Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Questões da privacidade nas bibliotecas da era digital

Sensibilização para as questões da privacidade nas bibliotecas.

  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Questões da privacidade nas bibliotecas da era digital

  1. 1. As questões da privacidade nas bibliotecas da era digital Centro Cultural Gil Vicente , Sardoal 03 março 2020 Autor: Fernando Rui Campos | frcamposri@gmail.com
  2. 2. Disclaimer • A presente apresentação é da exclusiva responsabilidade do seu autor . • Não pode ser interpretado como um documento oficial ou orientação para as bibliotecas escolares e municipais. . Existem imagens com licenciamentos específicos e distintos. 2
  3. 3. Algumas questões • Privacidade e proteção de dados, que relação? • Como obtêm as empresas tecnológicas os dados pessoais, quase que sem sequer nos apercebermos? • Que medidas de mitigação podem ser realizadas para reduzir os riscos de privacidade? • O que é considerado tratamento de dados? • As bibliotecas e o RGPD, que alguns aspetos a ter em conta? 3
  4. 4. Privacidade Ideia que remonta a 1834, EUA através do reconhecimento da manifestação de “ser deixado só”. direito à privacidade - Lei Constitucional nº 1/2004, de 24 de julho), consagrado no elenco de direitos, liberdades e garantias, previsto no n.º1 do art.º 26º da Constituição da Republica Portuguesa (CRP) 4Fonte: https://www.uc.pt/protecao-de-dados/da_privacidade_a_protecao_de_dados
  5. 5. Da privacidade à proteção de dados (1) Evolução legislativa dos países europeus, nas últimas quatro gerações: • A primeira, com origem na Alemanha, através da lei Land, inaugura em 1970 a proteção dos dados informatizados; • A segunda focou-se na tutela dos direitos fundamentais envolvidos nas relações das comunicações virtuais. A lei francesa de 1978, a lei do Luxemburgo de 1979 e as leis da Suíça da Islândia de 1981 e, foram no sentido da proteção de arquivos informatizados. Hesse, inaugura em 1970; • Em 1981, a Convenção 108 do Conselho da Europa (Convenção para a Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal) - o respeito pelos seus direitos e liberdades fundamentais, e especialmente pelo seu direito à vida privada face ao tratamento automatizado dos dados de carácter pessoal que lhes digam respeito (“proteção dos dados”). 5
  6. 6. Da privacidade à proteção de dados (2) Evolução legislativa dos países europeus, nas últimas quatro gerações: • A terceira começou em 1981, a primeira lei portuguesa de 1991, modificada em 1998, que transpôs a Diretiva 95/46 do Parlamento Europeu e do Conselho. • A quarta geração visou responder às constantes e progressivas ameaças à vida privada. O Regulamento nº. 2016/679, do Parlamento e do Conselho Europeus, em 27 de abril de 2016 (Regulamento Geral de Proteção de Dados – RGPD) 6
  7. 7. 7 https://youtu.be/5ByVaZ0rg8U Fonte – União Europeia
  8. 8. 8 Pegada digital & dados pessoais Fonte: https://www.youtube.com/watch?v=F7pYHN9iC9I
  9. 9. Tecnologia atual – que as tecnológicas utilizam • Cookies • Tracking • Scripts de publicidade • Geolocalização • … • Inteligência artificial Registo quando : Se fazem compras, navegar na internet, uso de Apps (depende S.O.). 9
  10. 10. O que disponibilizamos em troca dos serviços digitais: https://policies.google.com/privacy?utm_source=hpp&utm_medium=pushdown&utm_campaign=tos 10
  11. 11. Social media • FaceBook , recolhe dados de equipamentos, através das suas redes sociais, via dezenas de Apps Android, através do envio de informações de rastreamento do dispositivo e dados essoais para a rede social. • Exemplo de Apps – Kayak, Yelp, Shazam. • Utilizar telefone específico (e barato) apenas para registo das aplicações que exigem contacto telefónico (por exemplo pré-pagos). 11
  12. 12. Exemplo de acesso a um media de comunicação em formato digital 12
  13. 13. Exemplo de informações recolhidas durante visualização página 13
  14. 14. Medidas de mitigação 14
  15. 15. Uso de navegação “privada” – diminuir o registo da navegação A navegação privada pode variar de acordo com o navegador usado. Normalmente, a navegação privada significa que: • as pesquisas realizadas ou os sites visitados não são salvos no dispositivo nem no histórico de navegação; • é possível que os arquivos transferidos por download e os favoritos adicionados sejam salvos no seu dispositivo; • os cookies serão excluídos depois que a janela for fechada; • é possível que sejam exibidos resultados de pesquisa e sugestões com base na sua localização ou em outras pesquisas feitas durante a sessão de navegação atual. https://support.google.com/websearch/answer/4540094 Observação: entrar com as credenciais numa conta (Google, p.ex.) para usar um serviço da Web, como o Gmail, as pesquisas e atividades de navegação poderão ser salvas na sua conta. 15 Mitigar os riscos de seguimento das pesquisas efetuadas
  16. 16. Cybersegurança - Nada está completamente seguro – Compartimentação da informação – Cada compartimento tem informação separada • Identidade Profissional • Social Media • Identidade privada 16 https://www.youtube.com/watch?v=lLessJ4R6w8 Medidas de mitigação
  17. 17. Medidas de mitigação • Diferentes serviços de diferentes empresas fornecedoras de serviço de internet – Identidade profissional • Separar o endereço de correio de trabalho do pessoal • Isolar a atividade em linha, de tudo o resto • Instalar navegadores específicos com “extensões” – p.ex. FireFox para cada uso Fechar e abrir novamente o Navegador de internet entre cada utilizador de sessão no caso de uso de computadores partilhados. 17
  18. 18. Utilização de navegadores com proteção adicional • Exemplo FireFox com extensões adicionais ou Navegadores desenvolvidos em OpenSource , por exemplo Brave 18 Medidas de mitigação
  19. 19. Experiência com correio eletrónico – um exemplo • Experiência exploratória • Dois e-mail SCAM e dois legítimos • 163 participantes, universitários Resultados principais: • Apenas 1,7 % identificou corretamente os quatro • 64,5% identificou corretamente 3 dos quatro • 59,3 % indicou que soube identificar todos os emails corretamente https://commons.erau.edu/cgi/viewcontent.cgi?referer=&httpsredir=1&article=1280&context=adfsl Fonte: ADFSL Conference on Digital Forensics, Security and Law, 2014 19
  20. 20. Privacidade – Na pesquisa • Uso de navegadores com proteção adicional e que não registem as pesquisas: https://www.startpage.com/search/settings?lang=pt Dispositivos móveis: p.ex: 20 Medidas de mitigação
  21. 21. Medidas mitigação – As pessoas 21 Conhecimento e acompanhamento através dos profissionais. Formação dos intervenientes no processo Constante atualização e reconhecimento
  22. 22. Tratamento de dados e Bibliotecas – O que tratar? 22
  23. 23. O que é considerado tratamento de dados? • Tratamento: uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, por difusão ou por qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição; 23 Fonte: Lei 59/2019 de 8 de agosto 2019 & CNPD
  24. 24. ✓ O que pode identificar direta ou indiretamente uma pessoa singular, utilizando dados obtidos através de informação disponível, incluindo dados públicos de uma ou mais fontes. ✓ A autenticação consiste no ato de provar que uma certa pessoa possui uma certa identidade e/ou está autorizada a realizar certas atividades. Nota: Os dados pessoais podem apresentar formas distintas: imagens, som e estar em formato digital ou noutro meio físico como por exemplo papel. 24 Dados pessoais, o que são?
  25. 25. O que mudou o RGPD ✓ O reconhecimento da importância em proteger os dados pessoais; ✓ O alargamento do conceito de dados pessoais que passa a incluir quaisquer dados suscetíveis de identificar, mesmo que de forma indireta, o indivíduo; ✓ O Reforço dos direitos dos titulares (direito ao esquecimento e a portabilidade); ✓ Alteração do modelo de regulação, modelo de hétero- regulação para o modelo de auto-regulação; ✓ A Introdução de um quadro sancionatório (ver Lei 58/2019, 8 agosto); ✓ A obrigatoriedade de reportar à Autoridade de Controle (CNPD) de incidentes que envolva incidentes de privacidade; 25 Alteração da operacionalização:
  26. 26. • Titulares de dados – Pessoa singular que disponibiliza algum dado Pessoal (aluno, leitor, docente, …). • Representante do titular de dados – Pessoa singular que representa o menor, como por exemplo encarregado de educação, tutor,… • Responsável pelo tratamento de dados – Pessoa responsável pelo tratamento de dados de uma determinada organização e que é responsável pela Proteção de dados da organização (Agrupamento, Biblioteca Municipal). É sempre o dirigente máximo da organização. • Encarregado de proteção de Dados – Responsável por um conjunto alargado de atividades relacionadas com o RGPD. No caso dos agrupamentos e das escolas públicas encontra-se distribuído de forma Regional. • Subcontratante – Entidade que acede/gere, dados pessoais de acordo com relação contratual com a entidade responsável pelo tratamento (por exemplo empresas que prestam serviço aos computadores existentes nas bibliotecas). Papeis e intervenientes - RGPD 26
  27. 27. Regulamento - RGPD Componentes Legal Tecnológica Organizacional Comportamental 27
  28. 28. Regulamento – RGPD – no caso das entidades públicas Documentação de apoio Avaliação Impacto Proteção de Dados (dados de menores) Política de Privacidade Regulamento Interno do Agrupamento ou entidade Novas exigências contratuais com empresas e protocolos entre entidades públicas 28
  29. 29. Regulamento - RGPD Fundamentos e práticas (Componente tecnológica) Tempo retenção dados pessoais Controlo de acessos aos dados pessoais Utilização palavra- chave seguras na autenticação e acesso Ligação acesso seguro via certificado de segurança Transferência de dados pessoais de forma segura (caso exista autorização) 29
  30. 30. Documentos estruturantes - Entidades As regras podem sofrer atualizações. Verificar: ✓ Politica de privacidade ✓ Código de conduta ✓ Regulamento interno ✓ Avaliação de impacto de proteção de dados – contem Avaliação de risco do tratamento ✓ Eventual documentação adicional em função de temas específicos ✓ Orientações emanadas pela tutela (DGESTE, no caso das escolas) e pelo responsável tratamento dados da entidade. ✓ Orientações da autoridade nacional de controlo 30
  31. 31. A noção de risco de privacidade Na área da privacidade, os riscos a considerar são aqueles que incluem o tratamento de dados pessoais, como por exemplo: ✓ Acesso ilegítimo a dados pessoais: são conhecidos por pessoas não autorizadas dados pessoais sob tratamento; ✓ Mudança indesejada nos dados pessoais: eles são alterados ou alterados; ✓ Desaparecimento de dados pessoais: eles não estão ou já não estão disponíveis. 31 Noção de risco de privacidade RGPD
  32. 32. Algumas fontes de informação a nível nacional • Comissão Nacional de proteção de dados – CNPD. • Secretaria Geral da Educação e Ciência • DIREÇÃO-GERAL DE ESTATÍSTICA DA EDUCAÇÂO E CIÊNCIA • O Regulamento geral de proteção de dados (RGPD) • Glossário dados e privacidade • Medidas Técnicas de mitigação risco privacidade 32
  33. 33. Visão da Comissão Europeia - RGPD 46

×