PLANO DE ATIVIDADES CNPD

Transcrição

1 PLANO DE ATIVIDADES CNPD 2016

2 2 Introdução A Comissão Nacional de Protecção de Dados (CNPD) tem vindo a debater-se nos últimos anos com uma crescente quebra nos recursos humanos. A insuficiência de trabalhadores, sobretudo especializados, é de tal ordem que condiciona radicalmente o plano de atividades para o ano de 2016, justificando que esse seja o primeiro aspeto a destacar nestas palavras introdutórias. A evidente incapacidade do regime de mobilidade para oferecer trabalhadores em número e com as qualificações especificamente reclamadas para o cumprimento da missão da CNPD obriga à recondução da sua atividade a um conjunto de medidas limitadas, por comparação com o que seria necessário a uma plena e adequada tutela dos direitos fundamentais dos cidadãos e à cabal função de orientação atempada das empresas e dos organismos que realizam tratamentos de dados pessoais. O quadro descrito, para além de outros condicionalismos, implicou que certas iniciativas e ações pensadas para o ano de 2015 tenham ficado por concretizar. Se algumas delas, pela sua importância imediata, vão ser agora executas, outras ficam adiadas para uma fase em que a Comissão se veja finalmente dotada dos meios adequados ao cumprimento pleno das suas atribuições. Assim, a CNPD apresenta para o ano de 2016 um plano centrado na proteção dos direitos dos cidadãos, a concretizar em parte por via da fiscalização de atividades e de organismos que maior impacto têm tido na privacidade, em parte por meio do acompanhamento e estudo de matérias que, pela sua novidade ou complexidade, reclamam a definição e divulgação de orientações claras para os cidadãos, empresas e organismos públicos. Ao mesmo tempo, prossegue-se o esforço de agilização e automatização dos procedimentos de decisão autorizativos e mantém-se a prioridade na emissão de pareceres sobre projetos normativos relativos ao tratamento de dados pessoais, como meio de alertar atempadamente para eventuais lacunas ou falhas nessa regulação.

3 3 Finalmente, a aprovação iminente do novo quadro legal europeu de proteção de dados pessoais justifica que a CNPD se foque na preparação, tanto no plano normativo, como no plano organizativo, da transição do regime jurídico de proteção de dados. No que à atividade internacional diz respeito, a CNPD mantém a participação intensa nos diferentes organismos europeus em que tem assento, por força de instrumentos legais da União Europeia, bem como nas redes internacionais de proteção de dados, contribuindo significativamente para a promoção da proteção dos dados pessoais, em especial em países que, por razões históricas, maiores afinidades têm com a cultura portuguesa. Acrescente-se que, tal como o passado tem demonstrado, a tutela dos direitos fundamentais reclama frequentemente reações urgentes e não suscetíveis de programação antecipada, impondo por isso o dinamismo do presente plano, bem como a flexibilidade das medidas nele inscritas. Janeiro de 2016 Filipa Calvão (Presidente)

4 4 MAPA DO PLANO A. APROFUNDAMENTO DE ÁREAS TEMÁTICAS 1. Riscos de usurpação de identidade 2. Tratamento de dados pessoais para fins de transparência administrativa 3. Internet das Coisas (IoT) B. ACOMPANHAMENTO DE DOSSIÊS 1. Regime jurídico de retenção de dados nas comunicações eletrónicas 2. Transição para o futuro quadro legal europeu de proteção de dados 3. Sistemas de aeronaves tripuladas remotamente (Drones) e o tratamento de dados pessoais 4. Plataforma para o Intercâmbio de Informação Criminal (PIIC) 5. PNR nacional 6. Tratamento de dados realizados no âmbito do Serviço Nacional de Saúde C. ORIENTAÇÕES GERAIS 1. Reprodução de documentos de identificação civil 2. Acesso à informação armazenada no equipamento terminal do utilizador (cookies e device fingerprinting) 3. Tratamento de dados pelas sociedades financeiras 4. Revisão das orientações sobre gravação de chamadas

5 5 D. AUDITORIAS E FISCALIZAÇÕES 1. Fiscalização dos tratamentos de dados pessoais realizados pela Segurança Social 2. Fiscalização da Base de Dados de Perfis de ADN 3. Fiscalização da parte nacional do Sistema de Informação Schengen (continuação) 4. Fiscalização da parte nacional do Sistema de Informações VIS (continuação) 5. Averiguação das comunicações de dados pessoais para fins de marketing por entidades privadas E. COOPERAÇÃO INSTITUCIONAL 1. Estabelecimento de novos protocolos com instituições do Ensino Superior e continuação da cooperação existente com a Academia 2. Provedoria de Justiça 3. Conselho de Fiscalização da PIIC e Conselho de Fiscalização da Base de Dados de Perfis de ADN 4. Centro Internet Segura 5. Comissão Nacional de Protecção de Dados de Cabo Verde 6. Gabinete de Proteção de Dados Pessoais da Região Administrativa Especial de Macau F. DIVULGAÇÃO E SENSIBILIZAÇÃO 1. Revista Forum de Proteção de Dados 2. Prémio Ensaio CNPD

6 6 3. Novas publicações na coleção Documentos da CNPD 4. Promoção de conferências relativas à proteção de dados pessoais 5. Participação em sessões públicas organizadas por outras entidades 6. Participação em cursos de formação no contexto do ensino superior 7. Participação em sessões no âmbito escolar G. INTERVENÇÃO INTERNACIONAL 1. ACC Eurojust 2. ICC Europol 3. ASC do Sistema de Informação Aduaneiro 4. Grupo de Proteção de Dados da UE (Grupo do Artigo 29.º) 5. Grupo Internacional das Telecomunicações 6. Grupos de supervisão coordenada Eurodac, SIS II, VIS, SIA e IMI 7. Rede Ibero-americana de proteção de dados 8. Conferência Europeia de Comissários de Proteção de Dados 9. Conferência Internacional de Proteção de Dados H. ORGANIZAÇÃO INTERNA E FUNCIONAMENTO 1. Automatização de procedimentos decisórios 2. Reforço de Recursos Humanos 3. Formação interna 4. Transição para o futuro quadro legal de proteção de dados

7 7 PLANO DE ATIVIDADES 2016 A. APROFUNDAMENTO DE ÁREAS TEMÁTICAS 1. Riscos de usurpação de identidade Identificação e análise dos principais riscos para a usurpação de identidade, no contexto físico e virtual, e debate com outras entidades públicas com competências relativas a esta matéria, tendo em vista elaborar um conjunto de orientações para garantir a segurança dos dados pessoais e prevenir a prática de crimes, sensibilizando os responsáveis pelos tratamentos e os titulares dos dados. 2. Tratamento de dados pessoais para fins de transparência administrativa Continuação do estudo sobre o impacto da disponibilização de dados pessoais por organismos públicos sobre a privacidade dos cidadãos, sobretudo na Internet, e exploração de mecanismos procedimentais de mitigação dos riscos de utilização abusiva dessa informação, em busca de uma solução conciliadora dos direitos e valores fundamentais em causa. 3. Internet das Coisas (IoT) Aprofundamento das implicações da Internet das Coisas na privacidade dos cidadãos, designadamente através do apoio a projetos de investigação e formação científicas, que abordem a vertente da proteção de dados pessoais.

8 8 B. ACOMPANHAMENTO DE DOSSIÊS 1. Regime jurídico de retenção de dados nas comunicações eletrónicas Análise da legislação relativa à privacidade no setor das comunicações eletrónicas à luz do acórdão do TJUE relativo à retenção de dados de tráfego e as suas consequências na ordem jurídica portuguesa. 2. Transição para o futuro quadro legal europeu de proteção de dados Sugerir aos órgãos político-legislativos nacionais a preparação das normas necessárias à aplicação do novo quadro legal europeu de proteção de dados, de modo a garantir uma transição cuidada e atempada. 3. Sistemas de aeronaves tripuladas remotamente (Drones) e o tratamento de dados pessoais Contribuição para a regulação da utilização de sistemas de aeronaves tripuladas remotamente, na perspetiva da tutela da privacidade, designadamente delimitando as situações em que há lugar ao tratamento de dados pessoais e, nestes casos, aqueles suscetíveis de serem isentos de notificação à CNPD. 4. Plataforma para o Intercâmbio de Informação Criminal (PIIC) Verificação do funcionamento da PIIC, em particular à luz das alterações legislativas, e acompanhamento dos novos desenvolvimentos da plataforma. 5. PNR nacional Acompanhamento do desenvolvimento do programa nacional de PNR (Passenger Name Record), objeto de financiamento pela Comissão Europeia, e da respetiva Unidade de Informação de Passageiros (PIU).

9 9 6. Tratamento de dados realizados no âmbito do Serviço Nacional de Saúde Acompanhamento das medidas estabelecidas na autorização da CNPD quanto à Plataforma de Dados de Saúde e ao Portal do Utente, bem como da conformidade de outros tratamentos de dados pessoais realizados no âmbito do SNS. C. ORIENTAÇÕES GERAIS 1. Reprodução de documentos de identificação civil Elaboração de um conjunto de regras práticas quanto às condições e limites para a utilização e reprodução por terceiros de documentos de identificação civil. 2. Acesso à informação armazenada no equipamento terminal do utilizador (cookies e device fingerprinting) Definição de orientações para os responsáveis pelos tratamentos sobre os procedimentos adequados às exigências legais, quanto ao acesso à informação armazenada no equipamento terminal do utilizador, previsto no artigo 5.º da Lei da Privacidade das Comunicações Eletrónicas. 3. Tratamento de dados pelas sociedades financeiras Determinação das condições concretas para tratamentos de dados pessoais realizados por sociedades financeiras, atendendo às especificidades da atividade. 4. Revisão das orientações sobre gravação de chamadas Reexame da deliberação sobre gravação de chamadas, nomeadamente quanto aos prazos de conservação, atendendo a alterações legislativas e a concretas necessidades reveladas pela prática.

10 10 D. AUDITORIAS E FISCALIZAÇÕES 1. Fiscalização dos tratamentos de dados pessoais realizados pela Segurança Social Continuação da ação de fiscalização, iniciada em 2015, à Segurança Social, especificamente quanto ao acesso à informação pessoal aí tratada. 2. Fiscalização da Base de Dados de Perfis de ADN Ação de inspeção das condições de funcionamento da base de dados de ADN, a qual esteve prevista realizar-se em 2015, em parceria com o Conselho de Fiscalização das Bases de Dados de Perfis de ADN, tendo sido adiada por solicitação daquele Conselho. 3. Fiscalização da parte nacional do Sistema de Informação Schengen Continuação das ações de verificação do funcionamento da parte nacional do SIS, designadamente quanto aos acessos das entidades utilizadoras, quanto à licitude da introdução e reapreciação das indicações e quanto às medidas de segurança adotadas. 4. Fiscalização da parte nacional do Sistema de Informações VIS Continuação das ações de verificação do funcionamento da parte nacional VIS, nomeadamente quanto aos procedimentos realizados nos serviços consulares e nos serviços centrais, quanto às medidas de segurança, bem como em relação às obrigações perante os titulares dos dados.

11 11 5. Averiguação das comunicações de dados pessoais para fins de marketing por entidades privadas Realização de ações inspetivas para apuramento das condições de tratamentos de dados pelos prestadores de serviços de fornecimento de bens essenciais, em particular quanto a eventuais comunicações de dados a terceiros de forma ilícita, no seguimento de queixas de cidadãos. Estas fiscalizações estavam já previstas realizar-se no ano passado, o que não foi possível devido à escassez de recursos humanos. E. COOPERAÇÃO INSTITUCIONAL 1. Estabelecimento de novos protocolos com instituições do Ensino Superior e continuação da cooperação existente com a Academia Prosseguimento da cooperação já firmada com várias instituições da Academia e promoção de novos acordos, com vista à criação de sinergias entre a vertente da reflexão crítica, da investigação e do ensino e a vertente prática da aplicação da lei, em benefício de uma melhor proteção dos dados pessoais. 2. Provedoria de Justiça Continuação da cooperação com o Provedor, nomeadamente através de uma via de comunicação dedicada à resolução ágil de queixas, uma vez que ambos os órgãos partilham, no âmbito das suas atribuições, da missão de promover a tutela dos direitos, liberdades e garantias.

12 12 3. Conselho de Fiscalização da PIIC e Conselho de Fiscalização da Base de Dados de Perfis de ADN Continuação da cooperação com o Conselho de Fiscalização da PIIC e com o Conselho de Fiscalização da Base de Dados de Perfis de ADN para o acompanhamento do funcionamento da PIIC e a verificação do cumprimento das exigências legais na base de dados de perfis de ADN respetivamente. 4. Centro Internet Segura Prosseguimento da parceria com o Centro de Internet Segura, destacando-se a área da prevenção em matéria da proteção de dados junto dos jovens que utilizam a Internet. 5. Comissão Nacional de Protecção de Dados de Cabo Verde Cooperação com a autoridade congénere cabo-verdiana, designadamente no plano da troca de informações e experiências, formação técnica, integração nos vários fóruns internacionais de proteção de dados e apoio nos trabalhos preparatórios para o reconhecimento da adequação do nível de proteção de dados. 6. Gabinete de Proteção de Dados Pessoais da Região Administrativa Especial de Macau Consolidação da cooperação com o Gabinete de Proteção de Dados Pessoais (GPDP) da Região Administrativa Especial de Macau, quer na promoção da proteção de dados pessoais naquela região, quer no âmbito da avaliação do seu nível de proteção de dados.

13 13 F. DIVULGAÇÃO E SENSIBILIZAÇÃO 1. Revista Forum de Proteção de Dados Consolidação do projeto lançado em 2015 de publicação semestral de uma revista dedicada à proteção de dados e à privacidade, promovendo a diversidade e inovação de temas e abordagens, bem como a sua ampla divulgação, quer através de uma edição digital, quer através de uma versão em língua inglesa também em formato digital. 2. Prémio Ensaio CNPD Atribuição do Prémio Ensaio CNPD, mantendo a mesma filosofia de diversidade de áreas a concurso e de convite a personalidades externas para integrar o júri, divulgação do concurso e publicação da obra vencedora do ano anterior. 3. Novas publicações na coleção Documentos da CNPD Prosseguimento da edição de novas orientações gerais emitidas pela CNPD, na coleção Documentos da CNPD. 4. Promoção de conferências relativas à proteção de dados pessoais Estimular o debate público sobre a proteção de dados, sob diferentes perspetivas, através da realização de seminários e conferências, que promovam a defesa dos direitos fundamentais. 5. Participação em sessões públicas organizadas por outras entidades Continuação da disponibilização de representantes da CNPD para participar em sessões públicas de esclarecimento e discussão sobre temas relativos à privacidade dos cidadãos.

14 14 6. Participação em cursos de formação no contexto do ensino superior Prosseguimento da participação ativa de representantes da CNPD em cursos de especialização oferecidos por instituições do ensino superior. 7. Participação em sessões no âmbito escolar Continuação do apoio às escolas dos vários níveis de ensino na dinamização de sessões de sensibilização e debate da matéria da proteção de dados para alunos, professores e pais. G. INTERVENÇÃO INTERNACIONAL 1. ACC Eurojust Contribuir ativamente para o trabalho da Autoridade de Controlo Comum (ACC) da Eurojust, apoiar a presidência portuguesa da ACC, coordenar a inspeção bienal aos tratamentos de dados realizados pela Eurojust. 2. ICC Europol Participar ativamente nos trabalhos da Instância de Controlo Comum (ICC) da Europol, em particular nas suas reuniões regulares, assim como participar nos subgrupos de trabalho em que Portugal está representado. 3. ASC do Sistema de Informação Aduaneiro Participar nos trabalhos da Autoridade Supervisora Comum (ASC) do Sistema de Informação Aduaneiro, em particular nas reuniões regulares, contribuir para as ações coordenadas e participar nesta instância nas discussões sobre o novo quadro legal europeu de proteção de dados.

15 15 4. Grupo de Protecção de Dados da UE (Grupo do Artigo 29.º) Participar nos trabalhos do Grupo do Artigo 29.º e nos subgrupos em que a CNPD está representada, tais como Tecnologia, Governo Eletrónico, Disposições-Chave da Diretiva, Futuro da Privacidade e Fronteiras, Viagens e Setor Policial, em particular participando nas reuniões regulares e contribuindo para a elaboração de pareceres sobre iniciativas legislativas europeias, de documentos de trabalho e recomendações sobre o tratamento de dados pessoais, bem como nas discussões sobre o novo quadro legal europeu de proteção de dados. 5. Grupo Internacional das Telecomunicações Participar nos trabalhos do Grupo Internacional de Protecção de Dados nas Telecomunicações (Grupo de Berlim), em particular nas reuniões regulares e na elaboração de documentos emanados deste Grupo, que analisam os desenvolvimentos tecnológicos mais atuais e refletem sobre as implicações da sua utilização para a proteção de dados e para a privacidade das pessoas. 6. Grupos de supervisão coordenada Eurodac, SIS II, VIS, SIA e IMI Participar regularmente nos trabalhos dos Grupos de Supervisão Coordenada, em particular em apoio da presidência portuguesa do Grupo do Sistema de Informação Schengen, através da participação nas reuniões que vierem a ser convocadas, nas ações de fiscalização coordenadas e no trabalho dos subgrupos. 7. Rede Ibero-americana de proteção de dados Participar e contribuir para os trabalhos desenvolvidos no âmbito da Rede Ibero-Americana, cooperando com os países membros e

16 16 observadores, em particular através da participação no Encontro Iberoamericano e em alguns seminários temáticos e da contribuição informativa e em Língua Portuguesa para o sítio da Rede. 8. Conferência Europeia de Comissários de Proteção de Dados Participar nos trabalhos da Conferência Europeia de Comissários de Proteção de Dados, em especial contribuindo para as resoluções aí aprovadas. 9. Conferência Internacional de Proteção de Dados Participar nos trabalhos da Conferência Internacional de Proteção de Dados, em especial contribuindo para as resoluções aí aprovadas. H. ORGANIZAÇÃO INTERNA E FUNCIONAMENTO 1. Automatização de procedimentos decisórios À semelhança do que já foi feito em áreas subordinadas à supervisão da CNPD, continuar-se-á a criar formulários específicos para determinados tipos de tratamentos, permitindo a emissão de decisões automatizadas. 2. Reforço de Recursos Humanos Apesar das sucessivas tentativas frustradas de recrutamento, no regime de mobilidade, de pessoal adequado às necessidades de serviço da Comissão, nos últimos anos, a CNPD persiste no esforço de acionar todos os mecanismos legalmente reconhecidos de reforço dos seus recursos humanos, cuja insuficiência notória é transversal a todos os serviços.

17 17 3. Formação interna Em face da obrigação legal de garantir a formação contínua dos funcionários, em especial em matérias de proteção de dados, a CNPD, por recurso aos especialistas da casa, continua a assegurar a formação em áreas a identificar. 4. Transição para o futuro quadro legal de proteção de dados Preparação da transição para o novo quadro legal, tendo em consideração os diplomas em fase final de aprovação, nomeadamente identificando as principais exigências legais e de que modo se poderão estas refletir no plano organizacional. NOTA: Não é publicado, neste momento, o quadro demonstrativo do orçamento de receitas e despesas da CNPD para 2016, por ainda não se encontrar aprovado o Orçamento de Estado (OE). Após a publicação do OE 2016, será acrescentado a este Plano um anexo com estes dados.