Da Estratégia de Segurança da Informação na União Europeia
Transcript of Da Estratégia de Segurança da Informação na União Europeia
Da Estratégia de Segurança da
Informação na União Europeia
Manuel David Masseno
1
Santa Maria, 29 de maio de 2015
Das Estratégias de Segurança da Informação na UE
A – Enquadramento Geral
Há pouco mais de um mês, foi apresentada a Comunicação
da Comissão ao Conselho e ao ao Parlamento Europeu – O
Programa europeu em matéria de segurança (COM(2015)
185 final), de 28 de abril de 2015
Em atenção ao Princípio da Subsidariedade (Art.º 5.º n.ºs 1 e
3 do Tratado da União Europeia), a Comissão Juncker
propõe-se complementar a ação dos Estados-Membros
nos domínios da Segurança que mais preocupam os
Cidadãos:
o Terrorismo
a Criminalidade Organizada e
a Cibercriminalidade
Agora, iremos nos centrar nas implicações do Programa em
matéria de Cibersegurança e de Combate ao Cibercrime 2
Das Estratégias de Segurança da Informação na UE
“O terrorismo, a criminalidade organizada e a
cibercriminalidade constituem desafios para a segurança
complexos e em permanente evolução, que não respeitam
as fronteiras da Europa. Assim, chegou a hora de os
europeus trabalharem melhor e de forma mais
próxima para garantir a segurança dos cidadãos.
Através desta agenda partilhada por todos os países da
UE, pretendemos que as autoridades nacionais cooperem
de forma mais eficaz e num espírito de confiança mútua.
Os terroristas atacam os valores democráticos que nos
são caros. Defenderemos firmemente os direitos
fundamentais e trabalharemos para resolver as
causas subjacentes à radicalização, promovendo uma
genuína cultura de tolerância nas nossas sociedades.”
(Frans Timmermans, 1.º Vice-Presidente da Comissão
Europeia) 3
Das Estratégias de Segurança da Informação na UE
“Sem liberdade não pode haver segurança, assim como sem
segurança não pode haver liberdade. A Comissão assume um
papel de iniciativa neste domínio, ao apresentar uma Agenda
Europeia para a Segurança centrada nos setores em que a União
Europeia poderá fazer verdadeiramente a diferença. A agenda não
surge apenas em resposta aos recentes eventos trágicos.
Representa, isso sim, uma renovação da nossa Estratégia de
Segurança comum, num ambiente político e jurídico em evolução
e no qual todos concordamos que deveremos confiar uns nos
outros, por forma a conseguir coordenar eficazmente a nossa ação
e trocar a informação necessária para enfrentar as novas
ameaças. A agenda estabelece medidas concretas para a
transformação destes princípios fundamentais em realidades
práticas: um conjunto de medidas fortes, que vão desde uma ação
preventiva até medidas nos domínios da proteção, da deteção e da
aplicação da legislação.” (Dimitris Avramopoulos, Comissário
responsável pela Migração, Assuntos Internos e Cidadania)
4
Das Estratégias de Segurança da Informação na UE
B – Um Ponto de Partida: garantir o “respeito
absoluto pelos Direitos Fundamentais”
sobretudo num Estado de Direito, as questões
dos fins e dos meios devem estar sempre
presentes nas políticas de segurança
id est, as ações de prevenção e de investigação
criminal apenas estão legitimadas se tiverem como
finalidade e decorrerem no estrito quadro dos
Direitos Fundamentais, de todos, tendo por referência
constante o Princípio da Proporcionalidade
por outras palavras, não é concebível uma ação
centrada na eliminação do inimigo, mesmo se
eletrónico
o que decorre diretamente do Tratado da União
Europeia (Art.ºs 1.º e 2.º n.º 2)
5
Das Estratégias de Segurança da Informação na UE
Já antes, designadamente:
na Estratégia da União Europeia para a
cibersegurança: “Um ciberespaço aberto, seguro
e protegido” (JOIN(2013) 1 final), de 7 de fevereiro,
são enunciados os Princípios da Cibersegurança,
em cujos termos valores fundamentais da UE
aplicam-se tanto no mundo digital como no
mundo físico e que o essencial é proteger os
direitos fundamentais, a liberdade de expressão,
os dados pessoais e a privacidade ou
na Comunicação da Comissão, “Rumo a uma
política da UE em matéria penal: assegurar o
recurso ao direito penal para uma aplicação
efectiva das políticas da UE” (COM(2011) 573
final, de 20 de setembro 6
Das Estratégias de Segurança da Informação na UE
Sendo reafirmados os Princípios fundamentais:
“O direito penal deve manter-se sempre uma medida de
último recurso;
As sanções penais são reservadas aos ilícitos
especialmente graves;
As medidas de direito penal podem afectar os
direitos fundamentais, pelo que a nova legislação
deve respeitar plenamente os direitos fundamentais
previstos na Carta dos Direitos Fundamentais da UE
e na Convenção Europeia de Proteção dos Direitos
do Homem;
Todas as decisões quanto ao tipo de medida ou sanção
penal a adoptar devem ser acompanhadas de provas
fatuais claras e respeitar os princípios da
subsidiariedade e da proporcionalidade.”
7
Das Estratégias de Segurança da Informação na UE
Agora:
é recolocada a tónica no respeito pelos Valores
inerentes a Sociedades Abertas, nomeadamente
ao Princípio do Estado de Direito e aos Direitos
enunciados na Carta da União Europeia
limitando as restrições aos critérios de
necessidade e proporcionalidade, enunciados na
própria Carta, e incluindo as devidas garantias de
controle jurisdicional (Art.º 52.º n.º 1) e ainda
são ainda feitas referências expressas ao
Acórdão de 8 de abril de 2014, Digital Rights
Ireland e Seitlinger e o. Processo C-293/12
(Processos apensos C-293/12, C-594/12)
8
Das Estratégias de Segurança da Informação na UE
“Em conformidade com o artigo 52.º, n.º 1, da Carta, quaisquer
restrições ao exercício dos direitos e liberdades reconhecidos
por esta devem ser previstas por lei, respeitar o conteúdo
essencial desses direitos e liberdades e, na observância do
princípio da proporcionalidade, essas restrições só podem ser
introduzidas se forem necessárias e corresponderem
efetivamente a objetivos de interesse geral reconhecidos pela
União, ou à necessidade de proteção dos direitos e liberdades de
terceiros.”, logo
“No que respeita ao caráter necessário da conservação dos
dados […], cabe observar que é verdade que a luta contra a
criminalidade grave […] assume primordial importância para
garantir a segurança pública e a sua eficácia pode depender em
larga medida da utilização das técnicas modernas de
investigação.” e
“Quanto ao direito ao respeito pela vida privada […] a proteção
deste direito fundamental exige, em quaisquer circunstâncias,
que as derrogações à proteção dos dados pessoais e as suas
limitações devem ocorrer na estrita medida do necessário.”
9
Das Estratégias de Segurança da Informação na UE
aliás, já a Diretiva 2002/58/CE, do Parlamento Europeu e do
Conselho, de 12 de julho de 2002, relativa ao tratamento de
dados pessoais e à proteção da privacidade no sector das
comunicações eletrónicas, dispunha que “Os Estados-
Membros podem adoptar medidas legislativas para
restringir o âmbito dos direitos e obrigações previstos
[desde que] que essas restrições constituam uma medida
necessária, adequada e proporcionada numa sociedade
democrática para salvaguardar a segurança nacional a
defesa, a segurança pública, e a prevenção, a
investigação, a detecão e a repressão de infrações penais
ou a utilização não autorizada do sistema de
comunicações eletrónicas. [na linha do Art.º 8.º n.º 2 da
Convenção Europeia dos Direitos do Homem] Para o efeito,
os Estados-Membros podem designadamente adotar
medidas legislativas prevendo que os dados sejam
conservados durante um período limitado, pelas razões
enunciadas no presente número.” (Art.º 15.º n.º 1)
10
Das Estratégias de Segurança da Informação na UE
C – Os Antecedentes
Este Programa surge na sequência uma longa
série de documentos com preocupações
análogas, ao longo de mais de uma década
a) em termos gerais:
o “Programa de Tampere”, adotado pelo Conselho
Europeu a 15 e 16 de outubro de 1999, tendo por objeto
a instituição de “um espaço de liberdade, de
segurança e de justiça” na União Europeia
a Comunicação da Comissão “Programa de Haia: dez
prioridades para os próximos cinco anos. Parceria
para a renovação europeia no domínio da liberdade,
da segurança e da justiça” (COM(2005) 184 final, de
10 de maio
11
Das Estratégias de Segurança da Informação na UE
a Comunicação da Comissão “Elaboração de um
conceito estratégico para combater a criminalidade
organizada” (SEC (2005) 724), de 2 de junho
o “Programa de Estocolmo”, do Conselho Europeu,
“Uma Europa aberta e segura que sirva e proteja os
cidadãos” (2010/C 115/01), de 4 de maio
a Comunicação da Comissão “Rumo a uma política
da UE em matéria penal: assegurar o recurso ao
direito penal para uma aplicação efectiva das
políticas da UE” (COM(2011) 573 final, de 20 de
setembro e
a Comunicação da Comissão “Como conseguir uma
Europa aberta e segura”, do Conselho, (COM(2014)
154 final, de 11 de março
12
Das Estratégias de Segurança da Informação na UE
b) no que se refere à Segurança da Informação:
a Comunicação da Comissão ‘‘Segurança das redes e
da informação: Proposta de uma abordagem política
europeia” (COM(2001) 298 final, de 6 de junho
a Estratégia da Comissão “Para uma sociedade da
informação segura” (COM(2006) 251
o Plano de ação e Comunicação da Comissão sobre
“A proteção das infraestruturas críticas da
informação” (COM(2009) 149, de 30 de março
a Comunicação da Comissão “Governo da Internet:
as próximas etapas” (COM(2009) 277, e 17 de
novembro e
a Comunicação da Comissão “Luta contra a
criminalidade na era digital: criação de um Centro
Europeu da Cibercriminalidade” (COM(2012) 0140
final, de 28 de março 13
Das Estratégias de Segurança da Informação na UE
c) e quanto ao Terrorismo:
a Comunicação da Comissão “Prevenção, estado de
preparação e capacidade de resposta aos atentados
terroristas” (COM (2004) 698 final, de 20 de outubro
a Comunicação da Comissão “Estado de preparação
e gestão das consequências na luta contra o
terrorismo” (COM (2004) 701 final, também de 20 de
outubro e
a Comunicação da Comissão “Proteção das
infraestruturas críticas na luta contra o terrorismo”
(COM(2004) 702 final, ainda de 20 de outubro, e
o Livro Verde relativo a um programa europeu de
protecção das infraestruturas críticas (COM (2005)
576 final, de 17 de novembro
14
Das Estratégias de Segurança da Informação na UE
D – Os Conteúdos
a) as orientações transversais:
o reforço da responsabilidade, da transparência e do
controle democráticos, agora com competência co-
decisional do Parlamento Europeu em matéria penal,
por força do Tratado de Lisboa
a afirmação da necessidade de uma cooperação
global, das Instituições e Agências da EU, dos
Estados-Membros e das Autotidades Nacionais
uma melhor utilização e aplicação dos instrumentos
legislativos existentes
uma abordagem inter-setorial e inter-agências das
questões e
a conjugação das dimensões interna e externa da
segurança, pelo diálogo com países e organizações 15
Das Estratégias de Segurança da Informação na UE
b) as ações, no que se refere à Informação:
potenciar o Sistema de Informação Schengen (SIS)
apoiar tecnicamente os Estados-Membros com maiores
dificuldades
articular o SIS com a Europol no que se refere a
documentos de voo furtados ou perdidos (SLTD)
implementar indicadores de risco comuns no que se
refere ao acesso e circulação na União, começando pelos
“combatentes terroristas estrangeiros”
por em ação a partilha de dados prevista no Tratado de
Prüm, de ADN, impressões digitais e registos dos veículos
outras ações
fomentar a utilização da Rede de Troca de Informação
Segura (SIENA), da Europol
16
Das Estratégias de Segurança da Informação na UE
estabelecer um regime europeu para Registo de Nomes
de Passageiros (PNR)
concluir o processo legislativo correspondente ao
Regulamento Geral sobre Proteção de Dados Pessoais
até final de 2015
promover a Segurança e a Privacidade desde a
conceção das aplicações
acompanhar a evolução das disciplinas nacionais em
matéria de conservação de dados do tráfego / registros
de conexão
aperfeiçoar o Sistema Europeu de Informação sobre os
Registos Criminais (ECRIS), nele incluindo as
condenações de residentes em países terceiros
lançar um projeto piloto de Sistema Europeu de Registo
Criminal (EPRIS), possibilitando o acesso transfronteiras
das polícias, em tempo real
17
Das Estratégias de Segurança da Informação na UE
c) as prioridades, sempre no que se refere à
Segurança da Informação:
Lutar contra o Terrorismo e prevenir a radicalização
dar resposta ao alarme social decorrente dos atentados
de Copenhaga, Paris e Bruxelas
impedir a participação de cidadãos europeus em ações
terroristas no exterior (Síria, Iraque e Líbia)
focando e reforçando a atuação da Europol na matéria e
criando em Centro Europeu de Luta contra o Terrorismo
e uma Unidade de Identificação de Conteúdos na
Internet (EU IRU), no seu seio
lançar, ainda em 2015, um Fórum Europeu com o Setor
da Informática, para envolver este com as Forças de
Segurança e a Sociedade Civil
reforçar a proteção das Infraestruturas Críticas
18
Das Estratégias de Segurança da Informação na UE
Combater o Cibercrime
tornou-se uma das principais ameaças contra os direitos
fundamentais dos cidadãos e a competitividade das
empresas europeias, podendo por em causa o Mercado
Único Digital
promover a rápida transposição da Diretiva 2013/40/UE do
Parlamento Europeu e do Conselho, de 12 de agosto de
2013, relativa aos ataques contra os sistemas de
informação
obter a ratificação, por todos os Estados-Membros da
Convenção do Conselho da Europa sobre o Cibercrime,
adotada em Budapeste, a 23 de novembro de 2001
conseguir uma rápida adoção da Proposta de diretiva
relativa às medidas destinadas a garantir um elevado
nível de segurança das redes e da informação na
União (COM(2013) 48 final), de 7 de fevereiro
19
Das Estratégias de Segurança da Informação na UE
E – As “Faltas”
a) desconsideração da “Estratégia da União
Europeia para a cibersegurança: um
ciberespaço aberto, seguro e protegido”
(JOINT(2013), de 7 de fevereiro48 final, de 7 feiro
Recordando as correspondentes Prioridades
Estratégicas e Ações:
garantir a resiliência do ciberespaço
:reforçar a capacidade de resposta concertada, se
possível com a ENISA
estabelecer requisitos mínimos comuns para a
segurança das redes e da informação – SRI
articular os CERT com um CERT-EU
20
Das Estratégias de Segurança da Informação na UE
:envolver o setor privado, na prevenção e na
resposta a incidentes de segurança, no segundo
caso sobretudo em termos de alertas
reduzir drasticamente a cibercriminalidade
:aplicar a Convenção de Budapeste, em todos os
Estados-membros
adotar a Proposta de Diretiva sobre os ataques contra
sistemas de informação e transpor em todos os
Estados-Membros a relativa à luta contra o abuso
sexual e a exploração sexual de crianças e a
pornografia infantil
reforçar os meios operacionais, nacionais e da EU
criar uma maior coordenação entre as polícias
dos Estados-Membros, via Europol, e entre os
sistemas judiciais, através do Eurojust
21
Das Estratégias de Segurança da Informação na UE
:apoiar o EC3 - Centro Europeu da
Cibercriminalidade
desenvolver a política e as capacidades no
domínio da ciberdefesa no quadro da Política
Comum de Segurança e Defesa (PCSD)
:pela Alta Representante e através da Agência
Europeia de Defesa
promovendo a coordenação entre meios civis e
meios militares
desenvolver os recursos industriais e
tecnológicos para a cibersegurança
:promover um mercado único dos produtos de
cibersegurança
promover os investimentos em I&D e em inovação
no setor 22
Das Estratégias de Segurança da Informação na UE
estabelecer uma política internacional coerente
em matéria de ciberespaço para a União
Europeia
:integrar as questões do ciberespaço nas relações
externas e na Política Externa e de Segurança Comum
(PESC) da EU
reforçar as capacidades em matéria de
cibersegurança e desenvolvimento de infraestruturas
informáticas resilientes nos países terceiro
b) omissão de quaisquer referências à
identificação eletrónica mesmo com o recém adotado Regulamento (UE) n.º
910/2014, do Parlamento Europeu e do Conselho, de 23 de
julho de 2014, relativo à identificação eletrónica e aos
serviços de confiança para as transações eletrónicas no
mercado interno… 23
Das Estratégias de Segurança da Informação na UE
F – A Outra Segurança da Informação
Entretanto foi também anunciada a Estratégia para
o Mercado Único Digital (COM(2015) 192 final), de 6
de maio de 2015
Estratégia esta que assenta em três pilares:
I - melhor acesso dos consumidores e empresas a bens e serviços digitais em toda a Europa;
II - criação de condições adequadas e de condições de concorrência equitativas para o desenvolvimento de redes digitais e de serviços inovadores; e
III - otimização do potencial de crescimento da economia digital
24
Das Estratégias de Segurança da Informação na UE
no II Pilar, são tratadas as questões relativas à Confiança e à Segurança, nomeadamente:
as vias garantir a remoção de conteúdos ilícitos, sem afetar a Liberdade de Expressão
o imperativo de reforçar a confiança no Mercado através da proteção de dados pessoais com
a adoção rápida do Regulamento Geral
uma reforma da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações electrónicas, alargando o seu âmbito para além dos operadores de telecomunicações
o apoio ao desenvolvimento de tecnologias de reforço da Privacidade (PET), prevista na Estratégia de Cibersegurança, e
a criação de uma Parceria Público-Privada no domínio das tecnologias de cibersegurança, em 2016
25