segunda-feira, 30 de outubro de 2006

C.U.C. - Parecer da CNPD

A Comissão Nacional de Protecção de Dados pronunciou-se sobre cartão do cidadão (parecer Nº 37/ 2006).
O parecer é interessantíssimo, e pode (deve) ser lido aqui.
Temos vindo a acompanhar, v.g aqui, aqui e aqui, com preocupação este tema. Pelos vistos com razão.
Dado o seu interesse, transcrevemos infra algumas passagens desse impoirtante parecer:

«...No que toca à Exposição de Motivos, a CNPD faz os comentários seguintes:
i) Os níveis de segurança da identificação civil dependem muito mais das características do sistema de informação, das regras de manuseamento desse sistema e de utilização da informação e das práticas operacionais efectivamente adoptadas, do que da concentração da informação (que, por si só, aumenta os riscos de insegurança da identificação civil e agrava as consequências para os cidadãos), do tipo de suporte documental do cartão e da tecnologia adoptada.
ii) A conformidade dos patamares de segurança com os parâmetros de segurança proclamados em qualquer instrumento não garante a segurança da informação. (...)
A segurança da informação nos passaportes e documentos de viagem com circuitos integrados de informação (“chips”) e dados biométricos tem levantado sérias preocupações quanto à fiabilidade, inviolabilidade, risco de falsificação e de contrafacção.
(...) De qualquer modo, a segurança da informação depende, além das regras proclamadas em instrumentos normativos e regulamentares, do acompanhamento pontual da evolução tecnológica, da antecipação e perseguição das técnicas utilizadas pelos agentes de “ataques informáticos”, das regras de operacionalidade, da observância de boas práticas e da efectiva fiscalização.
(...)
...frequentemente o receptor da cópia do cartão do cidadão fica com a posse de mais dados pessoais de identificação do que aqueles que necessita para os seus propósitos. Nestes casos, não deixa de verificar-se que esse receptor dispõe de uma porta de acesso a dados pessoais que não se mostram pertinentes, nem necessários, mostrando-se, aliás, excessivos (ao contrário do disposto na alínea c) do nº 1 do artigo 5º da LPD), potenciando o risco de utilização abusiva.
(...)
Para a CNPD, o “template” da impressão digital, convertível num código cujo método de produção é exclusivo da Base de Dados de Identificação Civil, vigorando, portanto, para todo o país para todos os cidadãos e diferindo de todos os outros métodos de produção de “templates” relativos a dados biométricos, pode funcionar como verdadeiro número único – exclusivo e imutável – de identificação e de acesso à informação existente sobre determinado cidadão.
(...)
...a CNPD adverte para o facto de a concentração da informação acarretar, só por si, riscos para a segurança da informação, para a privacidade e protecção de dados pessoais e para outros direitos dos cidadãos. Basta pensar, como mero exemplo, que a apropriação e utilização do cartão, ou a sua clonagem, significam a usurpação global da identidade dos cidadãos. Este risco é tão mais imediato quanto se crê, no que à tecnologia diz respeito, que com o decurso do tempo tudo é possível conhecer, interferir e recriar.
De qualquer modo, esclarece-se que parece à CNPD que os serviços e organismos sectoriais têm de ter informação recíproca de identificação dos cidadãos, até para poderem confirmar a identidade dos requerentes. A verificação da identidade dos cidadãos por parte dos diversos serviços sectoriais através dos números de identificação civil e dos demais serviços confere maior garantia de certeza e fiabilidade da informação sobre o requerente, mas traz também menores garantias de não concentração (unicidade) do cartão.
Importa, igualmente, à CNPD alertar que os quatro números de identificação existentes no cartão – o número de identificação civil, o número de identificação fiscal, o número de utente dos serviços de saúde e o número de identificação da Segurança Social – todos seguidos e justapostos pode funcionar como um verdadeiro número único (composto por códigos numéricos significativos, imutáveis e exclusivos) quer de identificação nacional do cidadão, quer de chave de acesso à totalidade da informação que permite “compor uma imagem completa da pessoa”.
(...)
A CNPD recomenda, então, que fique consignado que, a DGRN, no que toca aos requisitos técnicos, à segurança da informação, à definição dos procedimentos de controlo e fiscalização e à credenciação dos funcionários e agentes, recorra aos melhores conhecimentos técnicos e científicos disponíveis, por consulta “cega” à comunidade académica e científica.
(...)
A CNPD reproduz, sobre o “template” da imagem facial, caso venha a ser criado, o que atrás disse sobre os “templates” da impressão digital. Mais ainda, a CNPD informa que, no seu entendimento, a melhor tecnologia disponível sobre a recolha da imagem facial e a sua transformação em “template”, com aptidão para reconhecimento e verificação com exactidão, ainda se encontra longe de satisfazer padrões aceitáveis de fiabilidade.
...»

Sem comentários: