O Regulamento Geral de Proteção de Dados e a PSD2: existem conflitos entre os 2 regulamentos? Maria de Lurdes Gonçalves Associada Sénior

Transcrição

1 O Regulamento Geral de Proteção de Dados e a PSD2: existem conflitos entre os 2 regulamentos? Maria de Lurdes Gonçalves Associada Sénior

2 ÍNDICE 1 Introdução 2 Overview do RGPD 3 RGPD e PSD2: aspetos comuns 4 Potenciais conflitos 5 Desafios e próximos passos Este documento foi preparado para fins meramente informativos no contexto do SmartPayments Congress 2018, para apresentação no Lagoas Park Hotel no dia 23 de maio de A apresentação não deverá ser facultada, total ou parcialmente, incluindo texto e/ou imagem, a qualquer pessoa que não tenha estado presente no mencionado dia sem o nosso prévio consentimento por escrito. A apresentação não deverá também ser reproduzida ou disponibilizada em qualquer contexto, incluindo a sua disponibilização online, sem o nosso prévio consentimento por escrito. 2

3 1. INTRODUÇÃO Cada vez mais exigente Regulação do setor bancário PSD2 Regulação transversal RGPD Regulamento eprivacy Diretiva SRI Consumidor Alterações profundas no tratamento da informação 3

4 1. INTRODUÇÃO O RGPD e a PSD2 devem ser vistos em 2 perspetivas europeia e nacional Diretiva PSD2 Regulamentos Delegados da CE (requisitos técnicos de autenticação e segurança das comunicações) Diretiva SRI Proposta de Lei Execução do RGPD em Portugal Proposta de Lei Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica RGPD Proposta de Lei Regime Jurídico da Cibersegurança em Portugal 4

5 1. INTRODUÇÃO implementar a PSD2 em conformidade com o RGPD POSS IBLE? 5

6 1. INTRODUÇÃO implementar as novas regras PSD2 e RGPD implica: pesar obrigações pesar riscos pesar custos 6

7 2. OVERVIEW DO RGPD Aumento significativo do valor das coimas Punidas com coimas até ou 4% do volume anual mundial de negócios (empresas) Poder Sancionatório Sanções e fiscalização das autoridades nacionais de proteção de dados Segurança Notificações de data breaches e reforço das medidas de segurança dos dados Autorresponsabilização Privacy by design e by default, DPO, data protection impact assessment, registos de tratamento de dados, Consentimento Validade do consentimento do titular dos dados Novos direitos dos titulares Direito de informação e de acesso, de apagamento, limitação do tratamento, portabilidade e oposição 7

8 2. OVERVIEW DO RGPD IMPACTO NA PSD2 Aumento significativo do valor das coimas Punidas com coimas até ou 4% do volume anual mundial de negócios (empresas) Poder Sancionatório Sanções e fiscalização das autoridades nacionais de proteção de dados Segurança Notificações de data breaches e reforço das medidas de segurança dos dados Autorresponsabilização Privacy by design e by default, DPO, data protection impact assessment, registos de tratamento de dados, Consentimento Validade do consentimento do titular dos dados Novos direitos dos titulares Direito de informação e de acesso, de apagamento, limitação do tratamento, portabilidade e oposição 8

9 3. RGPD E PSD2: ASPETOS COMUNS Objetivo comum: proteção da informação e segurança dos clientes/utilizadores auditability accountability transparency Princípios comuns 9

10 3. RGPD E PSD2: ASPETOS COMUNS Preocupação com os riscos associados à utilização de meios digitais Necessidade de obtenção do consentimento dos titulares da informação/utilizador dos serviços de pagamento Garantia da segurança e transparência na prestação de serviços (serviços de pagamento e emissão de moeda eletrónica) Manutenção de evidências do cumprimento (registos das atividades, serviços e operações que permitam a verificação do cumprimento das suas obrigações) 10

11 4. POTENCIAIS CONFLITOS 11

12 4. POTENCIAIS CONFLITOS definição de dados de pagamento sensíveis da PSD2 dados, incluindo credenciais de segurança personalizadas, que podem ser utilizados para cometer fraudes, não constituindo dados de pagamento sensíveis o nome do titular da conta e o número da conta definição de dados pessoais do RGPD informação relativa a uma pessoa singular identificada ou identificável, direta ou indiretamente, por referência a um identificador (ex. nome, número de identificação, IP) ou a elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social categorias especiais de dados Falta de clareza na compatibilização dos dois conceitos cria desafios na implementação e pode aumentar o risco de não compliance dados que revelem origem racial/étnica, opiniões políticas, convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos, dados relativos à saúde, à vida sexual ou orientação sexual e ainda dados relativos a condenações penais e infrações 12

13 4. POTENCIAIS CONFLITOS Open banking / sharing data (mediante autorização dos clientes os bancos são obrigados a fornecer a terceiros acesso às contas dos clientes que detém as contas, logo acesso aos seus dados pessoais) informação (para que finalidades vão os dados ser tratados e quem tem acesso a eles) consentimento para partilhar/comunicar dados Manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato inequívoco, que os seus dados pessoais sejam objeto de tratamento O consentimento não se presume Responsáveis pelo tratamento devem poder provar o consentimento Titulares dos dados podem retirar o consentimento 13

14 4. POTENCIAIS CONFLITOS notificação de incidentes operacionais ou de segurança de carácter severo ao Banco de Portugal aos utilizadores de serviços de pagamento (se o incidente tiver ou for suscetível de ter repercussões nos interesses financeiros) Prestadores de serviços de pagamento Diretiva SRI Notificação de violações de dados pessoais à CNPD aos titulares dos dados (se a violação for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares) organizações devem estar preparadas para ser capazes de identificar/detetar com rapidez a ocorrência de um incidente de segurança 14

15 4. POTENCIAIS CONFLITOS Qual o papel dos PISP e dos PSIC? responsáveis pelo tratamento dos dados? definem os meios e as finalidades do tratamento subcontratante)s? tratam os dados em nome e por conta do responsável Com o RGPD passam a ter mais responsabilidades! Terceiros? Consoante a qualificação jurídica dos vários intervenientes, são apuradas as obrigações de cada um face ao RGPD 15

16 4. POTENCIAIS CONFLITOS Entidades que recolhem os dados Entidades que usam os dados Qual é o ecossistema de responsabilidades? Prestadores de serviços de pagamento Prestadores de serviços de iniciação do pagamento Bancos e instituições de crédito Prestadores de serviços de informação sobre contas Titulares dos dados 16

17 4. POTENCIAIS CONFLITOS: INCERTEZAS Será a implementação de regras sólidas de autenticação dos clientes e de segurança da informação suficiente para satisfazer os requisitos do privacy by design e privacy by default do RGPD? Estará a implementação dos novos modelos de pagamento dos TPP s sujeita a um Data Protection Impact Assessment (DPIA) prévio? 17

18 5. DESAFIOS E PRÓXIMOS PASSOS Equilibrar o Compliance com o RGPD e a PSD2 de forma a evitar limitações severas no acesso pelos TPP s aos dados bem como interpretações restritivas do consentimento (o que tornará os serviços dos TPP s menos úteis e benéficos para os consumidores) Operacionalizar a prestação do consentimento (e a quem) e avaliar se para todas as situações será necessária a obtenção de um consentimento de acordo com os (exigentes) requisitos do RGPD, já que nem todos os dados de pagamento são necessariamente dados pessoais Mapeamento de todas as obrigações de notificação de incidentes de segurança e desenho de processos que integrem os vários requisitos O setor bancário e as FinTech deverão repensar o approach e a forma como tratam os dados dos seus clientes, para evitar riscos de non compliance, mantendo negócios lucrativos 18

19 5. DESAFIOS E PRÓXIMOS PASSOS necessária a intervenção dos reguladores europeus Alinhamento das posições face aos 2 diplomas (evitar silos e coordenar regras) RGPD PSD2 19

20 Maria de Lurdes Gonçalves Associada Sénior 20