A Nova Lei da Retenção de Dados

Transcrição

1

2 17 de Dezembro de 2008 A Nova Lei da Retenção de Dados Esta apresentação foi preparada em 17 de Dezembro de 2008 para a Conferência E privacy Como enfrentar os novos desafios. Este documento não pretende transmitir recomendações ou assessoria jurídica. A Vieira de Almeida Sociedade de Advogados, RL é uma sociedade civil de advogados de responsabilidade limitada que se rege pela lei Portuguesa.

3 A Nova Lei de Retenção de Dados A mudança de paradigma Eliminação de dados Conservação de dados Uma mudança de paradigma 3

4 Directiva 2006/24/CE Directiva Retenção Interesses em jogo: interesse das autoridades de luta contra o terrorismo vs. privacidade e protecção dos dados dos assinantes e utilizadores Interesses dos operadores: prazos de conservação curtos e reembolso dos custos em que incorram Objectivo: harmonizar as regras em matéria de conservação de dados. Vários EM dispunham de legislação ou boas práticas nesta matéria ( v.g. Irlanda, Itália, Polónia, Reino Unido) Destinatários: fornecedores de serviços de comunicações electrónicas de acesso público ou de rede pública de comunicações 4

5 Objecto e Âmbito da Lei O que regula a Lei 32/2008? Conservação e transmissão dos dados de transmissão dos dados de tráfego e de localização relativos a pessoas singulares e colectivas, bem como dos dados conexos para identificar o assinante ou o utilizador registado, gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações Para fins de investigação, detecção e repressão de crimes graves 5

6 Obrigação de Conservação Categorias de dados a conservar Fonte de uma comunicação Destinatário de uma comunicação Data, hora e duração de uma comunicação Tipo de comunicação Equipamento de telecomunicações dos utilizadores Localização do equipamento de comunicação móvel 6

7 Obrigação de Conservação Dados necessários para: Encontrar e identificar a fonte de uma comunicação Encontrar e identificar o destino de uma comunicação Comunicações telefónicas nas redes fixa e móvel N.º de telefone de origem; nome e endereço do assinante ou do utilizador registado N.ºs marcados e, em casos que envolvam serviços suplementares (ex.: reencaminhamento ou transferência de chamadas), o n.º ou n.ºs para onde a chamada foi reencaminhada; nome e o endereço do assinante, ou do utilizador registado Internet, correio electrónico através da Internet e comunicações telefónicas através da Internet Códigos de identificação atribuídos ao utilizador; código de identificação do utilizador e o n.º de telefone atribuídos a qualquer comunicação que entre na rede telefónica pública; nome e endereço do assinante ou do utilizador registado, a quem o endereço do protocolo IP, o código de identificação de utilizador ou o n.º de telefone estavam atribuídos no momento da comunicação Código de identificação do utilizador ou o n.º de telefone do destinatário pretendido, ou de uma comunicação telefónica através da Internet; nomes e endereços dos subscritores, ou dos utilizadores registados, e o código de identificação de utilizador do destinatário pretendido da comunicação Identificar a data, hora e a duração de uma comunicação Data e hora do início e do fim da conversação Data e hora do início (log-in) e do fim (log-off) da ligação ao serviço de acesso à Internet com base em determinado fuso horário, juntamente com o endereço do protocolo IP, dinâmico ou estático, atribuído pelo fornecedor do serviço de acesso à Internet a uma comunicação, e código de identificação de utilizador do subscritor ou do utilizador registado; data e hora do início e do fim da ligação ao serviço de correio electrónico ou de comunicações através da Internet, com base em determinado fuso horário 7

8 Obrigação de Conservação Dados necessários para: Identificar o tipo de comunicação Comunicações telefónicas nas redes fixa e móvel Serviço telefónico utilizado Internet, correio electrónico através da Internet e comunicações telefónicas através da Internet Serviço de Internet utilizado Identificar o equipamento de telecomunicações dos utilizadores, ou o que se considera ser o seu equipamento Identificar o tipo de equipamento de comunicação móvel Rede fixa: n.ºs de telefone de origem e de destino; Rede móvel: n.ºs de telefone de origem e de destino; Identidade Internacional de Assinante Móvel (IMSI) de quem telefona e do destinatário do telefonema; Identidade Internacional do Equipamento Móvel (IMEI) de quem telefona e do destinatário do telefonema; No caso dos serviços pré-pagos de carácter anónimo, a data e a hora da activação inicial do serviço e o identificador da célula a partir da qual o serviço foi activado Identificador da célula no início da comunicação; dados que identifiquem a situação geográfica das células, tomando como referência os respectivos identificadores de célula durante o período em que se procede à conservação de dados N.º de telefone que solicita o acesso por linha telefónica; linha de assinante digital (DSL), ou qualquer outro identificador terminal do autor da comunicação 8

9 Obrigação de Conservação Separação de Ficheiros Os ficheiros destinados à conservação dos dados têm que, obrigatoriamente, estar separados de quaisquer outros ficheiros para outros fins. Os dados (excepto o nome e endereço dos assinantes) devem ficar bloqueados, só sendo desbloqueados em caso de transmissão às entidades competentes 9

10 Principais Obrigações dos Operadores Os operadores são obrigados a implementar medidas técnicas e organizativas para: Garantir que os dados conservados sejam da mesma qualidade e estejam sujeitos à mesma protecção e segurança que os dados na rede Evitar a destruição acidental ou ilícita, a perda ou a alteração acidental e o armazenamento, tratamento, acesso ou divulgação não autorizado ou ilícito Garantir que apenas pessoas especialmente autorizadas tenham acesso aos dados conservados 10

11 Principais Obrigações dos Operadores Os operadores são também obrigados a: Transmitir os dados mediante comunicação electrónica (em condições a definir) Elaborar registos de extracção dos dados transmitidos às autoridades competentes Remeter, trimestralmente, os registos à Protecção de Dados Comissão Nacional de Enviar à CNPD os dados das pessoas especialmente autorizadas a aceder aos dados 11

12 Destruição dos Dados Os operadores estão obrigados a destruir os dados no final do período de conservação, excepto os dados que tenham sido preservados por ordem do juiz. 1 ano contar da conclusão da comunicação Mas pode ser mais ou pode ser menos: o juiz pode determinar a destruição dos dados logo que os mesmos deixem de ser necessários para os fins a que se destinam 12

13 Sanções A violação da Lei Responsabilidade civil pelos prejuízos causados Responsabilidade criminal (pena de prisão até 4 anos ou pena de multa até 480 dias) Responsabilidade contra-ordenacional (coimas até , por cada contra-ordenação) 13

14 Sanções Pode ser crime O incumprimento das regras de protecção e segurança O não bloqueio dos dados O acesso aos dados por pessoa não especialmente autorizada A tentativa e negligência são puníveis 14

15 Questões por Resolver 15

16 Questões por Resolver A Lei deixou algumas questões por resolver A Lei é aplicável a dados dos operadores portugueses tratados e conservados fora de Portugal? Quais os requisitos técnicos que devem ser implementados para que os dados possam ser transmitidos imediatamente? O que se entende por imediatamente? Nas situações de acesso indirecto, a quem compete conservar os dados? E nos MVNOs? 16

17 Questões por Resolver Como é feita a destruição dos dados? Deverá ser elaborado auto de destruição? Os operadores terão que comunicar a destruição dos dados à CNPD? Se os dados forem necessários para vários processos, o que fazer perante uma ordem do juiz?.. 17