O Regulamento Geral de Proteção de Dados

Transcrição

1 QA#019 / abril 2018 Edição Especial Mónica Veloso * Área Jurídica da Unidade Empreendedorismo, Incubação e Aceleração da ANJE O Regulamento Geral de Proteção de Dados Como devem as empresas tratar os dados pessoais que têm na sua posse? O Regulamento Geral de Proteção de Dados (RGPD) entra em vigor no dia 25 de maio de O grande objetivo do novo quadro legal passa por contribuir para um mercado único europeu de dados, harmonizando e uniformizando a legislação de todos os Estados-Membros e restaurando a confiança nas atividades online. Esta nova legislação reflete, também, uma mudança de paradigma no que respeita à abordagem da segurança e privacidade de dados, fruto da rápida evolução tecnológica e dos desafios da globalização. Face ao novo enquadramento legal, a grande questão que se coloca é: como devem as empresas tratar os dados pessoais que têm na sua posse? Nesta Quickaid veja a informação necessária para dar uma resposta adequada. Enquadramento Na sociedade global em que vivemos, os cidadãos europeus estão profundamente comprometidos com a era digital. E esta realidade reflete-se, particularmente, no mundo empresarial, nomeadamente no tratamento de dados dos colaboradores, no relacionamento comercial com clientes, fornecedores ou outras entidades, tornando inevitável a partilha frequente de dados.

2 Segundo a Comissão Nacional de Proteção de Dados (CNPD), podemos antecipar mudanças significativas com diferentes repercussões na vida das organizações, dependendo da natureza das mesmas, da atividade que desenvolvem, do processamento e âmbito de aplicação dos dados pessoais. É, por isso, fundamental que as diferentes entidades conheçam as novas regras e as obrigações decorrentes das mesmas, a par da avaliação do estado atual de gestão daqueles dados. Para melhor compreensão do novo quadro legal e das suas implicações, devemos ter em atenção três pilares fundamentais: 1. Enquadramento jurídico do RGPD, a quem se dirige e aplica, o que é necessário acautelar para garantir o seu cumprimento, quais os novos direitos, princípios e conceitos a respeitar com a sua entrada em vigor. 2. Modelo organizacional, o qual deverá definir os procedimentos a adotar na gestão dos dados pessoais. 3. A componente tecnológica, particularmente no que concerne ao uso e implicações das comunicações eletrónicas na nova era digital. 1.Enquadramento Jurídico O Regulamento UE 2016/679 do Parlamento Europeu e do Conselho de 27/04/2016, estabelece o regime de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, revogando a Diretiva 95/46/CE. Este novo Regulamento vem introduzir um enquadramento jurídico mais rigoroso, pelo que é imprescindível que as organizações façam uma avaliação da informação pessoal que possuem, da forma como a utilizam e armazenam.

3 O RGPD é diretamente aplicável aos 28 estados membros, não havendo necessidade de qualquer transposição para cada jurisdição. A norma ISO corresponde ao padrão de referência internacional para a gestão da segurança de informação. E nesse sentido, considerando que os dados pessoais são informação crítica para o RGPD, deverá conjugar o disposto nos controlos da norma com o previsto no regulamento. Os Códigos de Conduta constituem um importante instrumento para uma correta aplicação do regulamento. Estes são promovidos pelos Estados-Membros, pelas Autoridades de Controlo, pelo Comité Europeu para a Proteção de Dados pela Comissão Europeia. A supervisão de conformidade com um código de conduta pode ser efetuada por um organismo acreditado para o efeito pela entidade de controlo competente. A quem se dirige e aplica o RGPD? A todas as pessoas singulares e coletivas que lidam com o tratamento de dados pessoais de residentes da UE. O RGPD aplica-se a responsáveis pelo tratamento de dados /Controllers, mas também a subcontratantes/processors. Incumprimento do RGPD/ Sanções Desaparece o controlo prévio por parte da Comissão Nacional de Proteção de Dados (CNPD), o que implica uma maior responsabilização das empresas quanto aos tratamentos por si efetuados, passando estas a ser fiscalizadas pelo cumprimento do RGPD, estando previstas coimas que poderão atingir 20 milhões de Euros ou 4% do volume de negócios anual (o que corresponder ao maior valor). Nota: Os responsáveis pelo tratamento de dados deverão ser capazes de, a qualquer momento, demonstrar estar a cumprir com o estabelecido no RGPD.

4 Novos direitos, princípios e conceitos aplicáveis Com a entrada em vigor do novo regulamento introduzem-se, também, novos direitos, princípios e conceitos a observar no tratamento de dados. Direito à portabilidade dos dados Implica o direito de circulação ou transferência de dados pessoais. Este novo direito à portabilidade faculta ao titular dos dados o direito de receber os seus dados pessoais do responsável pelo tratamento, podendo reutilizálos na sua esfera privada conforme entender. Permite, também, que o titular dos dados possa exigir que o responsável pelo tratamento comunique os seus dados a outra entidade por si indicada, sendo esta igualmente responsável pelo seu tratamento. Direito ao esquecimento traduz-se num direito ao apagamento de dados pessoais e deve operar-se em determinadas circunstâncias: o Quando os dados pessoais deixarem de ser necessários para a finalidade que motivou a sua recolha ou tratamento; o Quando o titular retira o consentimento com base no tratamento; o Quando o titular se opõe ao tratamento na medida em que entende não existirem interesses legítimos prevalecentes que justifiquem o tratamento; o Quando há um tratamento ilícito dos dados pessoais; o No caso de dados pessoais de menores recolhidos no contexto da oferta de serviços da sociedade de informação; o Quando os dados pessoais forem apagados para o cumprimento de uma obrigação jurídica decorrente do Direito da União ou de um estado membro a que o responsável pelo tratamento esteja sujeito.

5 Direito ao consentimento Deve refletir da parte do titular dos dados, um ato de manifestação de vontade claro e inequívoco. Exemplo: A questão subjacente à gestão de s, obriga a um consentimento explicito para envio de cada . Direito de oposição ao profiling (análise comportamental à criação de perfis) Os titulares dos dados têm direito a opor-se ao uso de profiling, forma automatizada de processamento de informação pessoal, com o objetivo de avaliar e tipificar indivíduos com base nos seus dados pessoais. Exemplo: a definição de perfis tendo em conta as preferências de um determinado individuo através do recurso ao seu histórico de navegação, de compras, etc, não é aceite pelo regulamento sem consentimento explicito do titular de dados. Alargamento da aplicação territorial Há um alargamento do âmbito de aplicação territorial do regulamento, sendo aplicado em todo o território da União Europeia, introduzindo ainda uma novidade: no caso de uma empresa estabelecida fora do espaço da UE e sem presença na UE oferecer serviços e fizer negócios que envolvam algum género de tratamento de dados pessoais a consumidor residente na UE, o Regulamento é-lhe aplicável. Exemplo: Negócios não sedeados na UE e que utilizam websites direcionados para a UE, como é o caso das plataformas e-commerce.

6 Maior amplitude do conceito de dados pessoais A definição de dados pessoais é alargada e passa a incluir, nomeadamente, dados de localização e identificadores por via eletrónica (como endereços IP, cookies). Para além disso, passam a existir definições precisas no que respeita a perfis, "pseudonimização", "dados genéticos", "dados biométricos e "dados relativos à saúde". Aplicabilidade alargada do Regulamento O regulamento será aplicado a qualquer tipo de organização quando em causa estão dados pessoais sensíveis e confidenciais. E isto quer se trate de empresas, organismos públicos, ou outras organizações de natureza lucrativa ou não. 2. Modelo Organizacional O RGPD introduz novos procedimentos: Introdução dos deveres de accountability (princípio da responsabilidade) Realização da Data Privacy Impact Assessments DPIA (Avaliação de impacto da privacidade de dados) Notificação obrigatória às Autoridades de Proteção de Dados em caso de data breaches (violação dados) Nomeação de um DPO Data Protetion Officers (Encarregado de proteção de dados), o qual deve zelar pelo cumprimento das regras fazendo um controlo regular e sistemático. Introdução de novos princípios e conceitos que devem nortear os tratamentos dos dados pessoais como a Privacy by design and by default (Proteção desde a conceção e por defeito) Reforço da segurança de dados Introdução do Sistema One-Stop Shop (balcão único)

7 Deveres de Accountability (Princípio da responsabilidade) Significa que as organizações têm de fazer prova que reúnem condições e possuem capacidade para cumprir com o regulamento, adotando procedimentos e tecnologia que provem e evidenciem de forma clara o cumprimento do Regulamento a qualquer momento e perante qualquer entidade, quer se trate de uma empresa, consumidor ou da entidade fiscalizadora. O DPIA Data Privacy Impact Assessment (Avaliação do Impacto da privacidade de Dados) É um processo destinado a descrever o processamento de dados privados, a avaliar a necessidade e a proporcionalidade de um processamento de dados e a ajudar a gerir os riscos aos direitos e liberdades das pessoas, resultantes do processamento de dados pessoais. Trata-se de uma avaliação de risco, na medida em que se avalia o ato da concretização de ameaças da privacidade de dados e a probabilidade de ocorrerem. A avaliação é obrigatória caso ocorram: a) Avaliações sistemáticas e completas dos aspetos pessoais, baseadas no tratamento automatizado, incluindo a definição de perfis; b) Operações de tratamento em grande escala de categorias especiais de dados; ou, c) Controlo sistemático de zonas acessíveis ao público em grande escala. Notificação obrigatória às Autoridades de Proteção de Dados em caso de data breaches (violação dados) Presume-se que a Comissão Nacional de Proteção de Dados (CNPD) passará a ser um órgão fiscalizador, cabendo aos responsáveis pelo tratamento de dados demonstrar e provar que cumprem com as regras plasmadas no RGPD.

8 Nota: A CNPD terá de ser notificada em 72 horas no caso de violação de dados pessoais. Por outro lado, as empresas têm de prestar mais informações ao titular dos dados: explicar o tipo de dados a recolher, o tempo de armazenamento, os fins a que se destinam, referir se há tratamento automatizado de dados, se são transferidos para outras entidades ou para fora do espaço económico europeu. DPO - Data Protection Officer (Encarregado de Proteção de Dados) Trata-se de um trabalhador ou prestador de serviços contratado pela entidade responsável pelo tratamento de dados ou pelo subcontratante, que é especializado em matéria de proteção de dados e a quem compete avaliar, promover e implementar mecanismos de cumprimento da legislação em matéria de proteção de dados, devendo pautar-se nesta tarefa com independência. Funções do DPO: Não pode acumular cargos/funções que gerem conflitos de interesse; Tem funções técnicas, legais e de gestão (conhecimentos especializados no domínio do direito e das práticas de proteção de dados); Deverá, quando solicitado, prestar aconselhamento e cooperar com a autoridade de controlo; Serve de intermediário entre as várias entidades com as quais as empresas se relacionam, autoridades do estado, clientes, trabalhadores, parceiros. Obrigação de sigilo e confidencialidade. Deve-se ter em atenção o disposto no artigo 37º do Regulamento, onde estão enunciadas as três situações em que é obrigatória a designação do DPO: Se a organização for uma entidade pública;

9 Ou se as atividades principais da organização requererem uma monitorização regular e sistemática dos titulares dos dados numa grande escala; Ou se tais atividades consistirem no processamento de dados sensíveis em grande escala. Princípio da Privacy By Design By Default (Proteção da privacidade desde a conceção e por defeito) O tratamento de dados, a recolha dos mesmos e a sua proteção devem estar devidamente configurados nas aplicações tecnológicas, fazendo parte do seu design. Estamos no âmbito da chamada Privacy by design and by default, o que significa que deve ser assegurada uma utilização mínima dos dados e que deve ser garantida a privacidade durante todo o processo de engenharia desde o desenvolvimento do produto e do serviço. Nota: A utilização dos dados deve restringir-se, unicamente, aos fins para os quais foram cedidos pelos respetivos titulares não podendo ser utilizados com outros propósitos para campanhas ou fins promocionais. Reforço da Segurança de dados O Regulamento obriga a que o responsável pelo tratamento e subcontratante apliquem medidas técnicas e organizativas de modo a assegurar um nível de segurança adequado, nomeadamente: a) A pseudonimização e a cifragem dos dados pessoais; b) A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento; c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico.

10 O responsável pelo tratamento e o subcontratante devem adotar um processo que permita testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento, o que vai implicar, nomeadamente, que muitas entidades necessariamente se certifiquem, nomeadamente, a nível da norma ISO NOTA: É fundamental efetuar-se o registo detalhado de todas as atividades respeitantes ao tratamento de dados pessoais. Introdução do conceito One-Stop Shop (sistema do Balcão Único) No caso de multinacionais com vários estabelecimentos na Europa, é competente a autoridade local do estabelecimento principal que passa a assumir a liderança no controle e supervisão de todos os restantes estabelecimentos. 3. Componente Tecnológica -Comunicações Eletrónicas- Deve-se ter em atenção que nas mais recentes alterações se incluem os serviços de comunicações eletrónicas, nomeadamente, os designados OTT Serviços Over-The-Top, tais como: WhatsApp, Facebook, Messenger, Skype. Estas operações, que operam via internet são mais apelativas aos consumidores e aos operadores na medida em que garantem uma maior rapidez e eficácia na partilha de informação, diminuem substancialmente os custos e estão disponíveis em todos os equipamentos e diferentes sistemas operativos. Com o intuito de acompanhar a nova era digital e a evolução tecnológica, foi apresentada uma proposta de um novo Regulamento E-Privacy, que vem substitui a Diretiva E-privacy e complementar o RGPD, em setores como o das comunicações, do comércio, da publicidade,

11 etc. A Comissão Europeia, atenta à dinâmica do setor das comunicações, pretende com a remodelação do quadro regulamentar garantir o mesmo nível de confiança e segurança, também, no mercado digital. Neste âmbito, coloca-se a seguinte questão: recorrendo a este tipo de serviços, o grau de confidencialidade fica devidamente assegurado? A proposta do novo regulamento proíbe a transmissão de dados sem o consentimento das partes comunicantes vigorando, por isso, o princípio geral de proibição de ingerência nas comunicações eletrónicas. Esta disposição legal aplica-se quer em relação a conteúdos, como também a metadados (duração, ponto de origem, ponto de destino, tamanho/peso da comunicação). Nota: Os metadados devem ser anonimizados ou excluídos se os utilizadores não derem o seu consentimento para essa utilização, prevalecendo sempre a privacidade nas comunicações. À semelhança do que acontece com o RGPD, a proposta de Regulamento E-Privacy, a que aqui fazemos referência, prevê coimas que poderão atingir 20 milhões de Euros ou 4% do volume de negócios anual (o que corresponder ao maior valor). Em jeito de conclusão diremos que o tratamento de dados pessoais no setor das comunicações eletrónicas será alvo de particular e permanente atenção da legislação europeia, atendendo ao seu rápido e constante desenvolvimento. Com este texto procurou-se transmitir uma visão global do RGPD, de modo a sensibilizar os empresários e gestores para a premência da temática da proteção de dados. A atualidade e as implicações que tem na vida das organizações, justificam que se regresse a este tema em futuras Quickaid.

12 Glossário Consentimento - Manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento; Dados genéticos - os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa; Dados biométricos - dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos; Dados pessoais - informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular; Dados relativos à saúde - dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde; Definição de perfis - qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho

13 profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações; Destinatário - uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades L 119/33 Jornal Oficial da União Europeia PT públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento; «Deveres» de Accountability (responsabilidade) - Princípio de responsabilidade que exige que seja implementado um programa de conformidade capaz de monitorizar a conformidade em toda a organização e demonstrar às autoridades de proteção de dados e aos titulares dos dados que toda esta informação pessoal está em segurança. Encriptação é o processo de codificar informação tornando-a inacessível para utilizadores não autorizados. Metadados Resumos de informações sobre a forma ou conteúdo de uma fonte (data, hora, duração, localização). One Stop Shop Balcão único Oposição ao Profiling (Oposição na definição de perfis) - Os titulares dos dados têm direito a opor-se ao uso de profiling, ou seja, a qualquer forma automatizada de processamento de informação pessoal, com o objetivo de avaliar e tipificar indivíduos com base nos seus dados pessoais.

14 Privacy By Default (privacidade por defeito) - Significa assegurar que são colocados em prática, dentro de uma organização, mecanismos para garantir que, por defeito, apenas será recolhida, utilizada e conservada para cada taref a, a quantidade necessária de dados pessoais. Privacy by Design (Privacidade desde a conceção) - Significa levar o risco de privacidade em conta em todo o processo de conceção de um novo produto ou serviço, em vez de considerar as questões de privacidade a penas posteriormente. Tal significa avaliar cuidadosamente e implementar medidas e procedimentos técnicos e organizacionais adequados desde o início para garantir que o tratamento está em conformidade com o RGPD e protege os direitos dos titulares dos dados em causa. Privacy Impact Assessments (avaliação do impacto da privacidade) - Permite que a organização encontre problemas nas fases iniciais de qualquer projeto, reduzindo os custos associados e danos à reputação que poderiam acompanhar uma violação das leis e regulamentos de proteção de dados. Pseudonimização - Tratamento de dados pessoais de forma a que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares seja m mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável. Responsável pelo tratamento (entidades que controlam os dados) uma pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos

15 aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado- Membro. Subcontratante (entidades que tratam os dados) uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes. Tratamento de dados - Tratamento de dados pessoais» («tratamento»): qualquer operação ou conjunto de operações sobre dados pessoais, efetuadas com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição; Terceiro - a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais; Violação de dados pessoais - uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento; Sites Relevantes: Comissão Nacional de Proteção de Dados Instituto das Tecnologias da Informação na Justiça União Europeia - Centro de Computação Gráfica - ACEPI Associação da Economia Digital -

16 Legislação aplicável: Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados. Diretiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de outubro (tratamento de dados pessoais) Jurisprudência do TJUE Lei nº 67/98, de 26 de outubro Lei nº 46/2012, de 29 de agosto (alteração da Lei nº 41/2004, de 18 de agosto) Diretiva 2002/58/CE Diretiva e-privacy Em janeiro de 2017 a Comissão Europeia apresentou a proposta para um Regulamento da Privacidade das Comunicações Eletrónicas.