27 de maio de 2014 e-privacy Proteção de Dados Pessoais nas Comunicações Eletrónicas
e- Privacy Agenda O maravilhoso mundo das comunicações eletrónicas e tecnologias e a Privacidade Enquadramento legal e conceitos Principais aspetos do regime jurídico Cookies Obrigação de retenção Notificação de data breaches Desafios
O maravilhoso mundo das comunicações eletrónicas e tecnologias e a Privacidade
O maravilhoso mundo das comunicações eletrónicas e das tecnologias de informação Introdução Mobile Marketing Motores de busca e-health RFID e-insurance Redes sociais Outsourcing Nanotecnologias Cookies Mobile payments 4
Mas não podemos esquecer a privacidade e a proteção de dados! Introdução 5
Enquadramento legal Enquadramento legal e conceitos e conceitos
Enquadramento Legal Lei de Proteção de Dados Pessoais Lei 67/98 de 26 outubro Lei da Privacidade nas Comunicações Eletrónicas Lei 41/2004 de 18 agosto, alterada pela Lei 46/2012 de 29 agosto Lei da Retenção de Dados Lei 32/2008 de 17 julho Lei das Comunicações Eletrónicas Lei 5/2004 de 10 fevereiro (versão alterada) Diretiva Proteção de Dados Pessoais Diretiva 95/46/CE de 24 outubro Diretiva e-privacy Diretiva 2002/58/CE de 12 julho Diretiva Retenção Diretiva 2006/24/CE de 15 março Diretiva Direitos dos Cidadãos Diretiva 2009/136/CE de 25 novembro 7
Conceitos Dados de tráfego Dados tratados para efeitos do envio de uma comunicação através de uma rede de comunicações eletrónicas ou para efeitos da faturação da mesma Dados de localização Dados tratados numa rede de comunicações eletrónicas ou no âmbito de um serviço de comunicações eletrónicas que indiquem a posição geográfica do equipamento terminal de um utilizador de um serviço de comunicações eletrónicas acessível ao público Cookies Pequenos ficheiros que os websites colocam no disco rígido do computador ou telemóvel do utilizador quando este os visita Data breaches Violação da segurança, que provoque de modo acidental ou ilegal destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais tratados no contexto da prestação de serviços de comunicações eletrónicas acessíveis ao público 8
Principais aspetos do regime jurídico 9
Dados de tráfego Regime jurídico Os dados devem ser eliminados ou tornados anónimos imediatamente após a comunicação Os dados necessários para efeitos de faturação e para pagamento de interligações podem ser armazenados (apenas durante o período dentro do qual a fatura ainda poderá ser contestada ou o pagamento reclamado) Os dados poderão também ser tratados e armazenados para outras finalidades, quando haja o consentimento expresso do titular dos dados (ex. prestação de serviços de valor acrescentado) 10
Regime jurídico Diretiva Retenção Diretiva 2006/24/CE de 15 março Lei da Retenção de Dados Lei 32/2008 de 17 julho 11
Obrigação de Retenção 12
Obrigação de retenção de dados pelos operadores Obrigação de conservação e transmissão Regime jurídico Dados de tráfego e de localização Dados conexos para identificar o assinante ou o utilizador registado gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações Para fins de investigação, detecção e repressão de crimes graves 13
Obrigação de retenção Regime jurídico Os operadores são obrigados a conservar os dados por 1 ano a contar da data da conclusão da comunicação Categorias de dados a conservar: Fonte de uma comunicação Destinatário de uma comunicação Data, hora e duração de uma comunicação Tipo de comunicação + Equipamento de telecomunicações dos utilizadores Localização do equipamento de comunicação móvel Dados relativos a chamadas telefónicas falhadas 14
Obrigação de retenção Separação de ficheiros Regime jurídico Ficheiro com pacote de dados para efeitos da Lei 32/2008 Os dados (exceto o nome e endereço dos assinantes) devem ficar bloqueados, só sendo desbloqueados em caso de transmissão às entidades competentes Ficheiro com pacote de dados para outros fins 15
Obrigação de retenção TJUE considerou inválida a Diretiva da Retenção Regime jurídico Motivos: Aplica-se a todos os indivíduos, todos os meios de comunicação eletrónica e todos os dados de tráfego, sem qualquer diferenciação Não contém critérios objetivos de acesso aos dados pelas autoridades nacionais competentes, nem estipula os prazos máximo e mínimo de conservação dos dados Não contém salvaguardas suficientes contra eventuais abusos e não assegura a destruição irreversível dos dados, uma vez findo o prazo de conservação Não impõe que os dados sejam conservados no território da UE Mantém-se em vigor a Lei 32/2008 que transpôs a Diretiva 16
Dados de localização Regime jurídico Regra Proibição do tratamento de dados de localização relativos a assinantes ou utilizadores das redes públicas de comunicações ou de serviços de comunicações eletrónicas acessíveis ao público Apenas permitido se os dados forem tornados anónimos Exceções Permitido o registo, tratamento e transmissão de dados de localização às organizações com competência para receber chamadas de emergência para efeitos de resposta a essas chamadas Permitido o tratamento de dados de localização na medida e pelo tempo necessários para a prestação de serviços de valor acrescentado, desde que seja obtido consentimento prévio e expresso dos assinantes/utilizadores 17
Regime jurídico É proibida a escuta, a instalação de dispositivos de escuta, o armazenamento ou outros meios de interceção ou vigilância de comunicações e dos respetivos dados de tráfego por terceiros sem o consentimento prévio e expresso dos utilizadores, com exceção dos casos previstos na lei. INVIOLABILIDADE DAS COMUNICAÇÕES (DADOS DE TRÁFEGO E DE CONTEÚDO) 18
Notificação de Data Breaches
Os operadores de comunicações eletrónicas estão sujeitos a várias obrigações: Notificação de data breaches Obrigações em matéria de Privacidade Notificações à CNPD e aos assinantes/pessoas afetadas (Lei 41/2004 na sua redação atual e Regulamento UE n.º 611/2013 de 24 junho) Obrigações ao abrigo da Lei das Comunicações Eletrónicas Notificações ao ICP- ANACOM e ao público (violações de segurança ou perdas de integridade das redes artigo 54º-A e seguintes da Lei 5/2004 e Decisão do ICP-ANACOM sobre segurança e integridade das Redes, de 22 de dezembro de 2013) Regulamento Geral de Proteção de Dados Diretiva SRI
Notificação de violações de segurança pelos operadores Notificação de data breaches Regulamento (UE) nº 611/2013 de 24 de junho de 2013 1ª notificação no prazo de 24 horas após a deteção da violação, se possível com informação completa se a informação não estiver completa 2ª notificação assim que possível, o mais tardar três dias após a primeira notificação 21
Notificação de violações de segurança pelos operadores Notificação de data breaches Também ao assinante ou à outra pessoa em causa Caso a violação de dados pessoais seja suscetível de afetar negativamente os dados pessoais ou a privacidade de um assinante ou de outra pessoa Qualquer das notificações pode pode ser dispensada se o operador demonstrar cabalmente que adotou as medidas tecnológicas de proteção adequadas e que essas medidas foram aplicadas aos dados afetados pela violação 22
Cookies 23
A regra para a utilização de cookies é o consentimento do utilizador Cookies Consentimento dos utilizadores: 1. Com informação específica, clara e completa 2. Antes da instalação dos cookies 3. Através de um comportamento ativo 4. Mediante uma decisão livre Orientações do Grupo de Trabalho do Artigo 29.º sobre obtenção de consentimento para cookies 24
Existem exceções: Cookies técnicas ou de sessão Cookies Não é necessário consentimento prévio para instalar cookies para armazenamento técnico ou acesso a informação armazenada no equipamento terminal de um assinante/utilizador: Que tenham como única finalidade transmitir uma comunicação através de uma rede de comunicações eletrónicas A transmissão da comunicação não deve ser possível sem o recurso ao testemunho Estritamente necessárias ao fornecedor para fornecer um serviço da sociedade de informação solicitado expressamente pelo assinante ou utilizador Requisitos cumulativos 25
Devem ser prestadas determinadas informações (tipos de cookies utilizadas e forma de as desativar no browser) Cookies É recomendada a adoção de uma Política de Cookies (acessível na homepage) 26
ALGUMAS OBRIGAÇÕES ESPECÍFICAS DOS OPERADORES Regime jurídico Prazo de conservação dos dados de tráfego e localização Especiais obrigações de informação relativamente a recolha em redes não seguras Obrigação de retenção de dados para efeitos de investigação criminal (determinados tipos de crimes) Adoção de medidas adequadas a prevenir a violação de dados pessoais (no mínimo encriptação) e a inviolabilidade das comunicações Notificação de data breaches 27
Desafios
Desafios O caminho da privacidade é a regulação? Mais regulação significa mais privacidade? Como poderemos regular um mundo digital sem quaisquer fronteiras? A privacidade é inimiga da inovação na área das comunicações eletrónicas e das tecnologias? 29
Contactos Magda Cocco Área de Telecomunicações & Media, Privacidade, Proteção de Dados & Cibersegurança mpc@vda.pt 30
www.vda.pt O DIREITO À EXCELÊNCIA A RIGHT TO EXCELLENCE