DIREITO DAS COMUNICAÇÕES A Privacidade nas Comunicações Luís Neto Galvão, Advogado, Sócio da SRS Advogados

Transcrição

1 DIREITO DAS COMUNICAÇÕES A Privacidade nas Comunicações Luís Neto Galvão, Advogado, Sócio da SRS Advogados Lisboa, 22 de Outubro de 2014

2 1. Introdução As comunicações electrónicas geram um conjunto importante de dados pessoais particularmente sensíveis a partir da utilização dos serviços por parte dos clientes. Estes dados são muito reveladores da vida privada dos utilizadores dos serviços, em certa medida representando um nível de intrusão na intimidade de cada um superior ao revelado na intercepção de comunicações de voz, permitindo o estabelecimento de padrões de comportamento, círculos de contacto pessoal, preferências na nossa actividade online, que revelamos apenas a nós próprios. O surgimento de smart phones e de tablets permanentemente ligados à Internet (ou à rede wi-fi), veio aumentar exponencialmente o volume de dados sensíveis que produzimos diariamente sem nos apercebermos. Este fenómeno vai ser potenciado num futuro muito próximo com realidades como a Internet das Coisas, wearables, Smart Houses, Smart Grids todas suportadas nas comunicações electrónicas

3 2. Principais Diplomas Os tratamentos de dados nas comunicações estão sujeitos a um conjunto de regras restritivas: Artigo 35.º da Constituição da República Portuguesa Lei de Protecção de Dados Pessoais (Lei 67/98, de 26 Outubro) Traspõe a Directiva Protecção de Dados Pessoais, Directiva 95/46/CE de 24 Outubro Lei da Privacidade nas Comunicações Electrónicas (Lei 41/2004 de 18 agosto, alterada pela Lei 46/2012 de 29 agosto) Transpõe a Directiva e-privacy, Directiva 2002/58/CE de 12 Julho, alterada pela Directiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de Novembro de 2009, Lei da Conservação de Dados (Lei 32/2008 de 17 Julho) Transpõe a Directiva da Retenção de Dados, Directiva 2006/24/CE de 15 Março. Lei das Comunicações Electrónicas (Lei 5/2004 de 10 Fevereiro, com alterações) Transpõe, entre outras, a Directiva dos Direitos dos Cidadãos, Directiva 2009/136/CE de 25 Novembro

4 2. Principais Diplomas E ainda, Declaração Universal dos Direitos do Homem Convenção Europeia dos Direitos do Homem Carta dos Direitos Fundamentais da União Europeia Convenção 108 do Conselho da Europa Convenção para a Protecção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal

5 Será o direito capaz de disciplinar os tratamentos de dados pessoais no âmbito das comunicações electrónicas?

6 800,000 Customers' detail stolen in Data Breach at French Telecom 'Orange' T23:29:00-11:00Sunday, February 02, 2014 Swati Khandelwal One of the world s largest mobile operator 'Orange' has been hit by data breach. The French multinational telecommunication company announced recently, it was targeted by unknown hackers on 16th January 2014, who allegedly gained access to the accounts of up to 800,000 customers of Orange website. 23/7/2014 às 12h04 (Atualizado em 23/7/2014 às 20h19) Operadora Oi recebe multa de R$ 3,5 milhões por espionar usuários Espionagem ocorria para vender informações sobre os usuários a empresas anunciantes

7 3. Dados Pessoais Noção muito ampla Qualquer informação, de qualquer natureza e independentemente do respectivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável ( titular dos dados ); é considerada identificável a pessoa que possa ser identificada directa ou indirectamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social Dados Pessoais Sensíveis sujeitos a um regime de autorização prévia, pela Autoridade de Protecção de Dados, em Portugal a CNPD Dados pessoais referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem racial ou étnica, dados de saúde e referentes à vida sexual, incluindo os dados genéticos os operadores tratam dados muito sensíveis, nomeadamente os dados de tráfego e de localização 6

8 4. Responsável pelo Tratamento Pessoa singular ou colectiva, autoridade pública, serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais É o requerente/subscritor da notificação ou pedido de autorização (cumprindo todos os requisitos legais de conteúdo do requerimento) Tem a obrigação de implementação de medidas de segurança destinadas a proteger os dados contra a destruição acidental ou ilícita, perda acidental, alteração, difusão ou acesso não autorizados, qualquer forma de tratamento ilícito. Obrigação de sigilo profissional para todas as pessoas que tenham acesso aos dados pessoais Dever de colaboração com a Autoridade de Protecção de Dados 7

9 5. Subcontratante Entidade que efectua o tratamento dos dados pessoais por conta do responsável pelo tratamento; Na escolha do subcontratante, o responsável pelo tratamento deve optar por uma entidade que ofereça garantias suficientes em relação às medidas de segurança técnica e de organização do tratamento a efectuar e deverá zelar pelo cumprimento dessas medidas; Obrigação de celebrar contrato (ou outro acto juridicamente vinculante) que vincule o subcontratante ao responsável pelo tratamento e que estipule, designadamente, que o subcontratante apenas actua mediante instruções do responsável pelo tratamento e que lhe incumbe igualmente o cumprimento das obrigações de segurança aplicáveis. Os operadores recorrem normalmente à subcontratação envolvendo o tratamento de dados pessoais 8

10 Segurança das Comunicações Luanda 1 de Julho de Princípios do Tratamento de Dados Tratamento: Licitude e Boa fé Recolha: Limitada pela finalidade pré-determinada Dados: Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e posteriormente tratados, exactos e actualizados Conservação: Pelo período estritamente necessário à realização das finalidades da recolha Recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser posteriormente tratados de forma incompatível com essas finalidades 9

11 Segurança das Comunicações Luanda 1 de Julho de Sanções Ilícitos Contra-ordenacionais até ,00 (aprox.), no âmbito da Lei de Protecção de Dados Pessoais, até , na Lei da Privacidade nas Comunicações e até na Lei da Conservação de Dados Ilícitos Criminais (Pena de prisão ou multa) Penas Acessórias (Ex.: Proibição temporária ou definitiva do tratamento) Futuramente, com o novo Regulamento Europeu da Protecção de Dados, as coimas por incumprimento poderão ascender a 5% do volume de negócios mundial 10

12 Segurança das Comunicações Luanda 1 de Julho de As Violações de Dados Pessoais Dever de as empresas que oferecem serviços de comunicações electrónicas acessíveis ao publico, sem demora injustificada, notificar a CNPD da ocorrência de violação de dados pessoais Quando a violação possa afectar negativamente os dados pessoais do assinante ou utilizador risco de usurpação, fraude de identidade, danos físicos, humilhação significativa ou danos para a reputação - as empresas devem ainda, sem demora injustificada, notificar a violação ao assinante ou ao utilizador, para que estes possam tomar as precauções necessárias, Obrigação não aplicável se as empresas comprovarem perante a CNPD, e esta reconheça, que adoptaram as medidas tecnológicas de protecção adequadas 10

13 Segurança das Comunicações Luanda 1 de Julho de As Violações de Dados Pessoais À CNPD as empresas devem comunicar: a identificação da natureza da violação dos dados pessoais; dos pontos de contacto onde possam ser obtidas informações complementares; a recomendação de medidas destinadas a limitar eventuais efeitos adversos da referida violação e; indicar as consequências da violação de dados pessoais e as medidas por si propostas ou tomadas para fazer face à violação. As empresas devem manter um registo de situações de violação de dados pessoais, com indicação de factos, efeitos e medidas adoptadas. 10

14 Segurança das Comunicações Luanda 1 de Julho de A Inviolabilidade das Comunicações Electrónicas As empresas que oferecem redes e ou serviços de comunicações electrónicas devem garantir a inviolabilidade das comunicações, e respectivos dados de tráfego, realizadas através de redes públicas de comunicações e de serviços de comunicações electrónicas acessíveis ao público. É proibida a escuta, a instalação de dispositivos de escuta, o armazenamento ou outros meios de intercepção ou vigilância de comunicações e dos respectivos dados de tráfego por terceiros sem o consentimento prévio e expresso dos utilizadores A proibição não abrange gravações legalmente autorizadas de comunicações e dos respectivos dados de tráfego, quando realizadas no âmbito de práticas comerciais lícitas, para o efeito de prova de uma transacção comercial nem de qualquer outra comunicação feita no âmbito de uma relação contratual, desde que o titular dos dados tenha sido disso informado e dado o seu consentimento. 11

15 Segurança das Comunicações Luanda 1 de Julho de A Inviolabilidade das Comunicações Electrónicas As gravações efectuadas no âmbito de uma relação contratual podem ter por objectivo monitorar a qualidade de serviço: Nestes casos, afigura-se que a adopção de um mecanismo de monitorização da qualidade do serviço que contemple a utilização do instrumento gravação de chamadas deverá estar sujeito aos seguintes limites: a) As gravações de chamadas objecto de monitorização deverão ser recolhidas de forma aleatória, não incidindo sobre o mesmo trabalhador de forma sistemática; b) Apenas deverão ser objecto deste sistema uma percentagem do volume total de chamadas efectuadas que não ultrapasse os 5%; c) Seja cumprido o direito de informação; d) Seja obtido o consentimento, expresso e inequívoco de todos os intervenientes, não sendo suficiente a mera possibilidade de exercício do direito de oposição; e) Não sejam os dados recolhidos utilizados para efeito de avaliação do desempenho do trabalhador. Acresce que, o trabalhador deverá ter disponível um outro meio para efectuar comunicações pessoais que não seja alvo de gravação. (Deliberação da CNPD 629/2010) 11

16 Segurança das Comunicações Luanda 1 de Julho de A Inviolabilidade das Comunicações Electrónicas As empresas que oferecem redes e ou serviços de comunicações electrónicas devem garantir a inviolabilidade das comunicações, e respectivos dados de tráfego, realizadas através de redes públicas de comunicações e de serviços de comunicações electrónicas acessíveis ao público. É proibida a escuta, a instalação de dispositivos de escuta, o armazenamento ou outros meios de intercepção ou vigilância de comunicações e dos respectivos dados de tráfego por terceiros sem o consentimento prévio e expresso dos utilizadores A proibição não abrange gravações legalmente autorizadas de comunicações e dos respectivos dados de tráfego, quando realizadas no âmbito de práticas comerciais lícitas, para o efeito de prova de uma transacção comercial nem de qualquer outra comunicação feita no âmbito de uma relação contratual, desde que o titular dos dados tenha sido disso informado e dado o seu consentimento. 11

17 10. Regime de Tratamento dos Dados de Tráfego Dados de Tráfego: ( ) dados tratados para efeitos do envio de uma comunicação através de uma rede de comunicações electrónicas ou para efeitos da facturação da mesma; Lei Portuguesa da Privacidade nas Comunicações Electrónicas art.º 2.º n.º 1 alínea d) A regra é a de que os dados devem ser eliminados ou tornados anónimos imediatamente após a comunicação. Existem, porém, excepções quanto ao armazenamento, nomeadamente: - Até 6 meses, os dados necessários para efeitos de facturação e para pagamento de interligações podem ser armazenados (apenas durante o período dentro do qual a factura ainda poderá ser contestada ou o pagamento reclamado) nomeadamente: - (i) número ou identificação, endereço e tipo de posto do assinante; Segurança das Comunicações Luanda 1 de Julho de (ii) número total de unidades a cobrar para o período de contagem, bem como o tipo, hora de início e duração das chamadas efetuadas ou o volume de dados transmitidos; - (iii) data da chamada ou serviço e número chamado; (iv) outras informações relativas a pagamentos, tais como pagamentos adiantados, pagamentos a prestações, cortes de ligação e avisos; - 12

18 10. Regime de Tratamento dos Dados de Tráfego Dados de Tráfego: Segurança das Comunicações Luanda 1 de Julho de Os dados poderão também ser tratados e armazenados para outras finalidades, quando haja o consentimento expresso do titular dos dados (ex. prestação de serviços de valor acrescentado). - Medidas técnicas e organizativas: o tratamento dos dados de tráfego deve ser limitado aos trabalhadores e colaboradores dos operadores - encarregados da facturação ou da gestão do tráfego; - das informações a clientes, - da detecção de fraudes, - da comercialização dos serviços de comunicações electrónicas acessíveis ao público, ou da prestação de serviços de valor acrescentado, restringindo-se ao necessário para efeitos das referidas actividades. 12

19 11. Dados de Localização: ( ) dados tratados numa rede de comunicações electrónicas ou no âmbito de um serviço de comunicações electrónicas que indiquem a posição geográfica do equipamento terminal de um utilizador de um serviço de comunicações electrónicas acessível ao público; Lei Portuguesa da Privacidade nas Comunicações Electrónicas art.º 2.º n.º 1 alínea d) Regra: - É proibido o tratamento de dados de localização relativos a assinantes ou utilizadores das redes públicas de comunicações ou de serviços de comunicações electrónicas acessíveis ao público; - Apenas permitido se os dados forem tornados anónimos. Excepções: Segurança das Comunicações Luanda 1 de Julho de Permitido o registo, tratamento e transmissão de dados de localização às organizações com competência para receber chamadas de emergência para efeitos de resposta a essas chamadas; - Permitido o tratamento de dados de localização na medida e pelo tempo necessários para a prestação de serviços de valor acrescentado, desde que seja obtido consentimento prévio e expresso dos assinantes/utilizadores; 16

20 Segurança das Comunicações Luanda 1 de Julho de A Conservação de Dados (Lei 32/2008, de 17 de Julho) A Directiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de Março adoptada na sequência dos atentados terroristas de Madrid (2004) e Londres (2005); Determina a conservação de dados de tráfego e de localização e conexos, para fins de investigação, detecção e repressão de crimes graves (v.g., crimes de terrorismo, criminalidade violenta, criminalidade altamente organizada, sequestro, rapto e tomada de reféns, crimes contra a identidade cultural e integridade pessoal, contra a segurança do Estado, falsificação de moeda ou títulos equiparados a moeda e crimes abrangidos por convenção sobre segurança da navegação aérea ou marítima) por parte das autoridades competentes; Os operadores são obrigados a conservar os dados, inclusive os relativos a chamadas falhadas, por 1 ano a contar da data da conclusão da comunicação (a Directiva permitia aos Estados optarem por um período compreendido entre 6 meses e 2 anos). 13

21 Segurança das Comunicações Luanda 1 de Julho de 2014 Categorias de dados de tráfego e de localização a conservar: Fonte de uma comunicação; Destinatário de uma comunicação; Data, hora e duração de uma comunicação; Tipo de comunicação Equipamento de telecomunicações dos utilizadores; Localização do chamador e do destinatário; Os dados conservados (excepto o nome e endereço dos assinantes) devem ficar bloqueados, só sendo desbloqueados em caso de transmissão às entidades competentes (autoridades judiciárias e autoridades de polícia criminal). 14

22 Segurança das Comunicações Luanda 1 de Julho de 2014 No seu Acórdão Digital Rights Ireland, de 8 de Abril de 2014, o Tribunal de Justiça da União Europeia declarou inválida a Directiva da Retenção de Dados. Motivos: - Aplica-se a todos os indivíduos, todos os meios de comunicação electrónica e todos os dados de tráfego, sem qualquer diferenciação; - Não contém critérios objectivos de acesso aos dados pelas autoridades nacionais competentes; - Não contém salvaguardas suficientes contra eventuais abusos e não assegura a destruição irreversível dos dados, uma vez findo o prazo de conservação; - Não impõe que os dados sejam conservados no território da EU; - A Lei 32/2008 mantém-se em vigor, mas é provável que a Comissão Europeia aprove uma nova proposta de Directiva que venha eliminar os vícios constatados pelo Tribunal de Justiça. 15

23 Direito das Comunicações Electrónicas Recursos de Numeração A Privacidade nas Comunicações 13. As cookies Cookies ou testemunhos de conexão Um cookie é um pequeno ficheiro de texto que um sítio Web instala no seu computador ou dispositivo móvel quando o visita. Estes ficheiros permitem que durante um certo período de tempo o sítio Web se «lembre» das suas acções e preferências, nomeadamente do nome de utilizador, da língua escolhida, do tamanho dos caracteres e de outras definições de visualização. É por isso que quando percorre as páginas de um sítio ou regressa a um sítio que já visitou não tem, em princípio, de voltar a indicar as suas preferências quando regressa a um sítio. Regra: Consentimento dos utilizadores: Com informação específica, clara e completa Antes da instalação dos cookies Através de um comportamento activo Mediante uma decisão livre

24 Direito das Comunicações Electrónicas Recursos de Numeração A Privacidade nas Comunicações 13. As cookies Cookies técnicas ou de sessão Não é necessário consentimento prévio para instalar cookies para armazenamento técnico ou acesso a informação armazenada no equipamento terminal de um assinante/utilizador: Que tenha como única finalidade transmitir uma comunicação através de uma rede de comunicações electrónicas, ou Seja estritamente necessária ao fornecedor para fornecer um serviço da sociedade de informação solicitado expressamente pelo assinante ou utilizador

25 Direito das Comunicações Electrónicas Recursos de Numeração A Privacidade nas Comunicações 14. Outras Normas Protectoras dos Assinantes - Direito a factura não detalhada - Quando for apresentada a identificação da linha chamadora (CLI), as empresas que oferecem serviços de comunicações electrónicas devem garantir, linha a linha, aos assinantes e em cada chamada aos utilizadores a possibilidade de, através de meio simples e gratuito, impedir a apresentação do CLI - Listas de assinantes direito de informação prévia à inclusão em listas dos seus dados, de decidir que dados incluir e de consentir sobre essa inclusão;

26 Direito das Comunicações Electrónicas Recursos de Numeração A Privacidade nas Comunicações 15. Comunicações não solicitadas - SPAM O envio de comunicações não solicitadas para fins de marketing directo, designadamente através da utilização de sistemas automatizados de chamada e comunicação que não dependam da intervenção humana (aparelhos de chamada automática), aparelhos de telecópia ou de correio electrónico, SMS (serviços de mensagens curtas), EMS (serviços de mensagens melhoradas) MMS (serviços de mensagem multimédia) e outros tipos de aplicações similares. Está sujeito a consentimento prévio e expresso do assinante que seja pessoa singular, ou do utilizador (opt-in)

27 Direito das Comunicações Electrónicas Recursos de Numeração A Privacidade nas Comunicações 15. Comunicações não solicitadas - SPAM Não é necessário consentimento (opt-out) quando: Os assinantes sejam pessoas colectivas As comunicações sejam enviadas a coordenadas electrónicas de contacto obtidas legalmente, para fins de marketing directo dos seus próprios produtos ou serviços análogos aos transaccionados, desde que garanta aos clientes em causa, clara e explicitamente, a possibilidade de recusarem, de forma gratuita e fácil, a utilização de tais coordenadas: a) No momento da respectiva recolha; e b) Por ocasião de cada mensagem, quando o cliente não tenha recusado inicialmente essa utilização. - É proibido o correio electrónico para fins de marketing directo que oculte ou dissimule a identidade da pessoa em nome de quem é feita a comunicação. - Quem faz envio de mailings para marketing directo deve manter uma lista de opt-ins e opt-outs - A Direcção Geral do Consumidor deve manter actualizada uma lista de âmbito nacional de pessoas colectivas que tenham manifestado o opt-out

28 Direito das Comunicações Electrónicas Recursos de Numeração A Privacidade nas Comunicações Sentem-se mais seguros?

29 Políticas das Comunicações e Regulação Obrigado

30 LISBOA R. Dom Francisco Manuel de Melo, n.º 21, Lisboa T F FUNCHAL Av. Zarco, n.º2, 2.º, Funchal T F Em parceria com_ Simmons & Simmons (*) Andreia Lima Carneiro & Associados _ANGOLA _BRASIL _MOÇAMBIQUE PORTO (*) R. Tenente Valadim, n.º 215, Porto T F