14ª Conferência da Associação Portuguesa de Sistemas de Informação (CAPSI 2014) 03 e 04 de Outubro de 2014, Évora, Portugal
ISSN 2183-489X
DOI http://dx.doi.org/10.18803/capsi.v14.107-121
107
Challenges to data privacy in health – interoperability in the field of security
Secundino Lopes, Departamento de Tecnologia e Design, Escola Superior de Tecnologia e Gestão,Instituto Politécnico de Portalegre, Portugal, secundino.lopes@estgp.pt
Rui Quaresma, Departamento de Gestão, Centro de Estudos e Formação Avançada em Gestão e Economia, Escola de Ciências Sociais, Universidade de Évora, Portugal, quaresma@uevora.pt
Resumo
As iniciativas de colaboração interorganizacionais promoveram a partilha de dados, quer através de processos de integração, quer de interoperabilidade entre sistemas. Sistemas que inicialmente foram construídos para funcionarem de forma isolada, por diversos fatores evoluem para uma situação em que a sua sobrevivência depende do fator interoperabilidade com outros sistemas, mesmo que tecnologicamente heterogéneos. A área da saúde é um destes exemplos. Quando está em causa a partilha de dados pessoais, a privacidade destes dados é uma questão central, na maioria das vezes desconsiderada face à sua complexidade. Neste sentido, e através de uma investigação qualitativa e interpretativa baseada em estudo de casos, pretendeu-se estudar para o ambiente alargado de partilha de dados na área da saúde, além dos fatores técnicos, que outros fatores têm influência sobre a privacidade dos dados e são interoperáveis. Neste artigo é apresentado o resultado da investigação apenas para um destes fatores - a segurança.
Palavras chave: privacidade; interoperabilidade; área da saúde
Abstract
Interorganizational collaboration initiatives promoted data sharing, either through integration processes or interoperability between systems. Systems that were originally constructed to operate in an isolated way, ended up evolving into a situation where their survival depends of the interoperability factor to ensure communication with other systems, even though technologically heterogeneous. The health sector is one of these examples. When the sharing of personal data is the concern, data privacy is a central issue, most often disregarded given its complexity. In this sense, and through a qualitative and interpretative research based on case studies, the performed research aimed to study broad environments of data sharing in the health sector. The goal was to identify what other factors, in addition to technical factors, have an influence on the privacy of data and their interoperability. In this article the results of the research are presented only for one of these factors - safety.
Keywords: Privacy; Interoperability; Health Sector
1. I
NTRODUÇÃOA Internet alterou e introduziu mudanças profundas nos sistemas, no sentido em que as decisões dependem em tempo real dos dados, informação ou conhecimento, disponíveis noutro sistema
14ª Conferência da Associação Portuguesa de Sistemas de Informação (CAPSI 2014) 108 [Winters 2006]. Como grande parte da sua arquitetura são dados, estes constituem a força vital da era da informação, sendo de assinalar que grande parte destes, são dados pessoais. Os dados são a poluição da era da informação [Schneier 2009]. Podem permanecer para sempre, a menos que sejam eliminados. Podem ser reciclados. E, tal como a poluição física durante as primeiras décadas da era industrial, a maioria das pessoas ignoram completamente o problema.
A interoperabilidade e a cooperação podem ser consideradas como facilitadores da integração de serviços. Um pré-requisito, ou mesmo o “objetivo final” para qualquer sistema integrado ou de colaboração, é a partilha de informações ou dados [Otjacques 2007]. Esta partilha deve acontecer num ambiente seguro e de proteção da privacidade destes dados, sendo necessário garantir que a velocidade destas inovações tecnológicas não apresenta efeitos colaterais negativos em matéria de segurança e privacidade [ENISA 2011]. Num ambiente distribuído, como o que caracteriza os projetos de interoperabilidade, “coloca-se o desafio de como conseguir acomodar e harmonizar os parâmetros de sensibilidade dos dados e os requisitos de segurança dos processos que são definidos e exigidos por cada um dos organismos envolvidos e, assim construir um ambiente cooperativo de confiança entre todos eles” [Fugini 2003].
No sector da saúde a privacidade é particularmente importante, devido à sensibilidade, potencial ou real dos dados [NETHA 2006]; neste sector a utilização de imensas quantidades de dados, acedidos cada vez mais por um número maior de profissionais, coloca um enorme desafio à sua segurança e privacidade [Ernst & Young 2012]. Este facto limita inclusive o livre fluxo de dados, por preocupações com a sua privacidade [Otjacques et al. 2007] [Gottschalk 2009a].
A problemática da privacidade, contudo, é ainda uma realidade complexa, subjetiva, que quando considerada se resume a medidas de segurança. Organizações com iniciativas de interoperabilidade em curso, como é o caso do sector da saúde, ultrapassam com facilidade os requisitos técnicos e de sistemas, para que de uma forma ágil os dados possam fluir. É o caso do domínio da segurança, com colaborações interorganizações no sentido de definir e alinhar os requisitos técnicos e de sistemas de acordo com o nível de segurança pretendido. O mesmo não acontece com as questões da proteção de dados e da privacidade de dados.
Esta lacuna no domínio dos sistemas de informação levou os autores à realização de um estudo de casos na área da saúde, através de uma abordagem qualitativa e interpretativa, com o objetivo de identificar e compreender os fatores com influência sobre a privacidade dos dados em contextos de interoperabilidade. Este artigo apresenta um destes fatores – a segurança. No ponto 2 é apresentada uma distinção e relação entre os conceitos de privacidade, proteção e segurança dos dados. No ponto 3 são apresentados os principais desafios à privacidade dos dados em ambientes de interoperabilidade entre sistemas, importantes para a compreensão do estudo. Nos pontos 4, 5 e 6 é
14ª Conferência da Associação Portuguesa de Sistemas de Informação (CAPSI 2014) 109 apresenta-se o estudo realizado, a especificidade do estudo no subdomínio da segurança, e as conclusões preliminares já obtidas.
2. P
RIVACIDADE,
PROTEÇÃO E SEGURANÇA DOS DADOSApesar do debate bastante intenso desde o final da década de 60, ainda não existe uma definição universalmente aceite de privacidade [Introna 1997][Wuyts 2009]. Constitui atualmente um conceito abrangente, que engloba (entre outras coisas) a liberdade de pensamento, o controlo sobre o corpo, o controlo sobre informações pessoais, a liberdade de vigilância, a proteção da reputação de alguém, e proteção contra buscas e interrogatórios [Solove 2008]. Tem sido descrita como algo que pode ser “invadida”, “violada”, “quebrada”, “perdida”, “diminuída”, e assim por diante [Tavani 2007]. As ideias fundamentais da privacidade são que ela envolve pessoas e informações [Wuyts et al. 2009]. Para muitos académicos constitui um valor e um direito fundamental, ligada a ideias de autonomia, dignidade pessoal e independência. É muitas vezes vista como condição necessária para separar aquilo que é pessoal do que é público [Waldo 2007]. O objeto da privacidade pode ser uma pessoa, um grupo de pessoas, ou uma organização formal através da qual pessoas e grupos cooperam [Moen 2010].
Atendendo à complexidade na definição de privacidade, bem como às questões ou dimensões envolvidas, autores como Introna [1997] e Clarke [2006] sugerem a sua definição com base em quatro categorias distintas, as quais não se excluem mutuamente, nomeadamente: a privacidade da pessoa, a privacidade do comportamento e da esfera pessoal, a privacidade nas comunicações pessoais, e a privacidade da informação pessoal ou privacidade dos dados. A privacidade dos dados constitui o assunto principal da investigação desenvolvida, a par da interoperabilidade.
A privacidade dos dados, refere-se à evolução do relacionamento entre a tecnologia e o direito legal de, ou a expetativa pública de, privacidade na recolha, utilização, armazenamento e partilha de dados pessoais [Jericho Forum 2007]. Está relacionada com a capacidade do indivíduo em exercer um controlo sobre a recolha, utilização, divulgação e retenção dos seus dados pessoais, tendo por base necessariamente um aviso claro sobre que dados serão recolhidos e como serão utilizados e/ou partilhados [IPC 2009].
A proteção de dados surgiu como resultado do enfraquecimento ou o desaparecimento de alguns limites naturais que anteriormente asseguravam a proteção da privacidade [Jóri 2007]. Está relacionada com a garantia de que os dados não são corrompidos, são acessíveis apenas para fins autorizados, e estão em conformidade com os requisitos legais aplicáveis [Dutch 2010].
A Diretiva 95/46/CE [CE 1995] constitui o bloco principal da legislação de proteção de dados na UE [Art. 29 WP 2009], tendo sido fundamental ao definir os sete princípios gerais que orientaram o
14ª Conferência da Associação Portuguesa de Sistemas de Informação (CAPSI 2014) 110 tratamento de dados pessoais até aos tempos atuais, assim como a identificação dos principais atores envolvidos, a apresentação dos direitos fundamentais que assistem o titular dos dados, e as obrigações do responsável pelo tratamento de dados pessoais [ENISA 2012]. Em Portugal, a proteção de dados pessoais e da privacidade tem consagração constitucional desde 1976 e o legislador nacional optou por oferecer, na Lei nº 67/98 de Proteção de Dados [AR 1998], um âmbito de proteção mais abrangente do que o prescrito pela Diretiva 95/46/CE, e no qual já se inclui o tratamento de dados policiais [CNPD 2012].
A segurança está normalmente associada à disponibilidade e resiliência dos sistemas e infraestruturas tecnológicas, e no domínio da informação à garantia da sua confidencialidade e integridade. Envolve a aplicação e gestão de medidas de segurança adequadas, tendo por base o conhecimento de uma ampla gama de ameaças, com o objetivo de minimizar os impactos e garantir o sucesso e a continuidade de um processo de negócio sustentado [ISO/IEC 2009]. É, sem qualquer dúvida, um componente crítico de qualquer sistema informático, devendo fornecer as garantias necessárias à proteção dos dados, sendo que numa situação ideal deve ser desenvolvida como um serviço quase invisível, mas forte. [Liberty Alliance 2003].
No que respeita aos dados, o estudo das questões da sua privacidade não pode ser dissociado das questões associadas à proteção e à segurança destes dados. A tabela 1 sintetiza esta relação. Apesar da temática em estudo ser a privacidade dos dados, esta determina que as outras duas dimensões de proteção sejam igualmente abordadas, dada a sua influência sobre a eficácia das medidas ao nível da proteção da privacidade, assim como sobre a criação de um ambiente seguro de recolha e utilização de dados pessoais. Neste sentido, quando nos referimos à privacidade dos dados inclui-se implicitamente a proteção e a segurança dos dados.
Privacidade
x Focada no indivíduo ou grupo de indivíduos, e nos dados pessoais identificáveis, assim como no subconjunto de dados sensíveis.
x Constitui uma reclamação, um direito de um individuo à proteção, ao controlo e à limitação de utilização, dos seus dados pessoais em situações normativas.
Proteção
x Focada no indivíduo, grupo de indivíduos ou organização. x É um meio, um instrumento legal, de garantia da privacidade.
x Ajusta a compatibilidade dos processos de tratamento de dados com as finalidades para que foram recolhidos.
x Serve para sustentar a proteção da privacidade num mundo onde a possibilidade de recolha, armazenamento e cruzamento de grandes conjuntos de dados está amplamente disponível.
14ª Conferência da Associação Portuguesa de Sistemas de Informação (CAPSI 2014) 111
Segurança
x É um meio de garantia da disponibilidade, confidencialidade, integridade, não-repúdio, e confiança dos dados.
x Relacionada com as questões (técnicas) de segurança da informação e das infraestruturas de armazenamento e comunicação.
x Capacidade de um sistema resistir a eventos acidentais ou a acessos maliciosos ou ilícitos que comprometem os dados.
Tabela 1 - Diferenças entre privacidade, proteção e segurança dos dados
3. D
ESAFIOS À PRIVACIDADE DOS DADOS EM AMBIENTES DE PARTILHA DE DADOS/
INTEROPERABILIDADE
De uma forma simples, interoperabilidade constitui a capacidade de pessoas, organizações e sistemas interagirem para que de uma forma eficiente e eficaz possam trocar e utilizar informação [Baird 2007], num ambiente distribuído e heterogéneo [Vernadat 2010]. Está relacionada com a capacidade de, sem esforço significativo, duas ou mais entidades independentes, e que operam de forma autónoma, conseguirem trocar informação e utilizar correta e convenientemente essa informação, com vista a contribuir para o alcance de um propósito comum [Soares 2009].
A evolução da interoperabilidade entre sistemas pode apresentar como consequência direta uma erosão da proteção da privacidade [Waldo et al. 2007]. Apesar da importância do desenvolvimento da interoperabilidade, esta não deve ser abordada apenas como uma questão puramente técnica, considerando os riscos que podem surgir da interligação dos sistemas, que podem ter um impacto profundo sobre a privacidade e a proteção de dados [Art. 29 WP 2009]. A pressão para partilhar dados pessoais dentro e fora das organizações pode levar a problemas relacionados com a privacidade [ICO 2008], o que faz com que seja necessário o desenvolvimento de tecnologias e padrões de proteção da privacidade interorganizacionais [Moen et al. 2010]. Este desenvolvimento depende da capacidade de partilha de dados e experiências, para lá das fronteiras departamentais, organizacionais, geográficas e institucionais, fundamental ao desempenho conjunto das organizações [Gottschalk 2009b]. Os desafios de investigação em privacidade e segurança estão longe de ser resolvidos, especialmente os relacionados com a gestão dos dados, sendo necessárias soluções de apoio à definição, aplicação, monitorização e negociação de políticas interorganizacionais conjuntas. A tabela 2 permite compreender os principais desafios em relação à privacidade dos dados para o ambiente de interoperabilidade entre organizações.
14ª Conferência da Associação Portuguesa de Sistemas de Informação (CAPSI 2014) 112 x Disponibilização ao titular dos dados de ferramentas de controlo e monitorização das questões da privacidade
dos seus dados pessoais.
x Assegurar os direitos que assistem o titular dos dados.
x Assegurar nas organizações práticas de gestão da privacidade e proteção dos dados e garantir a sua conformidade com os requisitos regulamentares e da legislação em vigor.
x Analisar e gerir os riscos das várias situações normativas locais de privacidade.
x Assegurar a privacidade e a segurança dos dados quando estes são transferidos e/ou partilhados entre organizações.
x Desenvolver níveis de colaboração que ajustem as medidas de proteção da privacidade ao nível de interoperabilidade implementado.
x Promover a colaboração (interoperabilidade organizativa) por forma a integrar todos os aspetos da gestão da privacidade em todas as organizações.
x A operacionalização da privacidade através de uma rede distribuída, que inclua profissionais dedicados à gestão da privacidade.
Tabela 2 - Desafios em relação à privacidade dos dados, para os intervenientes num ambiente de interoperabilidade
Considerando a complexidade e os vários níveis de exigência da interoperabilidade interorganizacional e os riscos que coloca à privacidade dos dados, a utilização de um modelo de maturidade de suporte a este estudo, é sem dúvida uma ferramenta facilitadora à compreensão e estruturação destas questões. Neste sentido foi selecionado o modelo Organizational Interoperability Maturity Model (OIM), que contempla 5 níveis e 4 atributos para a estruturação da interoperabilidade interorganizacional. É um modelo de análise dos processos e trocas de informação entre organizações, assim como dos principais fatores (relacionados com a “atitude humana”) mais influentes sobre estes [Fewell 2004]. Não propõe explicitamente uma abordagem específica para resolver problemas de interoperabilidade, mas sim a apresentação em cada nível de orientações e requisitos essenciais para se alcançar cada um dos níveis de maturidade.
4. E
STUDO DOS FATORES COM INFLUÊNCIA SOBRE A PRIVACIDADE DOS DADOSEnquadrada no domínio científico dos sistemas de informação, a problemática da privacidade dos dados é uma realidade complexa, subjetiva e que obriga ao seu estudo em contexto real, dado que o fenómeno em estudo está mal compreendido, não existem conceitos teóricos para a sua compreensão em contextos de interoperabilidade, em que existe um interesse particular por parte das organizações em entender a dinâmica do fenómeno, e onde a compreensão do contexto de ação e as experiências individuais são relevantes. Neste sentido, a opinião, a experiência e o conhecimento dos vários atores
14ª Conferência da Associação Portuguesa de Sistemas de Informação (CAPSI 2014) 113 num fenómeno com estas características constituem a principal fonte primária de informação. Uma abordagem qualitativa e interpretativa foi desta forma a abordagem escolhida para o estudo, e dado que este pretende conhecer com detalhe um fenómeno (privacidade dos dados) em contextos de interoperabilidade (contexto real), tendo por base pressupostos teóricos a testar (com base na perspetiva dos envolvidos), decidiu-se adaptar, no domínio das ciências sociais, o método de investigação estudo de caso, neste caso, como um estudo exploratório.
O método estudo de caso não foi apenas utilizado como uma tática para a recolha de dados, nem meramente uma característica do planeamento em si, mas sim como uma estratégia de pesquisa abrangente, no suporte à globalidade do estudo. Esta abrangência foi conseguida através do desenvolvimento de um dos componentes mais importantes do método estudo de caso – o projeto de pesquisa – essencial para se estabelecer a estratégia de pesquisa mais relevante no suporte à questão de estudo, a qual deve permitir identificar e compreender “Quais os fatores críticos à privacidade de dados em ambientes heterogéneos de interoperabilidade entre sistemas sociotécnicos e como estes fatores podem ser alinhados com os vários níveis e atributos de interoperabilidade do modelo OIM?”. A estratégia desenvolvida passou por desenvolver proposições teóricas de estudo, centradas nos aspetos a serem estudados dentro da questão de estudo e que identificam onde devem ser procuradas evidências relevantes. Cada proposição representa um subdomínio, uma área de influência que é necessário estudar. Os dados a recolher vão desta forma permitir estudar e validar as seguintes proposições:
P1. “Experiência” - Num contexto de interoperabilidade, a experiência e a compreensão coletiva
das questões da interoperabilidade e da proteção e privacidade são essenciais ao planeamento conjunto de medidas transversais e eficazes para a proteção da privacidade.
P2. “Cultura de privacidade” - A implementação eficaz das soluções tecnológicas e das políticas
de privacidade está dependente do compromisso das organizações no desenvolvimento das melhores práticas de gestão da informação que respeitem a privacidade. Este contexto só é alcançável quando a privacidade constituir uma parte integrante da cultura organizacional.
P3. “Segurança e infraestruturas” - A colaboração e a interoperabilidade técnica entre as várias
soluções de segurança e infraestruturas de armazenamento de dados são essenciais ao suporte e à viabilidade das medidas adotadas nos níveis superiores de proteção e privacidade dos dados.
P4. “Linguagem de privacidade (taxonomia) ” - A existência de uma linguagem comum nos
domínios da proteção e da privacidade é essencial à definição clara e inequívoca das questões associadas à privacidade dos dados, e ao esforço comum no compromisso para a sua preservação.
14ª Conferência da Associação Portuguesa de Sistemas de Informação (CAPSI 2014) 114
P5. “Accountability - responsabilização e conformidade” – Uma atitude pró-ativa das
organizações de compromisso para com as questões da privacidade dos dados em conjunto com um programa continuado de análise de conformidade, de monitorização dos controlos de proteção e privacidade, assim como a disponibilização de provas de evidência sobre quebras detetadas, são ferramentas essenciais à proteção da privacidade num ambiente de colaboração.
P6. “Dados e manipulação de dados” - A privacidade dos dados está dependente do conhecimento
desenvolvido pelas instituições sobre os dados que utiliza e da transparência e qualidade dos processos de tratamento em todo o seu ciclo de vida num ambiente de interoperabilidade.
P7. “Estratégia para a privacidade” - Num ambiente de colaboração com outras organizações,
impõe-se a existência de estratégias individuais e a sua harmonização para a privacidade como um todo, e em particular para a proteção e privacidade dos dados.
P8. “Confiança/gestão da confiança” - É essencial à privacidade dos dados a confiança entre as
organizações participantes, como pilar fundamental à colaboração num ambiente de interoperabilidade.
P9. “Ética e Cooperação humana” - No domínio da ética, a iniciativa (atitude), confiança e
conhecimento por parte do titular dos dados do novo contexto de utilização dos seus dados pessoais, assim como a atitude face à mudança por parte dos profissionais, podem comprometer os objetivos para a colaboração, e consequentemente o sucesso das medidas para proteção da privacidade dos dados.
P10. “Estrutura organizativa” - O compromisso para com os valores e objetivos subjacentes à
colaboração sob a forma de interoperabilidade organizacional é essencial para minimizar possíveis impactos sobre a privacidade que derivam de culturas e estruturas organizativas diferentes.
A área da saúde constitui a unidade de estudo selecionada, dado o crescimento da partilha de dados entre sistemas, tanto localmente, como entre organizações, nomeadamente através do projeto Plataforma de Dados da Saúde (PDS1). Foi desenvolvido um projeto de estudo de caso único incorporado, constituído pela PDS, que contemplou sete subunidades ou unidades de análise,
nomeadamente: (1) a Unidade Local de Saúde do Norte Alentejano, Portalegre (ULSNA) - Projeto-piloto; (2) o Hospital do Espírito Santo E.P.E, Évora (HES); (3) a USF Saúde Mais, Santa Maria da Feira (USF); (4) o Hospital Professor Doutor Fernando Fonseca E.P.E., Amadora (HFF); (5) o Instituto Nacional de Emergência Médica, Lisboa (INEM); (6) os Serviços Partilhados do Ministério
1 Projeto desenvolvido e coordenado pela Comissão para a Informatização Clínica (CIC) e pelos Serviços
14ª Conferência da Associação Portuguesa de Sistemas de Informação (CAPSI 2014) 115 da Saúde E.P.E. (SPMS); (7) e um grupo de beta-tester de utentes utilizadores da PDS. Nas seis primeiras unidades de análise a recolha de dados foi realizada através da realização de entrevistas semiestruturadas e a recolha de vários documentos relacionados com a temática em estudo.
Para as entrevistas semiestruturadas, verificou-se que estas não se poderiam limitar aos responsáveis locais pelos sistemas de informação, mas deveriam abranger outros profissionais, com outras experiências na utilização de dados, e com interesse e influência sobre o desenvolvimento das questões da privacidade. Foram desta forma definidos quatro perfis distintos de colaboradores para a recolha de dados através de entrevistas semiestruturadas, nomeadamente: (1) responsáveis locais pela implementação e coordenação da PDS, (2) técnicos e responsáveis pelos sistemas de informação, (3) profissionais de saúde, e (4) gestores e administradores.
Neste artigo, serão apenas apresentados a estrutura da proposição P3. Segurança e infraestruturas, e os respetivos resultados preliminares da investigação.
5. A
INTEROPERABILIDADE NO DOMÍNIO DA SEGURANÇAA segurança é consagrada como um dos princípios da proteção de dados, através do artigo 17º da Diretiva 95/46/EC, [CE 1995], que define que os dados pessoais serão tratados de uma forma que garanta um nível de segurança adequado aos riscos inerentes ao tratamento e à natureza dos dados. Mesmo que em algumas situações a segurança seja definida como um aspeto da privacidade [Solove 2008], é consensual que a privacidade e a segurança são conceitos diferentes [Jericho Forum 2007], mas não devem ser separados uma vez que estão interligados [Wuyts et al. 2009]. Contudo, lidar com sucesso com estes dois conceitos depende do entendimento que se tenha sobre as diferenças importantes entre estes [NETHA 2009]. Assumir que uma segurança adequada de dados resolve as necessidades de privacidade pressupõe que o problema foi mal-entendido [Jericho Forum 2007]. Enquanto na segurança da informação, existem vários padrões detalhados disponíveis e reconhecidos, assim como metodologias de desenvolvimento, testes de segurança e mecanismos de auditoria, a gestão das questões da privacidade, face à falta de standards reconhecidos, depende (1) das políticas de privacidade e proteção de dados da organização (se houver); (2) da consciência e preparação dos responsáveis pelos sistemas de informação; (3) da complexidade, agenda e orçamento para o desenvolvimento dos sistemas, que pode impedir a introdução de controlos de privacidade, muitas vezes vistos como uma complexidade adicional; e (4) do ambiente regulatório em que a organização opera (por exemplo, às organizações de serviços financeiros é-lhes exigida a implementação de controlos) [ICO 2008].
A segurança e as infraestruturas são assim um fator com forte impacto sobre a privacidade dos dados, em que é necessário uma perspetiva integradora. No entanto, a segurança é um universo de
14ª Conferência da Associação Portuguesa de Sistemas de Informação (CAPSI 2014) 116 conhecimentos muito alargado, sendo preponderante, para este estudo, identificar aquilo que poderá influenciar diretamente a privacidade dos dados e dependente de uma interoperabilidade organizacional. É com este objetivo que foi formulada a proposição P3. Segurança e infraestruturas. Uma proposição contudo não constitui em si um fator crítico. Apresenta sim, vários fatores críticos. Neste sentido, o estudo e validação de cada proposição são realizados através da sua decomposição em proposições mais específicas denominadas de proposições dependentes não equivalentes tidas como padrão, também denominadas como proposições derivadas. Para cada proposição do estudo, podem existir várias proposições derivadas, podendo cada uma ser avaliada com base em dados e instrumentos diferentes. Para cada proposição derivada é previsto um padrão geral de resultados. Se a recolha de dados confirmar o padrão previsto, pode-se inferir conclusões sólidas para a proposição derivada em causa, e por influência para a proposição. Os dados ficam deste modo ligados às proposições através das proposições derivadas, tendo sido incluídas no estudo para a proposição P3. Segurança e infraestruturas, as seguintes proposições derivadas:
P3.v1. A segurança de infraestruturas locais e de comunicação, a sua interoperabilidade técnica e
não-técnica (a “normalização/padronização das melhores práticas de segurança” específicas de cada sistema são essenciais ao desenvolvimento de uma plataforma segura e de confiança), são preponderantes para camadas superiores de segurança, nomeadamente a privacidade dos dados.
P3.v2. Uma análise de risco em segurança da informação e uma análise do impacto sobre a
privacidade (PIA), que englobem todos os equipamentos e situações de recolha, armazenamento, utilização e partilha de dados, são dois instrumentos decisivos para o enquadramento e conhecimento das situações problemáticas à privacidade dos dados.
P3.v3. No domínio da segurança e infraestruturas, a identidade digital, os sistemas de gestão de
identidade, e a confiança (federação) e interoperabilidade entre estes sistemas, são um componente essencial à gestão e monitorização da confidencialidade e privacidade dos dados.
P3.v4. A segurança em cenários de exposição de dados a ambientes vulneráveis de utilização
secundária é essencial à preservação da sua privacidade. Os requisitos de privacidade dos dados nestes contextos devem cumprir com os requisitos legais e ser alinhados entre as organizações.
P3.v5. A existência de um plano de contingência para lidar com os efeitos de eventos não previstos
como a perda acidental, destruição ou deterioração de dados pessoais, e tratamentos ilegais e não autorizados, contribui para anular possíveis quebras de privacidades destes dados.
Outras questões, também relacionadas com a segurança, como a certificação, sistemas de accountability, análises de conformidade, e ciclo de vida dos dados, fazem parte deste estudo, mas optámos pela sua inclusão noutras proposições.
14ª Conferência da Associação Portuguesa de Sistemas de Informação (CAPSI 2014) 117
6. A
NÁLISE E DISCUSSÃO DE RESULTADOSA análise dos dados recolhidos, atendendo à proposição inicial e às proposições derivadas formuladas, foi realizada com base na adequação ao padrão como método de análise principal. Verificou-se uma elevada conformidade entre os resultados obtidos e aquilo que eram as proposições iniciais, não se encontrando em nenhuma proposição derivada, padrões alternativos. Neste sentido, da análise dos dados emergiram as seguintes conclusões ao nível de cada proposição derivada, que em conjunto validam a proposição P3. Segurança e infraestruturas.
P3.v1 – Para o contexto alargado de partilha de dados entre organizações, a segurança física e a
disponibilidade dos sistemas é sem dúvida a preocupação dominante, prioritária em termos de recursos. Apesar de situações pontuais de partilha de experiências a este nível entre responsáveis locais, é opinião de que é necessário uma maior colaboração e interoperabilidade que conduza a uma maior padronização de medidas e práticas de segurança. Desta forma é possível evoluir-se para a proteção de dados. O desenvolvimento de um domínio alargado de confiança depende desta colaboração, com efeitos práticos sobre a agilidade e eficiência da segurança e a rastreabilidade da utilização dos dados.
P3.v2 – O conhecimento do risco e o seu tratamento ainda se limita à segurança física das
infraestruturas e à sua disponibilidade, e apesar de reconhecida a sua importância, ainda não é prática regular nas organizações. Contudo, é reconhecida a importância de uma análise prévia do risco assim como uma evolução desta ferramenta (análise do risco) de forma a incluir a proteção e privacidade dos dados. A privacidade dos dados deve assim ser considerada como uma questão de risco. Pode constituir o ponto de partida para o desenvolvimento conjunto de um programa de proteção da privacidade dos dados.
P3.v3 – Condição essencial ao futuro da proteção de dados, tanto a nível local como em contextos
de partilha de dados entre organizações, a identidade digital está muito associada às questões técnicas de autenticação. A mobilidade de profissionais e de dados coloca grandes desafios a este nível, os quais dependem de uma maior colaboração que suporte a evolução dos sistemas de identidade digital para um sistema único, ou a uma maior confiança (através de interoperabilidade) entre estes. Esta partilha da identidade digital é necessária a uma maior segurança na partilha de dados e na disponibilização de informação que permita responsabilizar utilizadores em situações de quebras de privacidade.
P3.v4 – Os cenários de utilização secundária dos dados ainda não recebem tanta atenção como a sua
utilização primária. O conhecimento do risco associado à utilização secundária vai promover uma maior atenção por parte das organizações, no repensar de situações e contextos existentes. É necessária a definição de regras e medidas específicas para estes cenários de utilização de dados,
14ª Conferência da Associação Portuguesa de Sistemas de Informação (CAPSI 2014) 118 transversais a todas as organizações, com o objetivo principal de garantir a proteção dos dados envolvidos, principalmente dados de identificação pessoal.
P3.v5 – O desenvolvimento de planos de contingência, focados na disponibilidade dos sistemas
informáticos, é importante (desejável) que inclua os dados, de acordo com o contexto de utilização. Para a privacidade dos dados, em situações de quebras de confidencialidade e outras situações anómalas, são determinantes à minimização de possíveis impactos negativos.
7. C
ONCLUSÃOPara as organizações com um volume e intensidade crescentes de partilha de dados com outras organizações, a privacidade dos dados é uma questão importante, abordada numa fase inicial apenas com medidas puramente técnicas de segurança de âmbito local. Esta é uma atitude que pressupõe uma má preparação da organização para lidar com os requisitos necessários à proteção dos dados quando partilhados com outras organizações. Esta lacuna em relação à privacidade dos dados pode, em parte, ser melhorada se no âmbito da segurança, e com base em iniciativas de colaboração com outras organizações: (1) existir uma interoperabilidade organizacional que permita padronizar as melhores medidas de segurança, (2) para as que ainda não realizam regularmente análises do risco, ou para aquelas que o fazem, mas que estão preocupadas em relação ao âmbito dos seus processos de análise, deve ser dada orientação concreta para que estas incluam a proteção e a privacidade dos dados; (3) se desenvolver a interoperabilidade entre os sistemas de gestão da identidade, no apoio à garantia da confidencialidade dos dados; (4) se normalizar a utilização secundária dos dados; e (5) se desenvolverem planos de contingência, que para além da disponibilidade dos sistemas, possam contemplar a reposição dos dados envolvidos em situações anómalas de utilização.
R
EFERÊNCIASAR. “Lei n.o 67/98 de 26 de Outubro. Lei da Protecção de Dados Pessoais (transpõe para a ordem jurídica portuguesa a Directiva n.o 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995)”p. 5536–55461998
Art. 29 WP. “The Future of Privacy. Joint contribution to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data.
Adopted on 01 December 2009”p. 1–28. [s.l: s.n.].
http://ec.europa.eu/justice/policies/privacy/docs/ .2009
Baird, S. A. “Government Role in Developing an Interoperability Ecosystem.” ICEGOV2007, December 10-13, 2007, Macao, ed., p. 65–68, 2007.
14ª Conferência da Associação Portuguesa de Sistemas de Informação (CAPSI 2014) 119 CE. “DIRECTIVA 95/46/CE DO PARLAMENTO EUROPEU E DO CONSELHO de 24 de Outubro de 1995 relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.”Jornal Oficial das Comunidades Europeias No L 281/31, http://ec.europa.eu/justice_home/fsj/privacy/law/index_en.htm 1995 Clarke, R. “What’s ‘Privacy’?”http://www.rogerclarke.com/DV/Privacy.html. 2006
CNPD. “Parecer 18/2012.” [s.l: s.n.]. http://www.cnpd.pt .2012
Dutch, M. “A Data Protection Taxonomy”International immunologyv. 25. San Francisco, California: [s.n.]. http://snia.org/sites/default/files/A_Data_Protection_Taxonomy_V51.pdf .2010
ENISA. “Privacy , Accountability and Trust – Challenges and Opportunities.” [s.l: s.n.]. http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-
trust/library/deliverables/pat- study .2011
ENISA. “Study on data collection and storage in the EU.” [s.l: s.n.].
http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/data-collection .2012 Ernst & Young. “Privacy trends 2012. The case for growing accountability.” [s.l: s.n.].
http://www.ey.com/ .2012
Fewell, S. et al. “Evaluation of Organisational Interoperability in a Network Centric Warfare Environment”9th International Command and Control Research and Technology Symposium. Coalition Transformation: An Evolution of People, Processes and Technology to Enhance Interoperability. Topic: Coalition Interoperability. [s.l: s.n.]. 2004
Fugini, M. Mezzanzanica, M. “Development of a Security Methodology for Cooperative Information
Systems: the CooPSIS Project.” [s.l: s.n.]. http://is2.lse.ac.uk/asp/aspecis/20030054.pdf .2003 Gottschalk, P. “E-Government Interoperability: Frameworks for Aligned Development.” In:
GLOBAL, I. (Ed.). E-Government Interoperability. ed. Norwegian School of Management, Norway: IGI Global, 2009a. p. 23–33.
Gottschalk, P. “Maturity levels for interoperability in digital government.” Government Information Quarterly, ed., p. 75–81v. 26, http://linkinghub.elsevier.com/retrieve/pii/S0740624X08000683
2009b.
ICO. “Privacy by design”Meta. Information Commissioner’s Office Wycliffe House, Water Lane Wilmslow, Cheshire SK9 5AF: [s.n.]. http://www.ico.gov.uk/ .2008
14ª Conferência da Associação Portuguesa de Sistemas de Informação (CAPSI 2014) 120 Introna, L. D. “Privacy and the computer: why we need privacy in the information society.”
Metaphilosophy, ed., p. 259–275v. 28, 1997.
IPC. “The New Federated Privacy Impact Assessment (F-PIA), Building Privacy and Trust-enabled.” [s.l: s.n.]. http://www.ipc.on.ca .2009
ISO/IEC. “ISO/IEC 27000:2009(E) Information technology — Security techniques — Information security management systems — Overview and vocabulary”v. 2009ISO (International Organization for Standardization) and IEC (International Electrotechnical Commission), http://www.iso.org 2009
Jericho Forum. “Principles for Managing Data Privacy:” Position Paper. [s.l: s.n.]. http://www.opengroup.org/getinvolved/forums/jericho .2007
Jóri, A. “Data Protection.” http://www.dataprotection.eu/. 2007
Liberty Alliance. “Privacy and Security Best Practices”p. 0–31 http://www.projectliberty.org/specs/final_privacy_security_best_practices.pdf 2003
Moen, P. et al. “Safeguarding against new privacy threats in inter-enterprise collaboration environments.
Technical report, Series of Publications C, Report C-2010-56.” [s.l: s.n.].
http://www.cs.helsinki.fi/group/cinco/publications/public_pdfs/moen10safeguarding.pdf .2010 NETHA. “NEHTA’s Approach to Privacy Version 1.0”v. 77. [s.l: s.n.]. www.nehta.gov.au .2006 NETHA. “HI Service Security and Access Framework Version 1.0 – 13/11/09.” [s.l: s.n.].
www.nehta.gov.au .2009
Otjacques, B. Hitzelberger, P. Feltz, F. “Interoperability of E-Government Information Systems: Issues of Identification and Data Sharing.” Journal of Management Information Systems, ed.,
p. 29–51v. 23,
http://mesharpe.metapress.com/openurl.asp?genre=article&id=doi:10.2753/MIS0742-1222230403 , 2007.
Schneier, B. “Architecture of Privacy.” Security & Privacy, IEEE, ed., p. 88v. 7, http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=4768664&isnumber=4768640 , 2009.
Soares, D. “Interoperabilidade entre Sistemas de Informação na Administração Pública.” [s.l.] Universidade do Minho, 2009.2009
14ª Conferência da Associação Portuguesa de Sistemas de Informação (CAPSI 2014) 121 Solove, D. “Understanding Privacy. The George Washington University Law School; Public Law And Legal Theory Working Paper No. 420; Legal Studies Research Paper No. 420:” LEGAL STUDIES RESEARCH PAPER NO. 420. [s.l: s.n.]. 2008
Tavani, H. T. “Philosophical Theories of Privacy: Implications for an Adequate Online Privacy Policy.”
Metaphilosophy, ed., p. 1–22v. 38, http://doi.wiley.com/10.1111/j.1467-9973.2006.00474.x , 2007. Vernadat, F. B. “Technical, semantic and organizational issues of enterprise interoperability and networking.” Annual Reviews in Control, ed., p. 139–144v. 34, http://linkinghub.elsevier.com/retrieve/pii/S1367578810000155 , 2010.
Waldo, J. Lin, H. S. Millett, L. I. “Engaging Privacy and Information Technology in a Digital Age: Executive Summary.” Journal of Privacy and Confidentiality, ed., p. 5–18v. 2, http://repository.cmu.edu/jpc/vol2/iss1/ , 2007.
Winters, L. S. Gorman, M. M. Tolk, A. “Next Generation Data Interoperability: It ’ s all About the Metadata.” Fall Simulation Interoperability Workshop. 2006
Wuyts, K. et al. “Linking Privacy Solutions to Developer Goals.” 2009 International Conference on Availability, Reliability and Security, ed., p. 847–852, http://ieeexplore.ieee.org/lpdocs/epic03/wrapper.htm?arnumber=5066575 , 2009.
