Ir para Conteúdo

Tratamento de dados na zona .PT

Parecer Técnico – RGPD e zona .PT

O presente Parecer é parte integrante da Política de Partilha de Zona do site www.dns.pt.

Enquadramento:

Com o presente documento visa-se fazer uma análise sobre se o conteúdo da zona .PT que é transferido regularmente para fora dos limites da União Europeia, inclui dados considerados dados pessoais à luz do RGPD. Verificando-se esta premissa deverão ser tomadas as medidas que se entendam por aplicáveis em função do que resulta deste diploma, assim como da restante legislação aplicável em matéria de privacidade e proteção de dados pessoais.

Análise:

A zona .PT é o ficheiro que é gerado periodicamente e que, na prática, é o produto do trabalho do DNS.PT. Este ficheiro contém as delegações que existem para os domínios .PT e faz a introdução destas delegações no sistema de DNS mundial. Veja se abaixo um exemplo do conteúdo para o domínio dns.pt.
Fig. 1

Para a inserção destes dados no sistema de DNS mundial este ficheiro é carregado em servidores de DNS, sendo que por, questões de redundância, existe um conjunto de 9 servidores registados na zona raiz, sendo que depois estes 9 servidores se multiplicam estando a zona .PT atualmente presente em mais de 150 localizações, muitas delas fora dos limites da União Europeia.

O ficheiro de zona contém vários tipos de records de DNS, destacando-se os records do tipo NS e do tipo A e AAAA. Os records do tipo de NS são delegações dos domínios .pt em outros servidores e são constituídos apenas por nomes de domínios sendo que os records do tipo A ou AAAA são os chamados glues records e são constituídos por um nome de domínio e um IP da versão 4 ou da versão 6. Existem mais tipos de records na zona PT, mas estes são resultado da assinatura DNSSEC da zona e não têm relevância para este propósito.

Relativamente aos nomes de domínios existentes no ficheiro de zona, foi entendimento sufragado internamente não serem estes considerados dados pessoais. Desta forma, a sua transferência para fora da União Europeia não necessita de particular diligência adicional.

Relativamente aos endereços IP’s, o RGPD prevê expressamente que, passamos a reproduzir:

"As pessoas singulares podem ser associadas a identificadores por via eletrónica, fornecidos pelos respetivos aparelhos, aplicações, ferramentas e protocolos, tais como endereços IP (protocolo internet)...”.

Desta forma é necessário esclarecer se os IP’s existentes na zona .PT são ou não dados pessoais, ou seja, permitem identificar uma pessoa singular a partir deles.

Os IP’s são os endereços que os dispositivos utilizam para comunicar na Internet, sendo que a típica comunicação na Internet envolve dois atores: um cliente e um servidor. No cenário descrito anteriormente o servidor é sempre uma máquina e o cliente pode ser uma máquina, em comunicações máquina-máquina, ou um humano noutros casos. É importante definir que quando o interlocutor é uma máquina esta, tipicamente, pertence a uma organização e não a uma pessoa singular. Isto significa que nestes cenários o IP identifica uma organização e não uma pessoa singular.

Podemos exemplificar esta comunicação com o exemplo do acesso ao site www.dns.pt por parte de um cliente. Atualmente o endereço IPv4 deste site é o185.39.208.69 e o endereço IPv6 é o 2a04:6d80:0:1::5, assim quando um cliente pretende aceder a este site a partir de um qualquer dispositivo, existe uma troca de pacotes entre o dispositivo do cliente e o servidor em que estão sempre presentes os IP’s de ambos os intervenientes. Nesta troca de comunicação os IP’s envolvidos podem identificar o cliente e o servidor, mas o IP do servidor identifica uma pessoa coletiva e não uma pessoa singular já que não se pode fazer uma associação direta entre o IP do site e uma pessoa singular especifica. Isto porque o site identifica uma pessoa coletiva.

Foquemo-nos agora nos sistemas de DNS. A maioria das comunicações DNS são do tipo máquina-máquina e os sistemas que o DNS.PT opera são servidores de nomes e desta forma o seu IP identifica a organização e não um elemento específico da equipa, ou seja, uma pessoa em concreto. Os sistemas que comunicam com os servidores do DNS.PT são também na sua maioria servidores e, portanto, identificam organizações e não pessoas singulares.

Resta então os IP’s que estão no conteúdo da zona .PT. Estes IP’s são designados pelos administradores dos domínios e apontam para os servidores de nomes do domínio em causa e tal como explicado anteriormente servem acima de tudo para comunicações máquina-máquina. Desta forma, e tratando-se de servidores, estes sistemas identificam organizações e não pessoas singulares. Acresce o facto de na maioria das vezes estes servidores estarem associados a vários domínios ou sites.

Neste momento a zona .PT tem menos de 3000 endereços IP’s e a maior parte destes estão associados a domínios titulados por pessoas coletivas.

Conclusão:

Face ao exposto, é nosso entendimento que a zona .PT não inclui dados considerados pessoais na aceção do RGPD. Nesse pressuposto, e no que à transmissão para fora da União Europeia respeita, entende-se que devem ser mantidas as diligências e condições técnicas, designadamente ao nível do cumprimento de normas e padrões de segurança, adotadas até à data, não sendo necessário no imediato implementar requisitos adicionais.


Lisboa, 8 de maio de 2018
Direção Técnica .PT