MASTER CLASS. Revisão do Pacote Regulamentar das Comunicações Electrónicas ( Revisão 2006 )

Transcrição

1 MASTER CLASS Revisão do Pacote Regulamentar das Comunicações Electrónicas ( Revisão 2006 ) eprivacidade: A Directiva eprivacy o novo regime dos data breaches e o impacto económico e legal das novas obrigações de retenção de dados impostas aos operadores

2 Enquadramento ÍNDICE Notificação de Data Breaches Obrigação de notificação Data breach Impacto nos operadores Retenção de dados Obrigações Impacto económico e legal Outras novidades da Directiva eprivacy 2

3 ENQUADRAMENT O Aprovação da Directiva Retenção CE adopta proposta de Directiva eprivacy Data limite transposição da Directiva eprivacy Data limite transposição da Directiva Retenção (sem extensão) Aprovação da Lei 32/2008 Entrada em vigor da Lei 32/2008 Aprovação da Portaria 469/2009 Aprovação da Directiva eprivacy

4 NOTIFICAÇÃO DE Quantas empresas não perderam já laptops que contêm dados? Quantas empresas têm políticas de controlo apertadas quanto à comunicação, interna e externa, de dados? Quantas empresas fazem testes regulares para aferir da segurança dos seus sistemas de informação? Quantas empresas auditam a actividade dos seus outsourcers quanto às medidas de protecção dos dados? Quantas empresas têm uma política de data breach? 4

5 NOTIFICAÇÃO DE PONTO DE VIRAGEM NO SECTOR DAS TELECOMUNICA ÇÕES 5

6 Notificação de data breaches NOTIFICAÇÃO DE Consagração da obrigação de notificação imediata, pelos operadores, da ocorrência de data breaches (violações de segurança) Esta obrigação vai implicar necessariamente uma alteração profunda na forma como os operadores encaram as matérias da privacidade e protecção de dados Alguns EMs adiantaram-se e já aprovaram leis que impõem a notificação de data breaches (Alemanha). Noutros casos (UK), constitui uma boa conduta a notificação da ocorrência destas violações, ainda que não exista uma obrigação legal 6

7 NOTIFICAÇÃO DE O que é considerado um data breach? 7

8 violação da segurança, que provoque de modo acidental ou ilegal destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais tratados no contexto da prestação de serviços de comunicações electrónicas acessíveis ao público na Comunidade 8

9 NOTIFICAÇÃO DE Violação de segurança Devem ser notificadas todas e quaisquer violações, desde que provoquem a destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais Não foi adoptada a proposta do Conselho, segundo a qual apenas seriam notificadas as violações graves (tal como a actual recomendação da ICO) 9

10 NOTIFICAÇÃO DE Modo acidental ou ilegal Não é necessário demonstrar que existiu dolo na violação Negligência leve Qualquer violação de segurança, ainda que provocada acidentalmente, deverá ser notificada 10

11 NOTIFICAÇÃO DE Destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais Formulação muito genérica, pelo que inclui diferentes formas de violação: Acesso não autorizado Perda/divulgação de dados, ainda que não tenha sido demonstrada a existência de acesso não autorizado Roubo de identidade Corrupção de dados 11

12 NOTIFICAÇÃO DE Dados tratados no contexto da prestação de serviços de comunicações electrónicas acessíveis ao público Âmbito de aplicação limitado Não adopção da proposta da EDPS de incluir prestadores de serviços da sociedade da informação (bancos on-line, prestadores de cuidados de saúde on-line) no âmbito da obrigação de notificar violações de segurança Efeito dominó: possibilidade de extensão a todos os sectores da economia (Considerando 59) 12

13 Destinatários das notificações NOTIFICAÇÃO DE Autoridade nacional competente (no nosso caso será o ICP-ANACOM e a CNPD) Assinantes/pessoas afectadas (no caso em que a violação de dados pessoais possa afectar negativamente a protecção dos dados pessoais e a privacidade) Extensão da obrigação de notificação às pessoas afectadas 13

14 Notificação de data breaches ao assinante/ pessoa afectada NOTIFICAÇÃO DE Como determinar se existe risco da violação afectar negativamente a privacidade? Grupo do Artigo 29: O risco deve ser avaliado tendo em conta elementos como a (i) quantidade de dados afectados pela violação, (ii) a sua natureza, (iii) o impacto da violação para uma pessoa Os operadores fazem esta avaliação 14

15 NOTIFICAÇÃO DE De acordo com a Directiva, considera-se que uma violação afecta negativamente os dados ou a privacidade do assinante ou indivíduo sempre que possa resultar, por exemplo, em: Roubo ou usurpação de identidade Danos físicos Humilhações ou danos significativos à reputação no contexto do fornecimento de serviços de comunicações acessíveis ao público 15

16 NOTIFICAÇÃO DE Mas as Autoridades Nacionais podem exigir a notificação, sempre que considerem que a violação de segurança pode acarretar efeitos adversos prováveis As Autoridades Nacionais podem decidir não exigir a notificação quando considerem que o prestador provou ter adoptado as medidas tecnológicas de protecção adequadas e que tais medidas foram aplicadas aos dados a que diz respeito essa notificação Isenções de Notificação 16

17 Data Breach NOTIFICAÇÃO DE Notificação ICP- ANACOM e CNPD Impacto negativo nos assinantes/ pessoas afectadas? Sim Não Notificação aos assinantes/pessoas afectadas Autoridades concordam Autoridades não concordam Não notificação aos assinantes/pessoa s afectadas Adopção de medidas tecnológicas Notificação 17

18 Conteúdo mínimo da notificação aos assinantes/pessoas afectadas NOTIFICAÇÃO DE Natureza da violação de dados pessoais Pontos de contacto onde podem ser obtidas informações Recomendação de medidas destinadas a limitar eventuais efeitos adversos da violação 18

19 Conteúdo mínimo da notificação à autoridade nacional competente NOTIFICAÇÃO DE Natureza da violação de dados pessoais Pontos de contacto onde podem ser obtidas informações Recomendação de medidas destinadas a limitar eventuais efeitos adversos da violação Consequências da violação de dados pessoais Medidas propostas ou tomadas pelo prestador para fazer face à violação 19

20 Registo NOTIFICAÇÃO DE Os operadores devem manter um registo das violações de dados pessoais com as seguintes indicações: Factos subjacentes à violação Efeitos Medidas de reparação tomadas Não foi adoptada a proposta do PE segundo o qual os registos deveriam ser sempre tornados públicos cadastros de data breaches 20

21 Sanções NOTIFICAÇÃO DE A Directiva prevê que as autoridades nacionais possam auditar o cumprimento da obrigação de notificação pelos operadores e aplicar sanções em caso de não cumprimento desta obrigação Não é especificado o tipo de sanções Grupo do Artigo 29 defendeu a aplicação de sanções pecuniárias pesadas 21

22 NOTIFICAÇÃO DE Estas sanções aplicam-se sem prejuízo das sanções já previstas na lei de protecção de dados pessoais Se, a par da não notificação do data breach, a violação tiver ocorrido por violação de disposições da lei (desde logo as medidas de segurança), a CNPD poderá aplicar coimas ou sanções acessórias Mas as consequências do data breach não se resumem às sanções 22

23 NOTIFICAÇÃO DE Data breaches não se enquadram apenas na categoria de riscos jurídicos Gestão de risco Risco jurídico Risco de negócio Risco reputacional Risco financeiro Risco operacional 23

24 NOTIFICAÇÃO DE Estes impactos explicam as medidas drásticas adoptadas pela Deutsche Telekom, na sequência de dois escândalos recentes que afectaram fortemente a reputação do operador Extravio de dados relativos a 17 milhões de clientes Acesso ilegítimo a dados de tráfego de colaboradores da empresa Privacidade no topo das prioridades 24

25 Obrigação de retenção de dados RETENÇÃO DE DADOS Obrigação de conservação e transmissão dos dados de tráfego e de localização, bem como dos dados conexos para identificar o assinante ou o utilizador registado, gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações Para fins de investigação, detecção e repressão de crimes graves 25

26 RETENÇÃO DE DADOS Dados de tráfego e de localização Dados conexos para identificar o assinante ou o utilizador registado gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações 26

27 RETENÇÃO DE DADOS Os operadores devem conservar os dados 1 ano a contar da data da conclusão da comunicação São conservados Dados telefónicos e da Internet relativos a chamadas telefónicas falhadas quando sejam gerados ou tratados e armazenados pelos operadores, no contexto de oferta de serviços de comunicações Não são conservados Dados relativos a chamadas não estabelecidas Dados que relevem o conteúdo das comunicações (excepto nos casos na Lei 41/2004 e Código do Processo Penal intercepção e gravação de chamadas) 27

28 Categorias de dados a conservar RETENÇÃO DE DADOS Fonte de uma comunicação Destinatário de uma comunicação Data, hora e duração de uma comunicação Tipo de comunicação Equipamento de telecomunicações dos utilizadores Localização do equipamento de comunicação móvel 28

29 RETENÇÃO DE DADOS Separação de ficheiros Ficheiro com pacote de dados para efeitos da Lei 32/2008 Os dados (excepto o nome e endereço dos assinantes) devem ficar bloqueados, só sendo desbloqueados em caso de transmissão às entidades competentes Ficheiro com pacote de dados para outros fins 29

30 Impacto da obrigação de retenção RETENÇÃO DE DADOS Aprovação e implementação da obrigação de retenção envolta em grande contestação dos operadores Elevados custos de implementação dos cidadãos Intromissão na vida privada e violação da privacidade 30

31 Impacto nos operadores RETENÇÃO DE DADOS Obrigação de retenção como potenciador de distorções do mercado Desde logo entre EMs, face aos diferentes requisitos técnicos e diferentes regimes de reembolso de custos 31

32 RETENÇÃO DE DADOS Não previsão do reembolso dos custos pelo Estado (apesar de previsto na versão original da Directiva e ter sido defendido por várias entidades, incluindo a CE e o Grupo do Artigo 29) Não obstante, alguns EMs previram nas leis nacionais o reembolso dos custos Lei 32/2008 não prevê o reembolso dos custos dos operadores 32

33 RETENÇÃO DE DADOS Aumento dos custos dos operadores Necessidade de investimento Complexidade na gestão dos ficheiros Necessidade de adopção de políticas internas claras de conservação, transmissão e destruição de dados 33

34 Impacto nos cidadãos RETENÇÃO DE DADOS Risco de intromissão na vida privada Na Alemanha, a lei da retenção de dados foi declarada inconstitucional: não garante um uso restritivo dos dados de tráfego por parte das autoridades permite uma intromissão na vida privada o armazenamento indiscriminado de dados põe em causa os direitos fundamentais dos cidadãos Dados serão imediatamente apagados Pedidos dos operadores de compensação pelos gastos incorridos contra o Estado 34

35 Outras novidades da Directiva OUTRAS NOVIDADES DA DIRECTIVA E- PRIVACY Cookies Inclusão explícita do RFID Combate contra o spam 35

36 Cookies OUTRAS NOVIDADES DA DIRECTIVA E- PRIVACY Os utilizadores passarão a ter de dar o seu consentimento prévio ao uso de cookies Excepção: situações em que o armazenamento técnico ou o acesso seja estrita e tecnicamente necessário para o objectivo legítimo de permitir a utilização de um serviço especificamente solicitado pelo assinante ou utilizador (v.g. session cookies) Margem ao legislador nacional para fixar a forma de obter consentimento Opt-in? Opt-out? Browser settings? 36

37 OUTRAS NOVIDADES DA DIRECTIVA E- PRIVACY Considerando 66: o consentimento pode ser demonstrado através do uso dos parâmetros adequados do programa de navegação ou de outra aplicação EMs defendem que é possível obter o consentimento através das settings do browser Grupo do Artigo 29 opôs-se veementemente a esta interpretação Seja qual for a interpretação que o nosso legislador irá fazer, esta medida terá um forte impacto, em especial ao nível da publicidade on-line, que utiliza os cookies para determinar as preferências dos utilizadores e ajustar a publicidade aos seus gostos 37

38 OUTRAS NOVIDADES DA DIRECTIVA E- PRIVACY RFID Clarificação que algumas aplicações RFID são abrangidas pelo âmbito da Directiva ( dispositivos de recolha de dados e de identificação ) Spam Associações de consumidores e ISPs passam a poder intentar acções judiciais contra spammers 38

39 MUITO OBRIGADA! AGRADECIMENT O