Um estudo com a participação da investigadora Ana Margarida Ferreira, do CINTESIS – Centro de Investigação em Tecnologias e Serviços de Saúde, foi reconhecido com o Best Paper Award na 5.ª Conferência Internacional sobre Segurança e Privacidade de Sistemas de Informação (ICISSP 2019), em Praga.
A investigação surgiu no âmbito do Regulamento Geral de Proteção de Dados (RGPD), que entrou em vigor a 25 de maio de 2018, e da relação dos seus artigos com a transparência dos dados pessoais. O trabalho concluiu que grande parte das ferramentas utilizadas para aprimorar a transparência dos dados não está de acordo com o RGPD.
Estas ferramentas, conhecidas por “Transparency Enhancing Tools” (TeTs), foram recolhidas num trabalho anterior, de forma a perceber a sua utilidade, funcionamento e problemas. No presente estudo, para além de identificar os artigos do Regulamento que focam na provisão da transparência dos dados pessoais, a equipa quis fazer também um mapeamento das funcionalidades das TeTs com esses mesmos artigos, de modo a perceber se estas estão ou não em conformidade com o princípio da transparência. A transparência passa por informar o utilizador sobre os fins para os quais os seus dados pessoais estão a ser utilizados, se estes estão ou não a ser protegidos, e como.
Segundo a investigadora do CINTESIS, quando um utilizador interage com um website ou aplicação pode inserir, a determinada altura, os seus dados pessoais (nome, email, local de residência, número de telemóvel…) ou fornecê-los simplesmente por estar a interagir com o sistema (endereço IP, geolocalização, credenciais de acesso, etc). Em grande parte dos casos, essa informação poderá ser recolhida e utilizada para fins não autorizados com desconhecimento por parte do utilizador, como por exemplo a sua venda ou disponibilização a terceiros.
“O Regulamento tenta trazer para o lado do utilizador o controlo dos seus dados pessoais, algo que não existia, o que permitia às empresas um abuso na sua utilização, em proveito próprio”, informa a investigadora. “As grandes empresas que não estão a aplicar o Regulamento podem ter de pagar coimas elevadas. Exemplo disso é a Google, que em 21 de janeiro de 2019 se viu penalizada com uma coima de 50 milhões de euros pela Autoridade de Proteção de Dados Francesa (CNIL), pela não conformidade com o princípio de transparência, obrigatório pelo RGPD”, acrescenta.
Para Ana Margarida Ferreira, “o ideal seria tentar fazer uma agregação de todas as ferramentas que existem e ver aquelas funcionalidades que realmente funcionam e estão de acordo com o Regulamento, no intuito de melhorar as ferramentas existentes, ou criar novas, o que fizer mais sentido”.
A investigadora alerta para o direito legal que o cidadão tem de saber, de forma clara e óbvia, onde é que os seus dados “andam a circular, de que forma estão a ser protegidos e processados, sempre com opção de os apagar, se pretendido”.
Alerta ainda para problemas ao nível da saúde associados ao acesso e processamento dos dados pessoais dos doentes, já que, se estes não estiverem seguros e não existir indicação de como estão a ser protegidos e para que fins estão a ser processados, poderão então ser usados ou alterados de forma não autorizada, e assim resultar em riscos graves para os doentes, como diagnósticos incorretos ou medicação indevida.