Da Estratégia de Segurança da Informação na União Europeia

Da Estratégia de Segurança da

Informação na União Europeia

Manuel David Masseno

1

Santa Maria, 29 de maio de 2015

Das Estratégias de Segurança da Informação na UE

A – Enquadramento Geral

Há pouco mais de um mês, foi apresentada a Comunicação

da Comissão ao Conselho e ao ao Parlamento Europeu – O

Programa europeu em matéria de segurança (COM(2015)

185 final), de 28 de abril de 2015

Em atenção ao Princípio da Subsidariedade (Art.º 5.º n.ºs 1 e

3 do Tratado da União Europeia), a Comissão Juncker

propõe-se complementar a ação dos Estados-Membros

nos domínios da Segurança que mais preocupam os

Cidadãos:

o Terrorismo

a Criminalidade Organizada e

a Cibercriminalidade

Agora, iremos nos centrar nas implicações do Programa em

matéria de Cibersegurança e de Combate ao Cibercrime 2


“O terrorismo, a criminalidade organizada e a

cibercriminalidade constituem desafios para a segurança

complexos e em permanente evolução, que não respeitam

as fronteiras da Europa. Assim, chegou a hora de os

europeus trabalharem melhor e de forma mais

próxima para garantir a segurança dos cidadãos.

Através desta agenda partilhada por todos os países da

UE, pretendemos que as autoridades nacionais cooperem

de forma mais eficaz e num espírito de confiança mútua.

Os terroristas atacam os valores democráticos que nos

são caros. Defenderemos firmemente os direitos

fundamentais e trabalharemos para resolver as

causas subjacentes à radicalização, promovendo uma

genuína cultura de tolerância nas nossas sociedades.”

(Frans Timmermans, 1.º Vice-Presidente da Comissão

Europeia) 3


“Sem liberdade não pode haver segurança, assim como sem

segurança não pode haver liberdade. A Comissão assume um

papel de iniciativa neste domínio, ao apresentar uma Agenda

Europeia para a Segurança centrada nos setores em que a União

Europeia poderá fazer verdadeiramente a diferença. A agenda não

surge apenas em resposta aos recentes eventos trágicos.

Representa, isso sim, uma renovação da nossa Estratégia de

Segurança comum, num ambiente político e jurídico em evolução

e no qual todos concordamos que deveremos confiar uns nos

outros, por forma a conseguir coordenar eficazmente a nossa ação

e trocar a informação necessária para enfrentar as novas

ameaças. A agenda estabelece medidas concretas para a

transformação destes princípios fundamentais em realidades

práticas: um conjunto de medidas fortes, que vão desde uma ação

preventiva até medidas nos domínios da proteção, da deteção e da

aplicação da legislação.” (Dimitris Avramopoulos, Comissário

responsável pela Migração, Assuntos Internos e Cidadania)

4


B – Um Ponto de Partida: garantir o “respeito

absoluto pelos Direitos Fundamentais”

sobretudo num Estado de Direito, as questões

dos fins e dos meios devem estar sempre

presentes nas políticas de segurança

id est, as ações de prevenção e de investigação

criminal apenas estão legitimadas se tiverem como

finalidade e decorrerem no estrito quadro dos

Direitos Fundamentais, de todos, tendo por referência

constante o Princípio da Proporcionalidade

por outras palavras, não é concebível uma ação

centrada na eliminação do inimigo, mesmo se

eletrónico

o que decorre diretamente do Tratado da União

Europeia (Art.ºs 1.º e 2.º n.º 2)

5


Já antes, designadamente:

na Estratégia da União Europeia para a

cibersegurança: “Um ciberespaço aberto, seguro

e protegido” (JOIN(2013) 1 final), de 7 de fevereiro,

são enunciados os Princípios da Cibersegurança,

em cujos termos valores fundamentais da UE

aplicam-se tanto no mundo digital como no

mundo físico e que o essencial é proteger os

direitos fundamentais, a liberdade de expressão,

os dados pessoais e a privacidade ou

na Comunicação da Comissão, “Rumo a uma

política da UE em matéria penal: assegurar o

recurso ao direito penal para uma aplicação

efectiva das políticas da UE” (COM(2011) 573

final, de 20 de setembro 6


Sendo reafirmados os Princípios fundamentais:

“O direito penal deve manter-se sempre uma medida de

último recurso;

As sanções penais são reservadas aos ilícitos

especialmente graves;

As medidas de direito penal podem afectar os

direitos fundamentais, pelo que a nova legislação

deve respeitar plenamente os direitos fundamentais

previstos na Carta dos Direitos Fundamentais da UE

e na Convenção Europeia de Proteção dos Direitos

do Homem;

Todas as decisões quanto ao tipo de medida ou sanção

penal a adoptar devem ser acompanhadas de provas

fatuais claras e respeitar os princípios da

subsidiariedade e da proporcionalidade.”

7


Agora:

é recolocada a tónica no respeito pelos Valores

inerentes a Sociedades Abertas, nomeadamente

ao Princípio do Estado de Direito e aos Direitos

enunciados na Carta da União Europeia

limitando as restrições aos critérios de

necessidade e proporcionalidade, enunciados na

própria Carta, e incluindo as devidas garantias de

controle jurisdicional (Art.º 52.º n.º 1) e ainda

são ainda feitas referências expressas ao

Acórdão de 8 de abril de 2014, Digital Rights

Ireland e Seitlinger e o. Processo C-293/12

(Processos apensos C-293/12, C-594/12)

8


“Em conformidade com o artigo 52.º, n.º 1, da Carta, quaisquer

restrições ao exercício dos direitos e liberdades reconhecidos

por esta devem ser previstas por lei, respeitar o conteúdo

essencial desses direitos e liberdades e, na observância do

princípio da proporcionalidade, essas restrições só podem ser

introduzidas se forem necessárias e corresponderem

efetivamente a objetivos de interesse geral reconhecidos pela

União, ou à necessidade de proteção dos direitos e liberdades de

terceiros.”, logo

“No que respeita ao caráter necessário da conservação dos

dados […], cabe observar que é verdade que a luta contra a

criminalidade grave […] assume primordial importância para

garantir a segurança pública e a sua eficácia pode depender em

larga medida da utilização das técnicas modernas de

investigação.” e

“Quanto ao direito ao respeito pela vida privada […] a proteção

deste direito fundamental exige, em quaisquer circunstâncias,

que as derrogações à proteção dos dados pessoais e as suas

limitações devem ocorrer na estrita medida do necessário.”

9


aliás, já a Diretiva 2002/58/CE, do Parlamento Europeu e do

Conselho, de 12 de julho de 2002, relativa ao tratamento de

dados pessoais e à proteção da privacidade no sector das

comunicações eletrónicas, dispunha que “Os Estados-

Membros podem adoptar medidas legislativas para

restringir o âmbito dos direitos e obrigações previstos

[desde que] que essas restrições constituam uma medida

necessária, adequada e proporcionada numa sociedade

democrática para salvaguardar a segurança nacional a

defesa, a segurança pública, e a prevenção, a

investigação, a detecão e a repressão de infrações penais

ou a utilização não autorizada do sistema de

comunicações eletrónicas. [na linha do Art.º 8.º n.º 2 da

Convenção Europeia dos Direitos do Homem] Para o efeito,

os Estados-Membros podem designadamente adotar

medidas legislativas prevendo que os dados sejam

conservados durante um período limitado, pelas razões

enunciadas no presente número.” (Art.º 15.º n.º 1)

10


C – Os Antecedentes

Este Programa surge na sequência uma longa

série de documentos com preocupações

análogas, ao longo de mais de uma década

a) em termos gerais:

o “Programa de Tampere”, adotado pelo Conselho

Europeu a 15 e 16 de outubro de 1999, tendo por objeto

a instituição de “um espaço de liberdade, de

segurança e de justiça” na União Europeia

a Comunicação da Comissão “Programa de Haia: dez

prioridades para os próximos cinco anos. Parceria

para a renovação europeia no domínio da liberdade,

da segurança e da justiça” (COM(2005) 184 final, de

10 de maio

11


a Comunicação da Comissão “Elaboração de um

conceito estratégico para combater a criminalidade

organizada” (SEC (2005) 724), de 2 de junho

o “Programa de Estocolmo”, do Conselho Europeu,

“Uma Europa aberta e segura que sirva e proteja os

cidadãos” (2010/C 115/01), de 4 de maio

a Comunicação da Comissão “Rumo a uma política

da UE em matéria penal: assegurar o recurso ao

direito penal para uma aplicação efectiva das

políticas da UE” (COM(2011) 573 final, de 20 de

setembro e

a Comunicação da Comissão “Como conseguir uma

Europa aberta e segura”, do Conselho, (COM(2014)

154 final, de 11 de março

12


b) no que se refere à Segurança da Informação:

a Comunicação da Comissão ‘‘Segurança das redes e

da informação: Proposta de uma abordagem política

europeia” (COM(2001) 298 final, de 6 de junho

a Estratégia da Comissão “Para uma sociedade da

informação segura” (COM(2006) 251

o Plano de ação e Comunicação da Comissão sobre

“A proteção das infraestruturas críticas da

informação” (COM(2009) 149, de 30 de março

a Comunicação da Comissão “Governo da Internet:

as próximas etapas” (COM(2009) 277, e 17 de

novembro e

a Comunicação da Comissão “Luta contra a

criminalidade na era digital: criação de um Centro

Europeu da Cibercriminalidade” (COM(2012) 0140

final, de 28 de março 13


c) e quanto ao Terrorismo:

a Comunicação da Comissão “Prevenção, estado de

preparação e capacidade de resposta aos atentados

terroristas” (COM (2004) 698 final, de 20 de outubro

a Comunicação da Comissão “Estado de preparação

e gestão das consequências na luta contra o

terrorismo” (COM (2004) 701 final, também de 20 de

outubro e

a Comunicação da Comissão “Proteção das

infraestruturas críticas na luta contra o terrorismo”

(COM(2004) 702 final, ainda de 20 de outubro, e

o Livro Verde relativo a um programa europeu de

protecção das infraestruturas críticas (COM (2005)

576 final, de 17 de novembro

14


D – Os Conteúdos

a) as orientações transversais:

o reforço da responsabilidade, da transparência e do

controle democráticos, agora com competência co-

decisional do Parlamento Europeu em matéria penal,

por força do Tratado de Lisboa

a afirmação da necessidade de uma cooperação

global, das Instituições e Agências da EU, dos

Estados-Membros e das Autotidades Nacionais

uma melhor utilização e aplicação dos instrumentos

legislativos existentes

uma abordagem inter-setorial e inter-agências das

questões e

a conjugação das dimensões interna e externa da

segurança, pelo diálogo com países e organizações 15


b) as ações, no que se refere à Informação:

potenciar o Sistema de Informação Schengen (SIS)

apoiar tecnicamente os Estados-Membros com maiores

dificuldades

articular o SIS com a Europol no que se refere a

documentos de voo furtados ou perdidos (SLTD)

implementar indicadores de risco comuns no que se

refere ao acesso e circulação na União, começando pelos

“combatentes terroristas estrangeiros”

por em ação a partilha de dados prevista no Tratado de

Prüm, de ADN, impressões digitais e registos dos veículos

outras ações

fomentar a utilização da Rede de Troca de Informação

Segura (SIENA), da Europol

16


estabelecer um regime europeu para Registo de Nomes

de Passageiros (PNR)

concluir o processo legislativo correspondente ao

Regulamento Geral sobre Proteção de Dados Pessoais

até final de 2015

promover a Segurança e a Privacidade desde a

conceção das aplicações

acompanhar a evolução das disciplinas nacionais em

matéria de conservação de dados do tráfego / registros

de conexão

aperfeiçoar o Sistema Europeu de Informação sobre os

Registos Criminais (ECRIS), nele incluindo as

condenações de residentes em países terceiros

lançar um projeto piloto de Sistema Europeu de Registo

Criminal (EPRIS), possibilitando o acesso transfronteiras

das polícias, em tempo real

17


c) as prioridades, sempre no que se refere à

Segurança da Informação:

Lutar contra o Terrorismo e prevenir a radicalização

dar resposta ao alarme social decorrente dos atentados

de Copenhaga, Paris e Bruxelas

impedir a participação de cidadãos europeus em ações

terroristas no exterior (Síria, Iraque e Líbia)

focando e reforçando a atuação da Europol na matéria e

criando em Centro Europeu de Luta contra o Terrorismo

e uma Unidade de Identificação de Conteúdos na

Internet (EU IRU), no seu seio

lançar, ainda em 2015, um Fórum Europeu com o Setor

da Informática, para envolver este com as Forças de

Segurança e a Sociedade Civil

reforçar a proteção das Infraestruturas Críticas

18


Combater o Cibercrime

tornou-se uma das principais ameaças contra os direitos

fundamentais dos cidadãos e a competitividade das

empresas europeias, podendo por em causa o Mercado

Único Digital

promover a rápida transposição da Diretiva 2013/40/UE do

Parlamento Europeu e do Conselho, de 12 de agosto de

2013, relativa aos ataques contra os sistemas de

informação

obter a ratificação, por todos os Estados-Membros da

Convenção do Conselho da Europa sobre o Cibercrime,

adotada em Budapeste, a 23 de novembro de 2001

conseguir uma rápida adoção da Proposta de diretiva

relativa às medidas destinadas a garantir um elevado

nível de segurança das redes e da informação na

União (COM(2013) 48 final), de 7 de fevereiro

19


E – As “Faltas”

a) desconsideração da “Estratégia da União

Europeia para a cibersegurança: um

ciberespaço aberto, seguro e protegido”

(JOINT(2013), de 7 de fevereiro48 final, de 7 feiro

Recordando as correspondentes Prioridades

Estratégicas e Ações:

garantir a resiliência do ciberespaço

:reforçar a capacidade de resposta concertada, se

possível com a ENISA

estabelecer requisitos mínimos comuns para a

segurança das redes e da informação – SRI

articular os CERT com um CERT-EU

20


:envolver o setor privado, na prevenção e na

resposta a incidentes de segurança, no segundo

caso sobretudo em termos de alertas

reduzir drasticamente a cibercriminalidade

:aplicar a Convenção de Budapeste, em todos os

Estados-membros

adotar a Proposta de Diretiva sobre os ataques contra

sistemas de informação e transpor em todos os

Estados-Membros a relativa à luta contra o abuso

sexual e a exploração sexual de crianças e a

pornografia infantil

reforçar os meios operacionais, nacionais e da EU

criar uma maior coordenação entre as polícias

dos Estados-Membros, via Europol, e entre os

sistemas judiciais, através do Eurojust

21


:apoiar o EC3 - Centro Europeu da

Cibercriminalidade

desenvolver a política e as capacidades no

domínio da ciberdefesa no quadro da Política

Comum de Segurança e Defesa (PCSD)

:pela Alta Representante e através da Agência

Europeia de Defesa

promovendo a coordenação entre meios civis e

meios militares

desenvolver os recursos industriais e

tecnológicos para a cibersegurança

:promover um mercado único dos produtos de

cibersegurança

promover os investimentos em I&D e em inovação

no setor 22


estabelecer uma política internacional coerente

em matéria de ciberespaço para a União

Europeia

:integrar as questões do ciberespaço nas relações

externas e na Política Externa e de Segurança Comum

(PESC) da EU

reforçar as capacidades em matéria de

cibersegurança e desenvolvimento de infraestruturas

informáticas resilientes nos países terceiro

b) omissão de quaisquer referências à

identificação eletrónica mesmo com o recém adotado Regulamento (UE) n.º

910/2014, do Parlamento Europeu e do Conselho, de 23 de

julho de 2014, relativo à identificação eletrónica e aos

serviços de confiança para as transações eletrónicas no

mercado interno… 23


F – A Outra Segurança da Informação

Entretanto foi também anunciada a Estratégia para

o Mercado Único Digital (COM(2015) 192 final), de 6

de maio de 2015

Estratégia esta que assenta em três pilares:

I - melhor acesso dos consumidores e empresas a bens e serviços digitais em toda a Europa;

II - criação de condições adequadas e de condições de concorrência equitativas para o desenvolvimento de redes digitais e de serviços inovadores; e

III - otimização do potencial de crescimento da economia digital

24


no II Pilar, são tratadas as questões relativas à Confiança e à Segurança, nomeadamente:

as vias garantir a remoção de conteúdos ilícitos, sem afetar a Liberdade de Expressão

o imperativo de reforçar a confiança no Mercado através da proteção de dados pessoais com

a adoção rápida do Regulamento Geral

uma reforma da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações electrónicas, alargando o seu âmbito para além dos operadores de telecomunicações

o apoio ao desenvolvimento de tecnologias de reforço da Privacidade (PET), prevista na Estratégia de Cibersegurança, e

a criação de uma Parceria Público-Privada no domínio das tecnologias de cibersegurança, em 2016

25

Da Estratégia de Segurança da Informação na União Europeia

Documents

Transcript of Da Estratégia de Segurança da Informação na União Europeia