Sete anos após a sua implementação, o Regulamento Geral sobre a Proteção de Dados (RGPD) continua a ser uma peça fundamental na privacidade de dados em toda a Europa. Considerado um marco legislativo, estabeleceu um padrão global para a proteção de informações pessoais na era digital. No entanto, com o avanço incessante da tecnologia, também evoluem as ameaças. O aumento de ciberataques, as violações de dados e o envolvimento crescente da Inteligência Artificial (IA) levantam uma questão pertinente: será que o RGPD ainda representa o padrão de excelência na proteção de dados? Embora o regulamento se tenha vindo a adaptar para enfrentar os desafios emergentes, o debate sobre se estas atualizações são suficientes no panorama digital atual permanece em aberto.
A base da proteção de dados na era digital
Mesmo passados sete anos, a influência do RGPD permanece enraizada nos alicerces da proteção de dados a nível mundial. Conforme discutido por Terry Storrar, Diretor Geral da Leaseweb UK, esta influência é "particularmente evidente na indústria de centros de dados e nos Prestadores de Serviços Geridos (MSPs), que estão no cerne da infraestrutura digital do Reino Unido e da Europa. Embora o panorama regulatório continue a evoluir a um ritmo cada vez mais acelerado para acompanhar as novas tecnologias, os princípios do RGPD continuam a ser a pedra angular dos esforços de proteção de dados na Europa e no Reino Unido."
Ameaças emergentes e a corrida regulatória
Storrar prossegue, afirmando que "o RGPD certamente não ficou parado nos últimos anos, mas a tecnologia continua a superar a regulamentação. O ritmo das mudanças recentes – particularmente a explosão das tecnologias emergentes de IA – realça os muitos desafios que a regulamentação enfrenta e recorda-nos a importância do desenvolvimento contínuo da regulamentação sobre proteção de dados." A evolução tecnológica impõe uma constante necessidade de adaptação para que a legislação não se torne obsoleta.
Soberania digital europeia em foco
Com os crescentes apelos à soberania de dados europeia, tanto o Reino Unido como a UE estão a concentrar-se mais na autonomia digital e na redução da dependência de fornecedores de nuvem estrangeiros. "As crescentes preocupações geopolíticas e a forte dependência de infraestruturas fora da Europa significam que os centros de dados e os MSPs desempenharão um papel crítico na viabilização desta mudança. Considerações sobre onde os dados são armazenados, quem os controla e como são acedidos serão cruciais", acrescenta Storrar.
Novas leis complementam, mas não substituem o RGPD
O Diretor Geral da Leaseweb UK acredita também que, embora regulamentações mais recentes, como o Data Governance Act (Regulamento de Governação de Dados), tenham adicionado camadas ao RGPD, não o substituíram: "Estas regulamentações destacam a crescente complexidade da conformidade de dados, mas também posicionam claramente o papel do RGPD como a base para leis futuras mais específicas. Para as empresas, isto significa que a conformidade com o RGPD é um processo dinâmico, que exige tanto a conformidade contínua com a regulamentação existente como a integração de novas obrigações resultantes de regras emergentes. Num panorama digital transformado pela IA, arquiteturas nativas da nuvem e mudanças geopolíticas, o legado do RGPD é inegável, e a sua relevância contínua decorre da sua adaptabilidade."
Requisitos de reporte: Um desafio para a agilidade empresarial
Os requisitos regulatórios e de reporte associados ao RGPD continuam a ser um desafio para as empresas. Ricardo José Garrido Reichelt, Principal Security Technologist EMEA, Office of the CTO da Commvault, reconhece que aqueles que cumpriram com sucesso os requisitos de reporte do RGPD e de outras regulamentações colherão os benefícios: "Os requisitos de reporte para incidentes cibernéticos ao abrigo do RGPD e da Diretiva NIS2 são muito exigentes, obrigando a reportar em 72 e 24 horas, respetivamente. Apenas aqueles que conseguem agir imediatamente, permanecer operacionais e avançar para a análise do ataque conseguirão cumprir os apertados requisitos de reporte."
Resiliência cibernética como vantagem competitiva
"Para o conseguir, devem seguir o conceito da 'Empresa Mínima Viável'", acrescenta Reichelt. "Este conceito define antecipadamente quais as infraestruturas e sistemas, aplicações, processos e ambientes absolutamente necessários para manter as operações de emergência. Em contraste, as empresas menos preparadas necessitam, em média, de 24 dias para voltar a operar após um ciberataque – 24 dias contra as 24 horas exigidas."
Reichelt nota ainda como a introdução da Diretiva NIS2, que se baseia nos princípios do RGPD, exigirá mais das empresas: "A NIS2 levará muito provavelmente a um aumento geral dos níveis de segurança, tornando mais difícil para os hackers e agentes maliciosos comprometerem infraestruturas críticas. E esta maior resiliência cibernética será, em última análise, uma vantagem competitiva. Habituámo-nos a que os ciberataques façam parte do quotidiano. E graças à NIS2, esperemos que nos habituemos a que as empresas consigam resistir melhor aos ataques e voltem a estar online em poucos dias ou horas, e não semanas ou meses."
Inteligência Artificial: O grande teste à flexibilidade do RGPD
Para manter a sua relevância, o RGPD deve basear-se nos seus princípios fundamentais de justiça, transparência e responsabilidade, evoluindo com a tecnologia atual. Conforme destacado por Glenn Akester, Diretor de Tecnologia para Cibersegurança e Redes da Node4, a aplicação do RGPD à IA é uma potencial área cinzenta. "O RGPD aplica-se à IA, mas as suas definições estão a ser esticadas pelas capacidades modernas da IA, com os reguladores a aceitarem cada vez mais que os dados de treino podem ainda conter identificadores pessoais, mesmo quando profundamente embutidos nos modelos."
Akester continua: "Os dados sintéticos oferecem uma via promissora para a preservação da privacidade, mas estão subdesenvolvidos na legislação do Reino Unido. As atuais reformas no Reino Unido visam reduzir a burocracia, mantendo intactos os direitos fundamentais. A flexibilidade, como disposições mais claras sobre o interesse legítimo, permite a inovação responsável. O Governo está também a evitar leis de IA excessivamente prescritivas (ao contrário do Regulamento da IA da UE), preferindo orientações lideradas pelos reguladores – uma postura mais flexível que pode revelar-se uma vantagem competitiva. A lei não está a mudar de direção, apenas a ajustar o ritmo para se manter atualizada."
Evoluir ou perder relevância: O futuro do RGPD
É claro que a relevância do RGPD não pode ser negada, mas este deve continuar a ser atualizado, sob pena de perder eficácia. O panorama digital atual continua a evoluir rapidamente, com tecnologias como a IA e a Internet das Coisas (IoT), pelo que o RGPD deve ser expandido e adaptado para permanecer como o padrão global para a proteção de informações pessoais.
Nenhum comentário
Seja o primeiro!