é registada informação permite identificar os “donos” dos domínios da internet, bem como a sua morada, contactos para efeitos de facturação, contactos técnicos, etc. Ou seja, elementos que caem dentro do âmbito regulado pelo RGPD.

É uma questão de adaptação!

Levantam-se assim questões sobre quase todos os aspectos da conformidade com o regulamento: o WHOIS é gerido pela ICANN e contem dados pessoais. A sua cobertura é global e isso inclui o território da UE, obviamente. O WHOIS é utilizado para fins tão diversos como a detecção de actividades de hacking ilegal, difusão de vírus e malware, conteúdos ilegais, etc. É, só para referir um exemplo, uma ferramenta importantíssima para a detecção e investigação de crimes relacionados com terrorismo internacional, pedofilia, branqueamento de capitais, fraude financeira, bancária, e a lista nunca mais termina.

Como compatibilizar o “Consentimento”, o “Direito ao Esquecimento”, o “Direito à alteração de dados” entre todos os outros definidos pelo RGPD no WHOIS? Como o RGPD está estruturado,  e da forma como DNS e o WHOIS funcionam, é impossível. Ponto.

Com a ansiedade que se instalou nos últimos tempos entre os agentes económicos e legisladores, existe uma certa tendência para o absolutismo das análises e decisões. Talvez a falta de tempo até 25 de Maio de 2018 nos esteja a tolher a visão. Tivemos muito tempo para considerar todas estas questões, mas agora estamos como que atrapalhados e os recentes casos de potencial e alegada violação de privacidade relacionados com o Facebook e Cambridge Analytica, Mark Zuckerberg a ser inquirido no Congresso norte-americano, não ajudam na excessiva mediatização e consequente informação colhida “pela rama” sobre todo o assunto.

Há já muitos anos que tenho vindo a consolidar uma ideia: a ciência e tecnologia evoluem, disponibilizam soluções inovadoras para nos ligarmos uns aos outros e ao mundo que nos rodeia. Só posteriormente é que existe uma assimilação dos modos de uso, uma adaptação social de todos a essas tecnologias. Por último, com atraso significativo e por vezes com ignorância vem a regulação, a lei, escrita pelo Legislador, seja Nacional, Europeu, Americano ou outro, com impacto significativo e normalmente proibicionista em relação à tecnologia já em uso.

Slide RGPD - Enquadramento Tecnológico - Desfasamento entre Tecnologia, Sociedade e Lei

(clique para aumentar)

É um desajuste civilizacional com que temos de viver. Não é um problema simples: podíamos colocar as “culpas” no legislador porque toma decisões e regula o que não compreende (veja-se as transcrições ou gravações da inquirição de Mark Zuckerberg no Congresso e a ideia que alguns congressistas norte-americanos nem estavam em condições de saber que perguntas fazer). Mas também podemos criticar a área da tecnologia por colocar à disposição de todos, sem critério, ferramentas que podem tornar-se armas.

A história da civilização está cheia de (maus) exemplos da tecnologia inventada para o “bem” e depois utilizada para o “mal”. E até os termos “bem” e “mal” são, em alguma medida, discutíveis à luz de diferenças culturais e políticas (mesmo que consideremos unicamente culturas democráticas). Um exemplo mostrado na última intervenção pública que fiz sobre a matéria, no já referido Workshop:

RGPD - Uso da tecnologia

(clique para aumentar)

E agora?

A leitura do artigo do Steven J. Vaughan-Nichols pode ser interessante de vários pontos de vista, incluindo o do actual contexto político da governação dos EUA, com um executivo que pode ter muitas inadaptadas características mas que resumo num termo só: egocentrismo. Donald J. Trump pode complicar ainda mais esta questão tendo mesmo, ao que se sabe, pressionado vários operadores da infraestrutura básica da Internet a não aderirem de todo ao RGPD da União Europeia!

Do meu ponto de vista, e em relação a Portugal, às empresas portuguesas e aos utilizadores da Internet e de Sistemas de Informação em geral, teremos de dar passos concretos, bem definidos até 25 de Maio. E um deles poderá ser mesmo o de assumir que em 25 de Maio nem tudo estará resolvido. Não virá mal ao mundo se assim for. Há risco de não conformidades, de sanções e coimas, com valores astronómicos. Mas há muito que fazer e não haverá regulamento ou legislação que nos faça andar mais rápido do que o possível.

As empresas terão de se rodear de conhecimento sobre o RGPD mas também sobre si próprias. É possível transformar este desafio numa oportunidade para um “salto quântico” na “digitalização” das micro e pequenas empresas (ver artigo relacionado). Assim os empresários mais ambiciosos e visionários abram os braços ao conhecimento que existe em Portugal, que é excelente e que pode ser melhor aproveitado do que integrar um call-center que se diz “emprego tecnológico”, como agora é moda (e tanto havia para dizer sobre isto. Brevemente.)

 

LINKS ÚTEIS

http://www.lusapme.pt/rgpd/

https://www.zdnet.com/article/dns-is-about-to-get-into-a-world-of-trouble-with-gdpr/

https://www.zdnet.com/meet-the-team/us/steven-j-vaughan-nichols/

https://ec.europa.eu/info/law/law-topic/data-protection_en

https://www.icann.org/