O NOVO REGULAMENTO EUROPEU SOBRE PROTECÇÃO DE DADOS PESSOAIS

Transcrição

1 O NOVO REGULAMENTO EUROPEU SOBRE PROTECÇÃO DE DADOS PESSOAIS 27 May 2014 Mónica Salgado Advogada Registered European Lawyer com a Solicitors Regulatory Authority Inglesa

2 TÓPICOS De onde viemos E para onde vamos 2

3 No princípio 3

4 PROTECÇÃO DE DADOS PESSOAIS... Não é nada de novo Constituições Europeias referências ao direito à privacidade Portugal: -Constituição Portuguesa de inviolabilidade do segredo de correspondência -Constituição de 1976 direito à autodeterminação informacional Direito à privacidade segundo Samuel Warren e Walter Brandeis Direito a ser deixado em paz Maiores exemplos de abusos de dados pessoais -2ª Guerra Mundial -Ditaduras século XX A privacidade da informação pessoal não é um direito nascido com o advento da internet! 4

5 ... E DEPOIS FICOU MAIS COMPLICADO! Nova era dominada pela tecnologia das informações: - Arquivo de informação em grandes quantidades é facilitado - Troca de informações entre enormes distâncias é imediata - Informação perde tangibilidade Legislação específica sobre protecção de dados pessoais desenvolvida desde os anos 70 - Land de Hesse (1970) - Suécia (1973) - Cobstituição Portuguesa (1976) OECD Linhas Directrizes 108 Convenção sobre Protecção de dados Pessoais Directiva 95/46/EC 5

6 O que nos espera? 6

7 QUADRO LEGISLATIVO ACTUAL Denominador comum na UE Directiva 95/46/CE Transposta em todos os Estados Membros Portugal - Lei 67/98 de 26 de Outubro Maiores desafios A Directiva estabelece deveres apenas para os responsáveis pelo tratamento dos dados, não para os subcontratados Dados pessoais tratados online: - Inexistência de fronteiras - Situações que afectam o regime de protecção de dados pessoais são difíceis de identificar - Neutralidade da legislação = business prevention unit? - Legislações locais sobre Protecção de Dados Pessoais cada vez mais difíceis de aplicar eficazmente 7

8 MAPA DA PRIVACIDADE NA EUROPA 8

9 AGENDA DIGITAL DA UE Objectivo? Ajudar os cidadãos e as empresas da Europa a tirar o maior partido das tecnologias digitais Estrutura? 7 Pilares, incluindo: Pilar I Mercado Digital Único - Acção 12 revisão das regras de Protecção de Dados Pessoais da UE Como? 101 acções chave identificadas Quando? Até

10 REGULAMENTO GERAL DE PROTECÇÃO DE DADOS PESSOAIS Para substituir a Directiva 95/46/CE Imediatamente aplicável em todos os Estados Membros sem necessidade de transposição Tem causado grande controvérsia desde que leaked em Dezembro de Março Parlamento Europeu adoptou a última versão do Regulamento tal como aprovado pela Comissão das Liberdades Cívicas, Justiça e Assuntos Internos Quando? - Aprovado até ao fim de Em vigor 2016 /

11 ASPECTOS PRINCIPAIS Um único documento legal sobre Protecção de Dados Pessoais em todos os 28 Estados membros - Real harmonização - Mas! Haverá sempre localizações Fim da regra de notificações prévias - Mas! Notificação obrigatória de violações de dados pessoais One stop shop approach Um único Regulador definido tendo em conta o local de estabelecimento principal da organização Aproximação da legislação aos desenvolvimentos tecnológicos Data Protection Officer obrigatório Aplicação extra-territorial Organizações que tenham como mercado alvo cidadãos Europeus 11

12 SUB-CONTRATANTES Passarão a ter deveres de acordo com o Regulamento, em especial no que toca a: - Segurança dos dados pessoais - Data Protection by design and by default - Manter documentação - Cooperar com os Reguladores - Violações de dados pessoais - Privacy Impact Assessments - Nomeação de um Data Protection Officer Contratos entre responsáveis pelos tratamentos e seus sub-contratantes terão de conter cláusulas mais detalhadas sobre protecção de dados pessoais Objectivo? Equilíbrio nas negociações de contratos entre responsáveis e sub-contratantes 12

13 CONSENTIMENTO Consentimento para ser válido terá que ser: - Livre - Específico - Informado - Expresso! Ónus da prova - responsável pelo tratamento Cláusula de consentimento distinta do restante clausulado Restrições quanto ao consentimento de crianças Desequilíbrio da relação entre o responsável pelo tratamento e o titular dos dados pessoais torna o consentimento inválido Regras expressas sobre como revogar o consentimento 13

14 RIGHT TO ERASURE Versões anteriores right to be forgotten and to erasure Muito controverso! Em circunstâncias específicas os titulares de dados têem o direito de: - Obter dos responsáveis pelo tratamento: - A supressão dos dados pessoais - A abstenção de posterior tratamento - Obter de terceiros a supressão de quaisquer cópias ou links para tais dados pessoais Imposições adicionais no caso de ter ocorrido a divulgação ilegal dos dados pessoais 14

15 VIOLAÇÕES DE DADOS PESSOAIS Obrigação de notificar violações de dados pessoais Organizações deverão notificar o Regulador responsável sem atrasos. - Mas efectivamente no prazo de 72 horas O Regulador manterá um registo público do tipo de violações de dados pessoais notificadas Os titulares de dados pessoais que possam ser adversamente afectados pela violação de dados pessoais - A notificação deverá conter explicação completa da ocorrência e utilizar linguagem clara e simples incluindo - Informação sobre os direitos dos titulares de dados pessoais, nomeadamente o seu direito a receber compensação 15

16 DATA PROTECTION OFFICERS DPO obrigatório: - Administração pública - > 5000 titulares de dados em 12 meses - Monitorização de titulares de dados pessoais - Tratamento de dados sensíveis DPO competências especializadas - Em Protecção de Dados Pessoais - Na indústria em que a sua organização se integra Tarefas: - Vigiar cumprimento - Trabalhar com os representantes de trabalhadores - Notificar violações de dados pessoais - Realizar auditorias regulares Nomeado por 4 anos (trabalhador) ou 2 anos (prestador de serviços) DPOs serão trabalhadores protegidos 16 Data Protection training - Jacobs 3 April 2014

17 DATA PROTECTION IMPACT ASSESSMENTS O que é? - Uma análise do impacto que determinados tratamentos de dados pessoais terão em relação à protecção dos dados pessoais e privacidade dos titulares Porquê? - Evitar problemas criados por novos sistemas de tratamento de dados pessoais Quando? - O mais cedo possível quando o novo sistema de tratamento de dados pessoais é proposto Por exemplo: - Centralização do sistema de Recursos Humanos fora da UE - Utilização de social media para marketing - Utilização de cookies para targeted advertising - Soluções cloud - Nova política de bring your own device - Nova política de trabalho à distância - Due diligence preliminar em transacções societárias 17 Data Protection training - Jacobs 3 April 2014

18 FORMAÇÃO Formação reconhecida como parte essencial de cumprimento das regras de Protecção de Dados Pessoais Os responsáveis pelo tratamento deverão tomar todas as medidas para implementar políticas e procedimentos [que] serão revistos pelo menos cada dois anos e actualizados sempre que necessário Data Protection Officer - Supervisiona a formação em Protecção de Dados Pessoais do pessoal da organização - Deve ter o apoio da organização para realizar as suas tarefas - Incluindo receber formação / actualizar conhecimento conforme necessário 18

19 SANÇÕES POR INCUMPRIMENTO Coimas até 5% do volume de negócios anual da organização / 100 milhões (o que for maior) Investigações sem aviso prévio (dawn raids) Os critérios de definição do valor concreto da coima incluirão o nível das medidas e procedimentos técnicos e organizacionais de segurança implementados para assegurar: - Data protection by design and by default - A segurança do tratamento - Data protection impact assessment - Auditoria do cumprimento das regras de Protecção de Dados Pessoais - Nomeação do Data Protection Officer 19

20 NOTAS FINAIS O Regulamento Europeu sobre Protecção de Dados Pessoais - provavelmente aprovado este ano ainda! Notas para assegurar cumprimento das novas regras Cumprir as regras actuais! Auditoria do modo de cumprimento das obrigações em Protecção de Dados Pessoais - foco: - Dados tratados online - Fluxos transfronteiriços de dados pessoais - Identificar todas as políticas internas com impacto - Sub-contratados utilizados Rever práticas à luz do actual regime e do Regulamento Verificar se será necessário nomear um Data Protection Officer 20

21 MAIS INFORMAÇÃO Monica Salgado +44 (0)

22