Os princípios orientadores das Nações Unidas sobre as Empresas e Direitos Humanos permitem abordar a Cibersegurança como um Direito Humano, cujas empresas, no respeito daqueles direitos, devem atender ao princípio da due diligence. O setor privado, que opera as infraestruturas críticas e presta serviços essenciais e digitais, deve, ainda, estar consciente da importância daqueles direitos para a economia e bem-estar social.
Em 19.09.2017, num discurso perante a Assembleia Geral da Nações Unidas, o Secretário-Geral – António Guterres – alertava para os perigos das ciberameaças e o seu impacto na sociedade e Estados.
Tal é particularmente visível quando os ciberataques têm como alvo as infraestruturas críticas, serviços essenciais e digitais que, por serem vitais para a economia e bem-estar social, comprometem o funcionamento da Sociedade e do Estado. Com efeito, numa sociedade em que estes setores têm as suas infraestruturas “alojadas” e/ou prestam os seus serviços no e para além do ciberespaço, percebe-se a vulnerabilidade e uma maior exposição aos riscos, se for descurada a Cibersegurança.
Para melhor percetibilidade, atendamos aos incidentes ocorridos em 2007, na Estónia, e ao que se está a passar, na atualidade, no conflito armado entre a Rússia e a Ucrânia.
Assim, no período compreendido entre 27.04.2007 a 18.05.2007, a Estónia foi objeto de ciberataques massivos que tiveram como alvo a banca, media, prestadores de serviços de acesso à Internet (ISP´s), instituições governamentais e autoridades policiais[1]. Quanto ao conflito entre a Rússia e a Ucrânia, conforme o Relatório Fridbertsson[2], a Rússia tem privilegiado os ciberataques aos sites governamentais e infraestruturas críticas ucranianas, principalmente, as redes ferroviárias. No que diz respeito à Ucrânia, para além das redes ferroviárias, os ciberataques têm incidido sobre a rede elétrica russa (infraestrutura crítica), com o objetivo de impedir o reaprovisionamento das forças russas, na frente de combate, e a obtenção de armas.
Considerando estes exemplos, percebem-se os impactos negativos quando ocorrem perdas de funcionalidade e/ou danos naquelas infraestruturas e serviços. Devido à sua essencialidade, Sociedade e Estado ficam total ou parcialmente disfuncionais, até à sua integral reposição.
O setor privado desempenha, naturalmente, um importante papel por operacionalizar aquelas infraestruturas e prestar aqueles serviços. Importa, assim, conhecer o principal quadro legal português, influenciado pela legislação da UE, para, em momento posterior, falar sobre a Cibersegurança e elencar alguns desafios colocados às empresas.
De acordo com o Relatório de 2022, apresentado pela ENISA[3], as ciberameaças, com mais popularidade e impacto, são o Ransomware, Malware, Social Engineering; comprometimento de dados, Denial of Services e o acesso à Internet.
Para garantir a Cibersegurança, é, por isso, fundamental que os operadores e os prestadores mencionados saibam, por um lado, mitigar e gerir os riscos no ciberespaço e, por outro lado, notificar as entidades competentes dos incidentes com impacto relevante na continuidade dos serviços essenciais por si prestados para, assim, atenuar as repercussões negativas para o funcionamento da sociedade e do Estado.
Ciente desta realidade, a UE aprovou, em 2016, a Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 06 de julho, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação, em toda a UE (Diretiva SRI). Em 2020, a Comissão dá a conhecer a estratégia da UE para a União da segurança na sua comunicação de 24 de julho, C0M (2020) 605 final, que, aos poucos, tem vindo a ser implementada.
No que respeita a Portugal, aquela Diretiva foi transposta pela Lei n.º 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço devendo, ainda, conformar-se com a Estratégia Nacional de Segurança do Ciberespaço 2019-2023 (ENSC), aprovada pela Resolução do Conselho de Ministros (RCM) n.º 108/2019, de 5 de junho, e que, decerto, será objeto de alterações futuras por estarmos no último ano do limite temporal nela prevista.
Na RCM, define-se a Cibersegurança como um conjunto de “medidas e ações de prevenção, monitorização, deteção, reação, análise e correção que visam manter o estado de segurança desejado e garantir a confidencialidade, integridade, disponibilidade e não repúdio da informação, das redes e sistemas de informação no ciberespaço, e das pessoas que nele interagem”.
Por sua vez, a Diretiva SRI identifica como operadores de serviços essenciais a energia, os transportes, o setor bancário, as infraestruturas do mercado financeiro, a saúde, o fornecimento e a distribuição de água potável e as infraestruturas digitais (Anexo II). Quanto aos prestadores de serviços digitais, elencam-se os serviços de computação em nuvem, os serviços de mercado em linha e os serviços de motor de pesquisa em linha.
A COVID 19 e o conflito entre a Rússia e a Ucrânia acentuaram a dependência da Internet, desnudando, ainda, as vulnerabilidades resultantes das ciberameaças, cuja solução passa por uma aposta numa cultura para a Cibersegurança. Quanto aos Direitos Humanos, existe consenso, na academia, para abrangerem as novas tecnologias e o ciberespaço. Contudo, as dúvidas colocam-se quanto aos direitos que hão de integrar aquele acervo. Por essa razão, existem divergências em enquadrar o acesso à Internet e a Cibersegurança, no catálogo dos Direitos Humanos.
Para a doutrina, mais cética, como a de Vinton Gray Cerf, pai da Internet, esta é vista como um meio através do qual os direitos podem ser exercidos. Já a ONU perceciona-a como uma infraestrutura fundamental, por semelhança com o que sucede com as estradas e a água, em que a sua má utilização pode comprometer importantes Direitos Humanos como a liberdade de expressão, informação e privacidade.
Quanto à Cibersegurança, alguma doutrina tem-na reconduzido mais à esfera da segurança interna e internacional (Ciberdefesa), dando-se, por isso, pouca atenção à vertente dos Direitos Humanos.
Em Portugal, o tratamento deste assunto tem-se pautado, em parte, pela celeuma que gravita em torno da Carta Portuguesa de Direitos Humanos na era digital, aprovada pela Lei n.º 27/2021, de 17 de maio. Nela vêm consagrados importantes direitos relacionados com esta matéria, concretamente, artigos 3.º (Direito de acesso ao ambiente digital); 5.º (garantia de acesso e uso) e 15.º (Direito à Cibersegurança).
Contudo, a Carta não tem recebido a melhor aceitação pela doutrina e algumas entidades administrativas, tais como a Autoridade Nacional de Comunicações, o Conselho Superior do Ministério Público, a Comissão Nacional da Proteção de Dados e a Entidade Reguladora para a Comunicação Social.
Entre os diferentes argumentos apresentados, decidimos destacar o da redundância, o da contradição e o do comprometimento da liberdade de expressão. Segundo o primeiro, a Carta não acrescenta nada de novo pelo facto de os direitos previstos já se encontrarem consagrados constitucionalmente (direitos fundamentais), em Direitos Humanos reconhecidos internacionalmente e na própria UE, contribuindo, antes, para a insegurança jurídica. O da contradição por, em diversos pontos, colidir com o Direito da UE e com a jurisprudência do Tribunal de Justiça da UE. Por último, o do comprometimento da liberdade de expressão, por aumentar a intervenção estadual numa matéria em que não é desejável assim suceder, conforme o artigo 19.º da DUDH e o artigo 10.º da Convenção Europeia dos Direitos Humanos[4].
Independentemente da posição adotada, que é complexa, não podem existir dúvidas de que as empresas que operam neste setor têm de respeitar os Direitos Humanos e, por sua vez, os Estados devem garantir os respetivos cumprimento e responsabilização em caso de violação.
Alguma doutrina, como Scott J. Shackelford, socorrendo-se dos princípios orientadores das Nações Unidas sobre as Empresas e Direitos Humanos, vê na Cibersegurança um Direito Humano, que deve ser operacionalizada através da Responsabilidade Social Empresarial e com due diligence[5]. De acordo com este princípio, as empresas devem identificar, prevenir, mitigar e demonstrar como são abordados os eventuais impactos negativos nos Direitos Humanos, da sua atividade empresarial.
Parece-nos, com efeito, um início de caminho, por várias ordens de razões. Contudo, a mais importante prende-se com os efeitos dos ciberataques nas infraestruturas críticas, serviços essenciais e digitais, por comprometerem o funcionamento da sociedade e o Estado. Quem deseja ficar, por exemplo, ainda que temporariamente, sem serviços de saúde, de energia, de água e de acesso à Internet? Por se tratarem, ainda, de serviços vitais para a Sociedade, anteriormente prestados, na sua maioria, pelo Estado, as obrigações decorrentes para as empresas são, também, mais exigentes. Elas vão para além do mero respeito pelos Direitos Humanos, passando, por isso, a abranger a própria concretização daqueles Direitos devido às particularidades da própria atividade empresarial despendida.
A própria natureza a-territorial, ubíqua e anónima do ciberespaço requer, ainda, cautelas acrescidas para as empresas. Isto porque, uma vez perpetrado um ciberataque, a sua disseminação pelas redes e pelos sistemas de informação pode ser difícil de conter. Por fim, não podem ser descurados os diferentes prejuízos em que podem incorrer as empresas, tais como os danos nos sistemas e/ou a sua interrupção temporária e que impedem cumprimento das obrigações junto aos Clientes e terceiros; as perdas de informação; os danos de imagem (reputação); e, no caso do ransomware, o pagamento do resgate usualmente por criptomoedas[6].
[1] Ottis, Rian, Analysis of the 2007 Cyber Attacks Against Estonia from the Information Warfare Perspective, Cooperative Cyber Defence Centre of Excellence, sem data, Tallin https://ccdcoe.org/uploads/2018/10/Ottis2008_AnalysisOf2007FromTheInformationWarfarePerspective.pdf, acedido em 13.01.2022.
[2] Relatório apresentado pelo Relator Njall Trausti Fridbertsson à Assembleia Parlamentar da NATO, intitulado por Technological Innovation for Future Warfare, 025 STCTTS 22 E ver.1 fin, novembro de 2022, NATO.
[3] ENISA é a Agência Europeia da UE para a Cibersegurança e o Relatório é o ENISA Threat Landscape 2022, novembro 2022, ENISA.
[4] Para maiores desenvolvimentos, Alexandrino, José Melo, Dez breves apontamentos sobre a Carta Portuguesa de Direitos Humanos na Era Digital, 2021, Instituto de Ciências Jurídico Políticas e Centro de Investigação de Direito Público da Faculdade de Direito de Lisboa.
[5] Shackelford, Scott J., Should Cybersecurity Be a Human Right? Exploring the ‘Shared Responsibility’ of Cyber Peace (July 19, 2017). Stanford Journal of International Law No. 2019, Kelley School of Business Research Paper No. 17-55, disponível em SSRN: https://ssrn.com/abstract=3005062 or http://dx.doi.org/10.2139/ssrn.3005062, acedido em 13.01.2022.
[6] CNCS, Relatório Cibersegurança em Portugal, Economia, maio 2022, CNCS.