MASTER CLASS. Revisão do Pacote Regulamentar das Comunicações Electrónicas ( Revisão 2006 )

Documentos relacionados
A Transposição do Novo Pacote Regulamentar e a Novas Lei das Comunicações Electrónicas. Protecção do Consumidor, Privacidade e Segurança de Redes

A Nova Lei da Retenção de Dados

Seminário Segurança e Gestão de Risco. Segurança vs Alarmismo - um equilíbrio difícil no novo quadro legal -

Cibersegurança - aspetos económicos - Um desafio ou uma oportunidade?

Assim, impõe-se a transposição para o ordenamento jurídico português da referida diretiva.

Em resposta à consulta que nos foi feita e que agradecemos, relativa ao Projecto de Diploma em assunto, vimos apresentar o seguinte parecer:

NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS (RGPD)

Maio de 2018: estou em compliance com o novo Regulamento Geral de Proteção de Dados?

DIREITO DAS COMUNICAÇÕES A Privacidade nas Comunicações Luís Neto Galvão, Advogado, Sócio da SRS Advogados

e-privacy Proteção de Dados Pessoais nas Comunicações Eletrónicas

POLÍTICA DE PROTEÇÃO DE DADOS. PRF - Gás Tecnologia e Construção, S.A.

Ao subscreveres o nosso serviço, estás aceitando os termos e condições definidos em baixo:

30. Países terceiros. 1. Anonimização. 31. Partilha de Dados. 2. Auto-responsabilização. 32. Protecção de dados desde a concepção

Marketing Promocional Ao abrigo do novo acordo ortográfico.

Miguel Pupo Correia. Professor da Universidade Lusíada de Lisboa Advogado

Política de Protecção de Dados e Privacidade

Cibersegurança Aspetos Legais

POLÍTICA DE PROTEÇÃO DE DADOS E DE PRIVACIDADE

Política de Privacidade e Proteção de Dados

POLÍTICA DE PRIVACIDADE

LISTA DE NORMAS E/OU ESPECIFICAÇÕES PARA REDES E SERVIÇOS DE COMUNICAÇÕES ELECTRÓNICAS E RECURSOS E SERVIÇOS CONEXOS DOCUMENTO PARA CONSULTA

REGULAMENTO INTERNO SOBRE TRATAMENTO DE DADOS PESSOAIS

POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS E PRIVACIDADE FAMÍLIA BARRAL - OFERTA 10% DESCONTO

ITEN Política de Privacidade POLÍTICA DE PRIVACIDADE

Política de Proteção de Dados e de Privacidade DreamMedia

PDP.003 (1) Resposta à Violação de Dados Pessoais (Data Breach)

Política de Privacidade e Proteção de Dados Pessoais

Por força de tal diploma legal, a NOPTIS estabelece a sua POLÍTICA DE PRIVACIDADE, nos termos que se seguem.

POLÍTICA DE PRIVACIDADE E PROTECÇÃO DE DADOS

Regulamento Geral de Protecção de Dados (RGPD) na Webdados

Política de Privacidade Este aplicativo coleta alguns dados pessoais de seus usuários. Resumo

As obrigações do responsável pelo tratamento de dados

Política de Proteção de Dados, Privacidade e Segurança da Informação

NOTA DE ESCLARECIMENTO SOBRE A OFERTA DE SERVIÇOS COM UTILIZAÇÃO DE NÚMEROS GEOGRÁFICOS, NÓMADAS OU OUTROS

Anexo à Consulta Pública do Banco de Portugal n.º 1/2017: Quadro de opções

Deliberação de DELIBERAÇÃO

NEWSLETTER PROPRIEDADE INTELECTUAL, MEDIA E TI I 2.º TRIMESTRE 2016 I A PROTECÇÃO DOS DADOS PESSOAIS E DA PRIVACIDADE VEIO PARA FICAR 2

POLÍTICA DE PROTEÇÃO DE DADOS

Este site é propriedade do Banco Sabadell S.A. Aviso legal. Condições Gerais de utilização do site. Objeto

Contratos Celebrados à Distância e Contratos Celebrados Fora do Estabelecimento Comercial

Confiança, Privacidade, Proteção de Dados e Segurança na Era do Consumidor Digital

Política de Privacidade e Tratamento de Dados Pessoais

Regulamento Geral de Protecção de Dados (RGPD) na Webdados

Breve Guia Prático 25 de junho 2014 Auditório da Vieira de Almeida & Associados

CÓDIGO DE CONDUTA PROTECÇÃO DADOS

Regulamento Interno PARTE PRIMEIRA

Política de Privacidade

Política de Privacidade e proteção de dados pessoais

POLÍTICA DE PRIVACIDADE SUBLIME STAY, LDA

A privacidade do utilizador é importante para a Sociedade Agro Turística Casal Do Pinão, Lda.,

DECRETO LEI N.º 134/2009, DE 2 DE JUNHO

A privacidade do utilizador é importante para a Casa d Óbidos Turismo Rural, Lda, à frente

A privacidade do utilizador é importante para a Fernando Madeira de Oliveira, Lda, á frente

CÓDIGO DE CONDUTA PARA PROTEÇÃO DE DADOS PESSOAIS

Política de Privacidade e Proteção de Dados Pessoais

POLITICA DE PRIVACIDADE

A privacidade do utilizador é importante para a empresa Teatro Antigo, Lda., à frente

Política de Privacidade e Proteção de Dados Pessoais

Cibersegurança e Cibercrime

PRIVACIDADE E SEGURANÇA

Segurança da Informação Empresarial

Autoriza o Governo a alterar o Estatuto do Notariado e o Estatuto da Ordem dos Notários

Política de Privacidade e Tratamento de dados

Intervenção da Direção-Geral do Consumidor no painel A perspetiva das autoridades reguladoras, de supervisão e de apoio ao consumidor

No âmbito desta Política de Privacidade, a PÁTIO DAS MARGARIDAS definiu como:

Edição ou última data de revisão:

Política de Privacidade

ANEXO PROPOSTA DE LEI COMENTADA

Política de Privacidade e de Cookies do Concurso. Mudar é Ganhar

Política de privacidade e proteção de dados pessoais

Política de Proteção de Dados e de Privacidade UNIVERSIDADE DO ALGARVE Versão 1.1

PROPOSTA DE LEI SOBRE O TRATAMENTO DE DADOS PESSOAIS E PROTEÇÃO DE PRIVACIDADE

Regulamento Geral de Protecção de Dados (RGPD) na Webdados

Deliberação n.º 2180/2009, de 1 de Julho (DR, 2.ª série, n.º 142, de 25 de Julho de 2009) Aprova o Código de Conduta do INFARMED, I.

DECLARAÇÃO DE CONFIDENCIALIDADE. Qual é o objetivo da recolha de dados? Qual é a base jurídica do tratamento de dados?

PARLAMENTO EUROPEU PROJECTO DE PARECER. Comissão da Indústria, do Comércio Externo, da Investigação e da Energia PRELIMINAR 2000/0189(COD)

Os dados pessoais podem ser livremente fornecidos pelo usuário, ou coletados automaticamente quando se utiliza este aplicativo.

Entre os tipos de dados pessoais que este aplicativo recolhe, por si só ou por meio

Aplicação do regime R&TTE

Guia de Preparação para o Novo Regulamento Geral Europeu para a Protecção de Dados

POLÍTICA DE PRIVACIDADE

DECISÃO. Enquadramento

AUTORIDADE EUROPEIA PARA A PROTECÇÃO DE DADOS

Capítulo I. Disposições Gerais. Artigo 1º Âmbito

PROPOSTA DE LEI N.º 96/IX

Responsabilidade Ambiental Obrigações do operador no âmbito do Regime RA. Vera Lopes, 27 de Junho, Alfragide

N. o de Agosto de 2004 DIÁRIO DA REPÚBLICA I SÉRIE-A Lei n. o 41/2004

POLÍTICA DE PRIVACIDADE

POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS

POLÍTICA DE PROTEÇÃO DE DADOS E DE PRIVACIDADE

Partido Popular. CDS-PP Grupo Parlamentar PROJECTO DE LEI N.º 367/X REGIME JURÍDICO DA OBTENÇÃO DE PROVA DIGITAL ELECTRÓNICA NA INTERNET

FINDMORE - Política de Privacidade Online Site: Agileontheroad.eu

POLÍTICA DE PRIVACIDADE E TRATAMENTO DE DADOS PESSOAIS

Políticas de Privacidade

POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS

Política de Proteção de Dados e de Privacidade CÂMARA MUNICIPAL - CÂMARA DE LOBOS Versão 1.1

Transcrição:

MASTER CLASS Revisão do Pacote Regulamentar das Comunicações Electrónicas ( Revisão 2006 ) eprivacidade: A Directiva eprivacy o novo regime dos data breaches e o impacto económico e legal das novas obrigações de retenção de dados impostas aos operadores

Enquadramento ÍNDICE Notificação de Data Breaches Obrigação de notificação Data breach Impacto nos operadores Retenção de dados Obrigações Impacto económico e legal Outras novidades da Directiva eprivacy 2

ENQUADRAMENT O Aprovação da Directiva Retenção CE adopta proposta de Directiva eprivacy Data limite transposição da Directiva eprivacy 03.06 09.07 11.07 07.08 05.09 10.09 11.09 05.11 Data limite transposição da Directiva Retenção (sem extensão) Aprovação da Lei 32/2008 Entrada em vigor da Lei 32/2008 Aprovação da Portaria 469/2009 Aprovação da Directiva eprivacy

NOTIFICAÇÃO DE Quantas empresas não perderam já laptops que contêm dados? Quantas empresas têm políticas de controlo apertadas quanto à comunicação, interna e externa, de dados? Quantas empresas fazem testes regulares para aferir da segurança dos seus sistemas de informação? Quantas empresas auditam a actividade dos seus outsourcers quanto às medidas de protecção dos dados? Quantas empresas têm uma política de data breach? 4

NOTIFICAÇÃO DE PONTO DE VIRAGEM NO SECTOR DAS TELECOMUNICA ÇÕES 5

Notificação de data breaches NOTIFICAÇÃO DE Consagração da obrigação de notificação imediata, pelos operadores, da ocorrência de data breaches (violações de segurança) Esta obrigação vai implicar necessariamente uma alteração profunda na forma como os operadores encaram as matérias da privacidade e protecção de dados Alguns EMs adiantaram-se e já aprovaram leis que impõem a notificação de data breaches (Alemanha). Noutros casos (UK), constitui uma boa conduta a notificação da ocorrência destas violações, ainda que não exista uma obrigação legal 6

NOTIFICAÇÃO DE O que é considerado um data breach? 7

violação da segurança, que provoque de modo acidental ou ilegal destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais tratados no contexto da prestação de serviços de comunicações electrónicas acessíveis ao público na Comunidade 8

NOTIFICAÇÃO DE Violação de segurança Devem ser notificadas todas e quaisquer violações, desde que provoquem a destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais Não foi adoptada a proposta do Conselho, segundo a qual apenas seriam notificadas as violações graves (tal como a actual recomendação da ICO) 9

NOTIFICAÇÃO DE Modo acidental ou ilegal Não é necessário demonstrar que existiu dolo na violação Negligência leve Qualquer violação de segurança, ainda que provocada acidentalmente, deverá ser notificada 10

NOTIFICAÇÃO DE Destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais Formulação muito genérica, pelo que inclui diferentes formas de violação: Acesso não autorizado Perda/divulgação de dados, ainda que não tenha sido demonstrada a existência de acesso não autorizado Roubo de identidade Corrupção de dados 11

NOTIFICAÇÃO DE Dados tratados no contexto da prestação de serviços de comunicações electrónicas acessíveis ao público Âmbito de aplicação limitado Não adopção da proposta da EDPS de incluir prestadores de serviços da sociedade da informação (bancos on-line, prestadores de cuidados de saúde on-line) no âmbito da obrigação de notificar violações de segurança Efeito dominó: possibilidade de extensão a todos os sectores da economia (Considerando 59) 12

Destinatários das notificações NOTIFICAÇÃO DE Autoridade nacional competente (no nosso caso será o ICP-ANACOM e a CNPD) Assinantes/pessoas afectadas (no caso em que a violação de dados pessoais possa afectar negativamente a protecção dos dados pessoais e a privacidade) Extensão da obrigação de notificação às pessoas afectadas 13

Notificação de data breaches ao assinante/ pessoa afectada NOTIFICAÇÃO DE Como determinar se existe risco da violação afectar negativamente a privacidade? Grupo do Artigo 29: O risco deve ser avaliado tendo em conta elementos como a (i) quantidade de dados afectados pela violação, (ii) a sua natureza, (iii) o impacto da violação para uma pessoa Os operadores fazem esta avaliação 14

NOTIFICAÇÃO DE De acordo com a Directiva, considera-se que uma violação afecta negativamente os dados ou a privacidade do assinante ou indivíduo sempre que possa resultar, por exemplo, em: Roubo ou usurpação de identidade Danos físicos Humilhações ou danos significativos à reputação no contexto do fornecimento de serviços de comunicações acessíveis ao público 15

NOTIFICAÇÃO DE Mas as Autoridades Nacionais podem exigir a notificação, sempre que considerem que a violação de segurança pode acarretar efeitos adversos prováveis As Autoridades Nacionais podem decidir não exigir a notificação quando considerem que o prestador provou ter adoptado as medidas tecnológicas de protecção adequadas e que tais medidas foram aplicadas aos dados a que diz respeito essa notificação Isenções de Notificação 16

Data Breach NOTIFICAÇÃO DE Notificação ICP- ANACOM e CNPD Impacto negativo nos assinantes/ pessoas afectadas? Sim Não Notificação aos assinantes/pessoas afectadas Autoridades concordam Autoridades não concordam Não notificação aos assinantes/pessoa s afectadas Adopção de medidas tecnológicas Notificação 17

Conteúdo mínimo da notificação aos assinantes/pessoas afectadas NOTIFICAÇÃO DE Natureza da violação de dados pessoais Pontos de contacto onde podem ser obtidas informações Recomendação de medidas destinadas a limitar eventuais efeitos adversos da violação 18

Conteúdo mínimo da notificação à autoridade nacional competente NOTIFICAÇÃO DE Natureza da violação de dados pessoais Pontos de contacto onde podem ser obtidas informações Recomendação de medidas destinadas a limitar eventuais efeitos adversos da violação Consequências da violação de dados pessoais Medidas propostas ou tomadas pelo prestador para fazer face à violação 19

Registo NOTIFICAÇÃO DE Os operadores devem manter um registo das violações de dados pessoais com as seguintes indicações: Factos subjacentes à violação Efeitos Medidas de reparação tomadas Não foi adoptada a proposta do PE segundo o qual os registos deveriam ser sempre tornados públicos cadastros de data breaches 20

Sanções NOTIFICAÇÃO DE A Directiva prevê que as autoridades nacionais possam auditar o cumprimento da obrigação de notificação pelos operadores e aplicar sanções em caso de não cumprimento desta obrigação Não é especificado o tipo de sanções Grupo do Artigo 29 defendeu a aplicação de sanções pecuniárias pesadas 21

NOTIFICAÇÃO DE Estas sanções aplicam-se sem prejuízo das sanções já previstas na lei de protecção de dados pessoais Se, a par da não notificação do data breach, a violação tiver ocorrido por violação de disposições da lei (desde logo as medidas de segurança), a CNPD poderá aplicar coimas ou sanções acessórias Mas as consequências do data breach não se resumem às sanções 22

NOTIFICAÇÃO DE Data breaches não se enquadram apenas na categoria de riscos jurídicos Gestão de risco Risco jurídico Risco de negócio Risco reputacional Risco financeiro Risco operacional 23

NOTIFICAÇÃO DE Estes impactos explicam as medidas drásticas adoptadas pela Deutsche Telekom, na sequência de dois escândalos recentes que afectaram fortemente a reputação do operador Extravio de dados relativos a 17 milhões de clientes Acesso ilegítimo a dados de tráfego de colaboradores da empresa Privacidade no topo das prioridades 24

Obrigação de retenção de dados RETENÇÃO DE DADOS Obrigação de conservação e transmissão dos dados de tráfego e de localização, bem como dos dados conexos para identificar o assinante ou o utilizador registado, gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações Para fins de investigação, detecção e repressão de crimes graves 25

RETENÇÃO DE DADOS Dados de tráfego e de localização Dados conexos para identificar o assinante ou o utilizador registado gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações 26

RETENÇÃO DE DADOS Os operadores devem conservar os dados 1 ano a contar da data da conclusão da comunicação São conservados Dados telefónicos e da Internet relativos a chamadas telefónicas falhadas quando sejam gerados ou tratados e armazenados pelos operadores, no contexto de oferta de serviços de comunicações Não são conservados Dados relativos a chamadas não estabelecidas Dados que relevem o conteúdo das comunicações (excepto nos casos na Lei 41/2004 e Código do Processo Penal intercepção e gravação de chamadas) 27

Categorias de dados a conservar RETENÇÃO DE DADOS Fonte de uma comunicação Destinatário de uma comunicação Data, hora e duração de uma comunicação Tipo de comunicação Equipamento de telecomunicações dos utilizadores Localização do equipamento de comunicação móvel 28

RETENÇÃO DE DADOS Separação de ficheiros Ficheiro com pacote de dados para efeitos da Lei 32/2008 Os dados (excepto o nome e endereço dos assinantes) devem ficar bloqueados, só sendo desbloqueados em caso de transmissão às entidades competentes Ficheiro com pacote de dados para outros fins 29

Impacto da obrigação de retenção RETENÇÃO DE DADOS Aprovação e implementação da obrigação de retenção envolta em grande contestação dos operadores Elevados custos de implementação dos cidadãos Intromissão na vida privada e violação da privacidade 30

Impacto nos operadores RETENÇÃO DE DADOS Obrigação de retenção como potenciador de distorções do mercado Desde logo entre EMs, face aos diferentes requisitos técnicos e diferentes regimes de reembolso de custos 31

RETENÇÃO DE DADOS Não previsão do reembolso dos custos pelo Estado (apesar de previsto na versão original da Directiva e ter sido defendido por várias entidades, incluindo a CE e o Grupo do Artigo 29) Não obstante, alguns EMs previram nas leis nacionais o reembolso dos custos Lei 32/2008 não prevê o reembolso dos custos dos operadores 32

RETENÇÃO DE DADOS Aumento dos custos dos operadores Necessidade de investimento Complexidade na gestão dos ficheiros Necessidade de adopção de políticas internas claras de conservação, transmissão e destruição de dados 33

Impacto nos cidadãos RETENÇÃO DE DADOS Risco de intromissão na vida privada Na Alemanha, a lei da retenção de dados foi declarada inconstitucional: não garante um uso restritivo dos dados de tráfego por parte das autoridades permite uma intromissão na vida privada o armazenamento indiscriminado de dados põe em causa os direitos fundamentais dos cidadãos Dados serão imediatamente apagados Pedidos dos operadores de compensação pelos gastos incorridos contra o Estado 34

Outras novidades da Directiva OUTRAS NOVIDADES DA DIRECTIVA E- PRIVACY Cookies Inclusão explícita do RFID Combate contra o spam 35

Cookies OUTRAS NOVIDADES DA DIRECTIVA E- PRIVACY Os utilizadores passarão a ter de dar o seu consentimento prévio ao uso de cookies Excepção: situações em que o armazenamento técnico ou o acesso seja estrita e tecnicamente necessário para o objectivo legítimo de permitir a utilização de um serviço especificamente solicitado pelo assinante ou utilizador (v.g. session cookies) Margem ao legislador nacional para fixar a forma de obter consentimento Opt-in? Opt-out? Browser settings? 36

OUTRAS NOVIDADES DA DIRECTIVA E- PRIVACY Considerando 66: o consentimento pode ser demonstrado através do uso dos parâmetros adequados do programa de navegação ou de outra aplicação EMs defendem que é possível obter o consentimento através das settings do browser Grupo do Artigo 29 opôs-se veementemente a esta interpretação Seja qual for a interpretação que o nosso legislador irá fazer, esta medida terá um forte impacto, em especial ao nível da publicidade on-line, que utiliza os cookies para determinar as preferências dos utilizadores e ajustar a publicidade aos seus gostos 37

OUTRAS NOVIDADES DA DIRECTIVA E- PRIVACY RFID Clarificação que algumas aplicações RFID são abrangidas pelo âmbito da Directiva ( dispositivos de recolha de dados e de identificação ) Spam Associações de consumidores e ISPs passam a poder intentar acções judiciais contra spammers 38

MUITO OBRIGADA! AGRADECIMENT O

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback