GRUPO DE TRABALHO DE PROTECÇÃO DE DADOS DO ARTIGO 29.º



Documentos relacionados
Jornal Oficial da União Europeia

COMUNICAÇÃO DA COMISSÃO

PARLAMENTO EUROPEU. Comissão dos Assuntos Jurídicos PE v01-00

PROGRAMA DE ACÇÃO COMUNITÁRIO RELATIVO À VIGILÂNCIA DA SAÚDE. PROGRAMA DE TRABALHO PARA 2000 (Nº 2, alínea b), do artigo 5º da Decisão nº 1400/97/CE)

DOCUMENTO DE TRABALHO

Comissão apresenta estratégia europeia para a energia

Inventário I. Introdução

ADENDA AO MANUAL SOBRE A APLICAÇÃO PRÁTICA DO REGULAMENTO INN

Este documento constitui um instrumento de documentação e não vincula as instituições

COMISSÃO DAS COMUNIDADES EUROPEIAS PARECER DA COMISSÃO

Direito das sociedades e governo das sociedades: a Comissão apresenta um Plano de Acção

PROJETO DE RELATÓRIO

(Actos cuja publicação é uma condição da sua aplicabilidade)

(JO P 36 de , p. 533)

REGULAMENTO DELEGADO (UE) /... DA COMISSÃO. de

PARLAMENTO EUROPEU. Comissão do Meio Ambiente, da Saúde Pública e da Política do Consumidor

CONSELHO DA UNIÃO EUROPEIA. Bruxelas, 30 de Novembro de 2000 (13.10) (OR. fr) 14110/00 LIMITE SOC 470

PLANO DE GESTÃO DE RESIDUOS ÍNDICE 1. INTRODUÇÃO IDENTIFICAÇÃO DOS RESÍDUOS PRODUZIDOS MODO OPERATIVO RESPONSABILIDADES...

Impostos sobre os veículos automóveis ligeiros de passageiros *

PROJECTO DE CARTA-CIRCULAR SOBRE POLÍTICA DE REMUNERAÇÃO DAS INSTITUIÇÕES FINANCEIRAS

QUARTO PROTOCOLO AO ACORDO GERAL SOBRE O COMÉRCIO DE SERVIÇOS

Critérios Gerais de Avaliação

Resolução da Assembleia da República n.º 64/98 Convenção n.º 162 da Organização Internacional do Trabalho, sobre a segurança na utilização do amianto.

Conselho da União Europeia Bruxelas, 21 de junho de 2016 (OR. en)

Jornal Oficial da União Europeia L 141/5

Este documento constitui um instrumento de documentação e não vincula as instituições

Tendo em conta o Tratado que institui a Comunidade Europeia e, nomeadamente, o n. o 1 do seu artigo 95. o,

BDIRECTIVA 96/34/CE DO CONSELHO de 3 de Junho de 1996 relativo ao Acordo-quadro sobre a licença parental celebrado pela UNICEF, pelo CEEP e pela CES

DOCUMENTO DE CONSULTA REGULAMENTO DO BCE RELATIVO ÀS TAXAS DE SUPERVISÃO PERGUNTAS E RESPOSTAS

X CONGRESSO DOS REVISORES OFICIAIS DE CONTAS. 1.ª Sessão Supervisão do sistema financeiro

L 201/8 Jornal Oficial da União Europeia

Regime jurídico que regulamenta a compra e venda de fracções autónomas de edifícios em construção

COMISSÃO DAS COMUNIDADES EUROPEIAS

PARLAMENTO EUROPEU PROJECTO DE PARECER. Comissão da Indústria, do Comércio Externo, da Investigação e da Energia PROVISÓRIO 2003/0252(COD)

Guidelines. Orientações relativas a determinados aspetos dos requisitos da DMIF em matéria de adequação. 25 de junho de 2012 ESMA/2012/387

Decreto do Governo n.º 1/85 Convenção n.º 155, relativa à segurança, à saúde dos trabalhadores e ao ambiente de trabalho

PRINCIPAL REGULAMENTAÇÃO EXISTENTE E SUA IMPLEMENTAÇÃO A NÍVEL EUROPEU CAPÍTULO 3

Assunto: Auxílio estatal notificado N 254/2005 Portugal Auxílio à formação a conceder à Blaupunkt Auto - Rádio Portugal, Lda.

ÍNDICE. Anexos: I. Formulário de notificação II. Quadro metodológico com vista a facilitar uma estimativa e avaliação consistentes do risco

CONSELHO MUNICIPAL DE EDUCAÇÃO DE RIO MAIOR

POLÍTICA DE SEGURANÇA DA RCTS

Proposta de REGULAMENTO (UE) N.º / DO PARLAMENTO EUROPEU E DO CONSELHO

L 129/52 Jornal Oficial da União Europeia

Observação das aulas Algumas indicações para observar as aulas

COMISSÃO DAS COMUNIDADES EUROPEIAS. Projecto de

NORMA CONTABILISTICA E DE RELATO FINANCEIRO 1 ESTRUTURA E CONTEÚDO DAS DEMONSTRAÇÕES FINANCEIRAS

O presente anúncio no sítio web do TED:

ACEF/1112/20967 Relatório final da CAE

Jornal Oficial das Comunidades Europeias

Anúncio de concurso. Serviços

01. Missão, Visão e Valores

REGULAMENTO DA BOLSA DE AUDITORES

CO SELHO DA U IÃO EUROPEIA. Bruxelas, 3 de Outubro de 2011 (06.10) (OR.en) 14552/11 SOC 804 JEU 53 CULT 66. OTA Secretariado-Geral do Conselho

TRATADO DE BUDAPESTE SOBRE O RECONHECIMENTO INTERNACIONAL DO DEPÓSITO DE MICRORGANISMOS PARA EFEITOS DO PROCEDIMENTO EM MATÉRIA DE PATENTES.

Definições (parágrafo 9) 9 Os termos que se seguem são usados nesta Norma com os significados

1. Requisitos quanto a detecção e sensores

Anúncio de concurso. Serviços

Regimento. Conselho Municipal de Educação de Mira

Jornal Oficial da União Europeia

Manual de Avaliação dos alunos do pré-escolar ao 9º ano de escolaridade

PUBLICAÇÕES: TECNOMETAL n.º 149 (Novembro/Dezembro de 2003) KÉRAMICA n.º 264 (Janeiro/Fevereiro de 2004)

NORMA CONTABILISTICA E DE RELATO FINANCEIRO 14 CONCENTRAÇÕES DE ACTIVIDADES EMPRESARIAIS. Objectivo ( 1) 1 Âmbito ( 2 a 8) 2

PROTOCOLO ENERGIA POSITIVA CONTRA A OBESIDADE

C N INTERPRETAÇÃO TÉCNICA Nº 2. Assunto: RESERVA FISCAL PARA INVESTIMENTO Cumprimento das obrigações contabilísticas I. QUESTÃO

Regulamento de Estágio do Mestrado em Desporto 2009

NORMA BRASILEIRA DE CONTABILIDADE NBC TSC 4410, DE 30 DE AGOSTO DE 2013

NORMAS INTERNACIONAIS DO TRABALHO Convenção (n.º 102) relativa à segurança social (norma mínima), 1952

NCRF 8 Activos não correntes detidos para venda e unidades operacionais descontinuadas

DIRECTIVA 2002/30/CE DO PARLAMENTO EUROPEU E DO CONSELHO

Decreto n.º 139/80 Convenção sobre o Reconhecimento dos Estudos e Diplomas Relativos ao Ensino Superior nos Estados da Região Europa

MESTRADO EM PSICOLOGIA SOCIAL E DAS ORGANIZAÇÕES GUIA DE ORGANIZAÇÃO E DE FUNCIONAMENTO DOS ESTÁGIOS

Acesso à informação, participação do público e acesso à justiça em matéria de ambiente a nível comunitário um Guia Prático

ASSUNTO: Processo de Auto-avaliação da Adequação do Capital Interno (ICAAP)

Novos Vectores de Enquadramento do Transporte Rodoviário O Pacote Rodoviário

Eixo Prioritário III Valorização e Qualificação Ambiental e Territorial Equipamentos para a Coesão Local Equipamentos Sociais

Norma Interpretativa 2 Uso de Técnicas de Valor Presente para mensurar o Valor de Uso

Regimento do Conselho Municipal de Educação de Cinfães

(85/577/CEE) Tendo em conta o Tratado que institui a Comunidade Europeia e, nomeadamente, o seu artigo 100º,

I O SISTEMA DE CONTROLO OFICIAL NA UNIÃO EUROPEIA

Jornal oficial no. L 171 de 07/07/1999 P Texto:

DISCUSSÕES UE/EUA RELATIVAS AO ACORDO SOBRE EQUIVALÊNCIA VETERINÁRIA

Auditoria nos termos do Regulamento da Qualidade de Serviço Relatório resumo EDP Serviço Universal, S.A.

INTERPRETAÇÃO TÉCNICA Nº 4. DIREITOS DE EMISSÃO DE GASES COM EFEITO DE ESTUFA - Contabilização das licenças de emissão

Requisitos do Sistema de Gestão de Segurança para a Prevenção de Acidentes Graves (SGSPAG)

FICHA DOUTRINÁRIA. Diploma: CIVA. Artigo: nº 14 do art. 29º; 36º. Assunto:

澳 門 金 融 管 理 局 AUTORIDADE MONETÁRIA DE MACAU

Transcrição:

GRUPO DE TRABALHO DE PROTECÇÃO DE DADOS DO ARTIGO 29.º 00327/11/PT WP 180 Parecer 9/2011 sobre a proposta revista da indústria relativa a um quadro para as avaliações do impacto das aplicações RFID na protecção da privacidade e dos dados Adoptado em 11 de Fevereiro de 2011 O Grupo de trabalho foi instituído pelo artigo 29.º da Directiva 95/46/CE. Trata-se de um órgão consultivo europeu independente em matéria de protecção dos dados e da privacidade. As suas atribuições estão descritas no artigo 30.º da Directiva 95/46/CE e no artigo 15.º da Directiva 2002/58/CE. O secretariado é assegurado pela Direcção C (Direitos Fundamentais e Cidadania da União) da Direcção-Geral da Justiça da Comissão Europeia, B-1049 Bruxelas, Bélgica, escritório MO-59 06/36. Sítio Web: http://ec.europa.eu/justice/policies/privacy/index_en.htm

Índice 1 Contexto... 3 1.1 Introdução...3 1.2 Resumo do quadro revisto... 4 2 Análise... 5 3 Conclusão... 7

O GRUPO DE TRABALHO DE PROTECÇÃO DAS PESSOAS NO QUE DIZ RESPEITO AO TRATAMENTO DE DADOS PESSOAIS, Instituído pela Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, Tendo em conta o artigo 29.º e o artigo 30.º, n.º 1, alínea a), e n.º 3, da referida directiva, bem como o artigo 15.º, n.º 3, da Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, Tendo em conta o seu regulamento interno, Adoptou o seguinte parecer: 1 Contexto 1.1 Introdução O presente parecer dá seguimento ao parecer 1 5/2010 (WP 175) sobre a proposta da indústria relativa a um quadro para as avaliações do impacto das aplicações RFID na protecção da privacidade e dos dados. Embora esta introdução repita alguns elementos contextuais necessários para compreender o objectivo e o âmbito do presente parecer, o leitor é convidado a consultar o parecer 5/2010 para informações mais pormenorizadas. Em 12 de Maio de 2009, a Comissão Europeia emitiu uma Recomendação 2 relativa à aplicação dos princípios de protecção da privacidade e dos dados nas aplicações assentes na identificação por radiofrequências. Nesta recomendação, convidou os Estados-Membros a assegurar que as empresas do sector, em colaboração com as partes interessadas ( ), estabeleçam um quadro para as avaliações do impacto na protecção da privacidade e dos dados. Este quadro deve ser apresentado para aprovação ao grupo de trabalho para a protecção de dados, criado nos termos do artigo 29.º. Uma vez definido o quadro para as avaliações do impacto na protecção da privacidade e dos dados, os Estados-Membros devem assegurar que os operadores de RFID procedam a uma avaliação do impacto das aplicações RFID na protecção da privacidade e dos dados (AIP), antes da sua implantação. Os Estados-Membros devem assegurar também que os operadores de RFID disponibilizem os relatórios resultantes da AIP à autoridade competente. Em 31 de Março de 2010, os representantes da indústria apresentaram uma proposta de quadro para as avaliações do impacto na protecção da privacidade e dos dados ao Grupo de trabalho do artigo 29.º, para aprovação. Todavia, embora esta proposta tenha constituído um bom ponto de partida, não recolheu o pleno apoio do Grupo de trabalho, nomeadamente devido à falta de 3 elementos essenciais no quadro proposto: 1) Uma abordagem da avaliação dos riscos claramente definida. 1 2 Parecer 5/2010 sobre a proposta da indústria relativa a um quadro para as avaliações do impacto das aplicações RFID na protecção da privacidade e dos dados, WP 175, 13 de Julho de 2010. http://ec.europa.eu/information_society/policy/rfid/documents/recommendationonrfid2009.pdf 3

2) A tomada em consideração das etiquetas RFID usadas por pessoas para além do perímetro operacional da aplicação. 3) Uma forma de ter em conta expressamente os princípios da desactivação das etiquetas no sector retalhista estabelecidos na Recomendação da Comissão Europeia relativa à aplicação dos princípios de protecção da privacidade e dos dados nas aplicações assentes na identificação por radiofrequências. Em 13 de Julho de 2010, o Grupo de trabalho resumiu estes elementos, bem como outros pontos problemáticos, no parecer 5/2010, no qual convidou a indústria a apresentar uma proposta revista do quadro para as avaliações do impacto das aplicações RFID na protecção da privacidade e dos dados. No que diz respeito à avaliação dos riscos, o Grupo de trabalho encorajou vivamente a indústria a basear-se nos conhecimentos especializados que a Agência Europeia para a Segurança das Redes e da Informação (ENISA) pode disponibilizar neste domínio. No mesmo mês, a ENISA publicou um parecer independente 3 com recomendações concretas destinadas a melhorar o quadro proposto. No seu parecer, a ENISA propôs, em especial, algumas orientações iniciais com vista à adopção de uma abordagem metodológica abrangente e reconhecida da avaliação de riscos, tendo sugerido a introdução de várias melhorias estruturais. Nos meses seguintes, a indústria reformulou o quadro AIP, tendo em consideração tanto os contributos do Grupo de trabalho como os da ENISA. Em 12 de Janeiro de 2011, este quadro AIP revisto foi apresentado para aprovação ao Grupo de trabalho de protecção de dados do artigo 29.º. O presente parecer constitui a resposta oficial do Grupo de trabalho a essa nova proposta. No texto que se segue, por «Recomendação RFID» entende-se a recomendação da Comissão Europeia relativa à aplicação dos princípios de protecção da privacidade e dos dados nas aplicações assentes na identificação por radiofrequências, publicada em 12 de Maio de 2009. Por «quadro revisto» ou simplesmente «quadro» entende-se o quadro para as avaliações do impacto das aplicações RFID na protecção da privacidade e dos dados, transmitido ao Grupo de trabalho do artigo 29.º em 12 de Janeiro de 2010 e reproduzido no Anexo do presente parecer. 1.2 Resumo do quadro revisto O quadro revisto começa por examinar os procedimentos internos importantes a ter em conta para realizar uma AIP, tais como a programação e o reexame da AIP, a compilação de documentação pertinente, a designação na organização das pessoas responsáveis pelo bom desenrolar da AIP, a identificação das condições susceptíveis de dar origem a uma futura revisão da AIP e a consulta das partes interessadas. O procedimento AIP desenrola-se em duas fases: 3 http://www.enisa.europa.eu/media/news-items/enisa-opinion-on-pia, Parecer da ENISA sobre a proposta da indústria relativa a um quadro para as avaliações do impacto das aplicações RFID na protecção da privacidade e dos dados, de 31 de Março de 2010. 4

I. Fase de pré-avaliação que consiste em classificar uma aplicação RFID segundo uma escala de 4 níveis, com base num esquema de decisão. O resultado desta avaliação permite determinar se a AIP é necessária ou não e optar por uma «AIP completa» ou uma «AIP limitada». As aplicações que utilizam etiquetas RFID susceptíveis de serem usadas por pessoas exigirão, pelo menos, uma «AIP limitada» (nível 1), ao passo que as aplicações que fazem um tratamento posterior de dados pessoais requerem uma «AIP completa» (níveis 2 e 3). Em contrapartida, as aplicações que não utilizam etiquetas susceptíveis de serem usadas por pessoas e que não procedem a um tratamento posterior de dados pessoais não são sujeitas a uma AIP (nível 0). II. Fase de avaliação de riscos, composta por 4 etapas principais: 1) Caracterização da aplicação (tipos de dados, fluxos de dados, tecnologia RFID, armazenagem e transferência de dados, etc.). 2) Identificação dos riscos para os dados pessoais, mediante a avaliação das ameaças, da sua probabilidade e respectivas consequências em termos de privacidade e respeito da legislação europeia. 3) Identificação e recomendação de controlos, em resposta a riscos previamente identificados. 4) Documentação dos resultados da AIP, elaboração de uma resolução relativa às condições de execução da aplicação RFID em análise, bem como informação sobre os riscos residuais. Cada etapa na fase de avaliação dos riscos é também completada por elementos fornecidos nos anexos do quadro revisto, concebidos para dar orientações à pessoa encarregada do controlo: Um modelo que permita descrever as principais características da aplicação RFID. Uma lista de 9 objectivos que as aplicações RFID devem satisfazer em matéria de privacidade, inspirada na Directiva 95/46/CE. Uma lista dos riscos típicos para a privacidade, acompanhada de descrições e exemplos. Uma lista de exemplos de controlos e de medidas de correcção a que se pode recorrer em resposta aos riscos identificados anteriormente. O resultado de uma AIP é formalizado pelo operador da aplicação RFID num relatório AIP, que descreve a aplicação RFID e apresenta em pormenor as 4 etapas da avaliação de riscos acima referida. 2 Análise O Grupo de trabalho reconhece o trabalho aprofundado realizado nos últimos meses pelas associações e os peritos do sector, pelos representantes do mundo académico, bem como por certas empresas, com vista a elaborar um quadro revisto. Os autores do quadro aproveitaram a oportunidade oferecida por esta revisão não só para responder à maior parte das preocupações expressas pelo Grupo de trabalho, mas também para apresentar uma estrutura mais clara e orientações mais sólidas aos operadores de RFID que aplicarão este quadro. 5

O Grupo de trabalho nota que o quadro revisto se baseia numa abordagem de gestão dos riscos, reiterando que esta é uma componente essencial de qualquer quadro para as avaliações do impacto das aplicações RFID na protecção da privacidade e dos dados. O Grupo de trabalho congratula-se também com a inclusão expressa de um procedimento de consulta das partes interessadas nos procedimentos internos necessários para a realização de uma AIP. O método de avaliação de riscos proposto é iniciado com um esquema de decisão de pré-avaliação que classifica as aplicações RFID em quatro níveis. O Grupo de trabalho observa que o esquema de decisão proposto encerra uma certa ambiguidade quanto à definição do que pode ou não ser considerado como um dado pessoal numa aplicação RFID. Se uma etiqueta com um elemento de identificação único se destinar a ser usada por uma pessoa, convém considerar o referido elemento como um dado pessoal, como já salientado no parecer 5/2010. Por conseguinte, na maioria dos cenários, se a etiqueta se destinar a ser usada por uma pessoa, a aplicação é de nível 2 e não de nível 1, como sugerido pelo quadro. Não obstante, o Grupo de trabalho regozija-se com o facto de o quadro revisto exigir claramente que os operadores de RFID efectuem uma AIP sempre que as etiquetas sejam usadas por uma pessoa. Como explicado em vários pareceres anteriores 4, uma das principais preocupações em termos de privacidade relacionadas com a tecnologia RFID «decorre das utilizações da tecnologia RFID que implicam a localização das pessoas e a obtenção do acesso a dados pessoais». Embora um operador de RFID possa não ter esse objectivo em mente ao desenvolver uma aplicação RFID, é importante ter em conta o risco que representa a eventual utilização das etiquetas por um terceiro para fins distintos dos previstos. O quadro revisto exige agora claramente que os operadores de RFID avaliem os riscos que podem surgir se as etiquetas forem utilizadas fora do perímetro operacional de uma aplicação RFID e/ou forem usadas por pessoas. Esta preocupação foi objecto de especial atenção no sector retalhista, onde se teme que os artigos com etiquetas adquiridos por pessoas possam ser utilizados de forma abusiva pelos retalhistas ou por terceiros para fins de localização ou de criação de perfis. A Comissão Europeia apontou uma solução para este problema na recomendação ao estabelecer o princípio da desactivação das etiquetas no ponto de venda, a menos que os clientes aceitem, com conhecimento de causa, que as etiquetas sejam mantidas operacionais. A mesma recomendação prevê a possibilidade de abrir uma excepção a este princípio, se a AIT concluir que o facto de manter as etiquetas operacionais depois de saírem do ponto de venda não representa uma ameaça provável à privacidade ou à protecção dos dados pessoais. O Grupo de trabalho observa que uma abordagem de gestão de riscos, como sugerida no quadro, constitui um instrumento fundamental para o operador de RFID avaliar os riscos que corre ao assumir a responsabilidade de manter as etiquetas activas depois de saírem do ponto de venda. A realização de uma AIP dará origem à elaboração de um relatório, que deve ser disponibilizado à autoridade competente pelo menos seis semanas antes da implantação da aplicação RFID em causa. O Grupo de trabalho gostaria de sublinhar que a realização de uma AIP exige também que os operadores de RFID elaborem e publiquem uma política de informação concisa, precisa e fácil de entender para cada uma das suas aplicações (como 4 Ver, por exemplo, o parecer 5/2010 (WP 175) e WP 105, «Documento de trabalho sobre as questões de protecção de dados relacionadas com a tecnologia RFID», de 19 de Janeiro de 2005. 6

estabelecido no ponto 7 da Recomendação). Esta política de informação deve incluir nomeadamente um resumo da avaliação do impacto na protecção da privacidade e dos dados. Quando este quadro começar a ser aplicado em aplicações RFID concretas, é provável que o seu conteúdo exija adaptações, que só poderão ser efectuadas com base na experiência adquirida e nas contribuições de todas as partes interessadas, incluindo a indústria, os consumidores, as autoridades responsáveis pela protecção dos dados e a ENISA. Tal será provavelmente o caso no que se refere à distinção entre uma AIP «completa» ou «limitada», tal como definidas no quadro revisto. Segundo a Recomendação, a Comissão Europeia deve além disso apresentar um relatório sobre a sua aplicação, a sua eficácia e o seu impacto nos operadores e nos consumidores, em especial no que respeita às medidas relativas ao sector retalhista. Este relatório deve ser apresentado três anos após a publicação da Recomendação, isto é, em Maio de 2012. No entanto, tendo em conta que podem decorrer seis meses até o quadro produzir plenos efeitos, seria útil conceder um prazo suplementar às partes interessadas antes da realização dessa avaliação. Por conseguinte, o Grupo de trabalho gostaria de sugerir à Comissão Europeia que adie a apresentação do relatório proposto ou o complete numa data ulterior, fixada em três anos após a publicação do presente parecer. 3 Conclusão O Grupo de trabalho aprova o quadro revisto apresentado em 12 de Janeiro de 2011. Este quadro produzirá efeitos o mais tardar seis meses após a publicação do presente parecer. Uma AIP é um instrumento concebido para assegurar a privacidade «de raiz», informar melhor os cidadãos, bem como favorecer a transparência e o diálogo com as autoridades competentes. Uma vez que algumas aplicações RFID serão aplicadas em vários Estados-Membros, é importante que os relatórios AIP sejam traduzidos e disponibilizados às autoridades competentes na respectiva língua nacional. O Grupo de trabalho continuará a apoiar o futuro diálogo com a indústria, melhorando e clarificando a estrutura e a aplicação do quadro AIP às aplicações RFID, com base na experiência adquirida e nas informações transmitidas por todas as partes interessadas. 7

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback