Cibercrimes e as Limitações do RGPD

Sabemos que a Revolução Digital trouxe consigo uma série de avanços significativos para a sociedade, mas também desafios sem precedentes. A internet, em particular, tornou-se num ambiente propício para a prática de crimes virtuais, mais conhecidos como cibercrimes.

Nos últimos 3 anos, podemos dizer que houve um aumento significativo de trabalhadores em home office, inicialmente devido à pandemia COVID, mas que acabaram por manter-se neste modo de trabalho, mesmo após a pandemia, o que alavancou a utilização da internet.

Para lidar com esta nova realidade, Portugal e outros países têm desenvolvido regulamentos de proteção de dados como o Regulamento Geral sobre a Proteção de Dados (RGPD) que é considerado um marco na legislação europeia de proteção de dados. No entanto, é importante reconhecer que o RGPD também pode apresentar desafios significativos para a investigação de cibercrimes.

O RGPD, implementado em maio de 2018, estabelece regras rigorosas para o tratamento de dados pessoais, com o objetivo de garantir a privacidade e a segurança das informações dos cidadãos europeus. Embora seja uma legislação vital para a proteção dos direitos individuais, pode criar obstáculos para a investigação e a prevenção de cibercrimes.

Este artigo explora as principais dificuldades que o RGPD pode introduzir no contexto de investigações criminais, propondo uma reflexão sobre os ajustes necessários para mitigar esses desafios.

A seguir, são apresentados alguns exemplos de como o RGPD pode impedir uma investigação de cibercrime:

  • Investigação de um ataque de ransomware: A polícia pode precisar de ter acesso a dados pessoais, como registos de chamadas telefónicas, registos de localização ou dados de navegação na internet, para investigar um ataque de ransomware. No entanto, o RGPD pode dificultar o acesso a esses dados, se o indivíduo não consentir o seu tratamento.
  • Investigação de um ataque de phishing: Uma autoridade policial ou um regulador pode precisar de ter acesso a dados pessoais, como informações financeiras ou transações comerciais, para investigar um ataque de phishing. No entanto, o RGPD pode dificultar o acesso a esses dados, se o indivíduo não consentir o seu tratamento ou se o tratamento não for necessário para a execução de um contrato ou para o cumprimento de uma obrigação legal.
  • Investigação de um ataque de malware: Um investigador de segurança pode precisar de ter acesso a dados pessoais, como logs de servidores ou dados de rede, para investigar um ataque de malware. No entanto, o RGPD pode dificultar o acesso a esses dados, se o tratamento não for necessário para a defesa de um interesse legítimo do investigador.

O RGPD prevê algumas exceções às regras gerais de proteção de dados, que podem ser aplicadas em casos de investigação de cibercrime. Essas exceções incluem:

  • O tratamento de dados pessoais para fins de investigação criminal ou para a prevenção, deteção ou repressão de infrações penais: Nestas situações, o tratamento de dados pessoais é permitido sem o consentimento do indivíduo, desde que seja necessário para a investigação.
  • O tratamento de dados pessoais para fins de segurança pública: Nestas situações, o tratamento de dados pessoais é permitido sem o consentimento do indivíduo, desde que seja necessário para a proteção da segurança pública.
  • O tratamento de dados pessoais para fins de investigação científica ou histórica: Nestas situações, o tratamento de dados pessoais é permitido sem o consentimento do indivíduo, desde que seja necessário para o interesse público.

O RGPD estabelece uma série de obrigações para as organizações que tratam dados pessoais. Estas obrigações incluem, por exemplo, o dever de informar os titulares dos dados sobre o tratamento dos seus dados, o dever de obter o consentimento dos titulares dos dados para o tratamento dos seus dados para fins específicos e o dever de proteger os dados pessoais contra perdas, acessos não autorizados e outras formas de tratamento ilícito.

Estas obrigações podem dificultar a investigação de cibercrimes, pois podem impedir as autoridades de obter acesso aos dados necessários para identificar e punir os criminosos. Por exemplo, o RGPD pode impedir as autoridades de:

  • Aceder aos dados de tráfego de internet sem o consentimento do titular dos dados;
  • Aceder aos dados armazenados em dispositivos eletrónicos sem o consentimento do proprietário do dispositivo;
  • Aceder aos dados de geolocalização sem o consentimento do titular dos dados.

Como mitigar os efeitos do RGPD na investigação de cibercrimes?

Um dos principais desafios é a limitação no acesso aos dados pessoais. Para investigar e resolver cibercrimes, as autoridades muitas vezes precisam de rastrear atividades online, identificar os responsáveis e recolher evidências digitais. No entanto, o RGPD restringe a recolha e o processamento de dados pessoais sem o consentimento explícito do titular. Isto pode dificultar a obtenção de informações cruciais para identificar criminosos cibernéticos, uma vez que esses indivíduos frequentemente operam anonimamente e podem utilizar dados falsos.

Além disso, a necessidade de notificar as vítimas de violações de dados também pode ser um problema na investigação de cibercrimes. O RGPD estipula que as organizações devem informar os afetados em caso de violações de dados pessoais. Embora esta seja uma medida importante para a proteção dos direitos dos cidadãos, pode alertar prematuramente os criminosos, permitindo que eles encubram as suas atividades e prejudiquem ainda mais as investigações.

Outro desafio decorrente do RGPD é a complexidade das transferências internacionais de dados. Muitas vezes, os cibercriminosos operam em jurisdições estrangeiras, o que exige a cooperação entre autoridades de diferentes países. O RGPD estabelece regras específicas para a transferência de dados pessoais para fora da União Europeia, o que pode atrasar a troca de informações entre países e prejudicar a eficácia das investigações.

No entanto, é fundamental encontrar um equilíbrio entre a proteção da privacidade dos cidadãos e a investigação eficaz de cibercrimes. Em vez de enfraquecer o RGPD, é importante considerar abordagens alternativas que possam abordar estes desafios. Uma possível solução é desenvolver mecanismos mais ágeis e eficientes para a cooperação internacional na investigação de crimes cibernéticos. Além disso, as autoridades e as organizações precisam de investir em tecnologias avançadas de segurança cibernética e na formação de especialistas em resposta a cibercrimes.

Em conclusão, o RGPD desempenha um papel fundamental na proteção da privacidade dos cidadãos europeus, mas também apresenta desafios para a investigação de cibercrimes. É necessário encontrar um equilíbrio entre a proteção dos dados pessoais e a capacidade de combater eficazmente os criminosos cibernéticos. Isto requer cooperação internacional, investimento em tecnologia e uma abordagem adaptável para enfrentar os desafios em constante evolução do cibercrime.

Suzeli Rodrigues
IMS Manager

Últimos Artigos

Maximiza a tua Rede Profissional: BFF Integer
Maximiza a tua Rede Profissional: BFF Integer

A Integer é reconhecida pela sua expertise em desenvolver soluções inovadoras e personalizadas para as necessidades internas das empresas....

Beatriz Simões
Blog
O mundo digital e a cibersegurança
O mundo digital e a cibersegurança

Com o aparecimento da internet, deparámo-nos com um “novo mundo” digital que, a bem da verdade, é cada vez...

Nuno Marques
Blog
Entrevista: Anderson Abreu, IT Manager
Entrevista: Anderson Abreu, IT Manager

Neste artigo vais poder conhecer um pouco mais sobre o Anderson, IT Manager e CISO (Chief Information Security Officer)...

Anderson Abreu
Blog
Voltar ao Blog