Analista de Sistemas de Informação
Nunca se terá falado tanto sobre um caso concreto que envolva políticas de proteção de dados pessoais nos organismos do Estado e da Administração Pública como nos últimos dias. Partindo de uma manifestação contra o regime russo, vivenciamos por estes dias uma manifestação de indignação pela maneira como os nossos dados pessoais são tratados justamente por aqueles a quem os cidadãos confiaram a sua segurança, neste caso concreto a segurança desses dados pessoais.
A questão da transmissão de dados pessoais por parte de uma entidade do Estado, deveria levar-nos a uma reflexão muito mais profunda do que aquela que nos remete para a superficial verificação quanto ao cumprimento, ou não, do Regulamento Geral sobre a Proteção de Dados (RGPD), não só pela entidade, mas especialmente pelo Data Protection Officer (DPO) ou Encarregado de Proteção de Dados (EDP), elemento funcional obrigatório em todas as entidades, cujas competências e responsabilidades são estabelecidas pelo RGPD. As entidades, e muito especialmente os seus DPO’s, deverão questionar-se muito frequentemente se conhecem todos os procedimentos, todos os dados, todos os fluxos de dados, e se tem identificado todos os riscos que lhes estão associados.
Torna-se assim necessário desmiuçar a própria designação do RGPD, desmultiplicando-a em três disciplinas distintas: (i) Regulamento Geral, dizendo respeito ao direito; (ii) Proteção, à segurança informática; e (iii) Dados, aos sistemas de informação. Logo, o DPO, responsável pelo efetivo cumprimento do RGPD deverá ter, ou rodear-se de quem tenha, conhecimento em cada uma dessas disciplinas.
Destas três áreas, talvez aquela sobre a qual as entidades mas debrucem as suas atenções, seja a área do direito. Compreende-se, afinal há que dar cumprimento às normas positivadas no RGPD e num sem fim de legislação dispersa um pouco por todo o ordenamento jurídico nacional, mas nesta matéria as entidades estão, regra geral, bem guarnecidas com profissionais qualificados no exercício das suas funções, em especial, as de interpretar a lei e garantir o cumprimento do RGPD e demais legislação aplicável.
Quanto à segurança, devemos ter em conta que muita, porventura a esmagadora maioria, da comunicação e dos procedimentos administrativos, circulam hoje em canais tecnológicos, digitais e informatizados, pelo que a disciplina da segurança informática (cyber security) é imprescindível para garantir a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, sendo aqui a matriz de risco uma ferramenta essencial para o cumprimento do RGPD. Se é verdade que as entidades têm profissionais qualificados na área da informática, não será menos verdade que existe um défice de profissionais especializados e dedicados exclusivamente à matéria da segurança.
Mas se as entidades se prepararam tecnicamente, umas mais, outras menos, em relação às matérias do direito e da segurança, não nos podemos esquecer daquilo que está no centro da questão: dados! Dados são a descrição elementar de um substantivo. Por força da razão, dado pessoal é por isso a descrição elementar de uma pessoa, incluindo localização ou qualquer outro elemento através do qual, essa pessoa possa ser, direta ou indiretamente identificada ou identificável. Dados são por isso os componentes menores de um sistema de informação, logo, falar de dados, da sua recolha, armazenamento, utilização, comunicação e segurança, sem falar em sistemas de informação, será a maior falha na implementação do RGPD. Note-se que Sistema de Informação é algo bastante distinto de sistema informático!
Um Sistema de Informação (SI) pode ser definido como o conjunto de procedimentos e tarefas, que tem como objetivo o tratamento de dados, transformando-os em informação, que fornecida no tempo e forma úteis, dotará o seu destinatário de mais e melhor conhecimento, ficando este mais habilitado para desenvolver determinada tarefa ou atividade, ou para tomar determinada decisão.
Uma organização é um sistema de informação que se desmultiplica em diversos subsistemas de informação interagindo entre si, horizontal e verticalmente, nos níveis estratégicos, tácitos e operacionais. Entre todos estes sistemas de informação circulam fluxos de dados e informações, também os dados pessoais, que se comportam como entradas e saídas desses sistemas e dos seus processos.
A efetiva implementação do RGPD implica inevitavelmente um levantamento exaustivo de todos os sistemas de informação, procedimentos e fluxos de dados, sejam estes pessoais, manuais ou suportados por sistemas informáticos.
Pode-se assim concluir que é imprescindível e urgente à Administração Publica do futuro (do presente) inserir na sua estrutura orgânica uma unidade, Gabinete ou Departamento de Sistemas de Informação, posicionado junto aos executivos ou administradores, com profissionais multidisciplinares nas áreas do direito, segurança e sistemas de informação, capacitados com conhecimento e experiência para a elaboração, implementação e manutenção do Plano Diretor de Sistemas de Informação (PDSI).
O Plano Diretor de Sistemas de Informação é muito mais que um documento, é um instrumento de gestão para a governança da entidade, que, para além de permitir o escrupuloso cumprimento do RGPD, vai permitir também, mas não só, a elaboração do plano de prevenção dos riscos de gestão, incluindo os riscos de corrupção e infrações conexas, a implementação de sistemas de gestão de qualidade ou a implementação de um “painel de bordo” que forneça, em tempo real, todos os indicadores necessários à governança da entidade.
Mas, tão ou mais importante do que qualquer outro, o Plano Diretor de Sistemas de Informação permite a otimização dos procedimentos administrativos, garantido a sua correta tramitação, assim como a tão desejada simplificação e modernização administrativa, tornando as entidades mais eficientes, prestando serviços de melhor qualidade, gerando uma maior satisfação e confiança nos cidadãos.