PLANO DE ATIVIDADES CNPD

PLANO DE ATIVIDADES CNPD 2015

2 Introdução O Plano de Atividades da Comissão Nacional de Protecção de Dados (CNPD) para o ano de 2015 reflete o compromisso em continuar a exercer com competência e dedicação as suas funções, tanto no plano nacional, como no plano internacional. No exercício das suas competências, a CNPD realiza ações de fiscalização, quer seja no seguimento de queixas e participações, quer seja por sua iniciativa, as quais não são programáveis e integram o trabalho corrente da Comissão. Por insuficiência de recursos humanos, resultante dos constrangimentos legais ao seu reforço, e da incapacidade do regime de mobilidade de funcionários da Administração Pública para dar resposta plena às necessidades sentidas nos serviços da Comissão, no ano anterior não foram planeadas fiscalizações específicas, a determinado tipo de tratamentos de dados ou sectores de atividade, não obstante a importância da sua realização no plano nacional e também quanto às partes nacionais de sistemas de informação europeus. Este ano, mantendo-se a situação de gritante falta de recursos humanos, entende-se necessário redirecionar o enfoque da atividade da CNPD. Com efeito, há setores de atividade que, pela sua sensibilidade ou pelas preocupações que os cidadãos têm manifestado junto da Comissão, requerem averiguações de forma sistematizada. Por outro lado, estando iminente a avaliação pela Comissão Europeia do cumprimento das obrigações do Estado Português relativas ao acervo Schengen, as consequências que poderão advir de uma avaliação negativa maxime a exclusão da participação do Estado Português no Sistema de Informação Schengen apelam ao sentido de responsabilidade que sempre pautou esta Comissão, pelo que este organismo procurará, na medida dos condicionalismos já referidos, cumprir a sua função de fiscalização e, em termos práticos, de orientação para a adoção dos melhores procedimentos pelos diversos organismos nacionais que participam naquele sistema. Para além do reforço na atividade de fiscalização, a CNPD não pode descurar o estudo das implicações que novas tecnologias de informação e comunicação têm nos direitos fundamentais dos cidadãos. Nessa medida, determinadas matérias de proteção de dados, que, pela sua relevância e recente evolução, reclamam a definição

3 e divulgação de orientações claras para os cidadãos, empresas e organismos públicos, serão objeto de análise. No que à atividade internacional diz respeito, a CNPD manterá a participação intensa nos diferentes organismos europeus em que tem assento, por força de instrumentos legais da União Europeia, bem como nas redes internacionais de proteção de dados, tarefa que se tem revelado especialmente exigente e absorvente, com reconhecimento generalizado dos seus parceiros quanto à valia do seu contributo. A ação internacional será ainda marcada pela continuação da discussão do futuro quadro legal europeu em matéria de proteção de dados. A este Plano de Atividades acrescem naturalmente todas as tarefas quotidianas da CNPD. Aqui, em face do acentuado ritmo de produção legislativa, sobretudo nacional, mas também europeu, assumirá um específico realce a emissão de pareceres sobre projetos e propostas de normas jurídicas relativas ao tratamento de dados pessoais. Para além do desenvolvimento da função de supervisão, a qual em grande medida passa pela apreciação de pedidos de autorização de tratamento de dados pessoais. Acrescente-se que a tutela dos direitos fundamentais reclama uma intervenção preventiva nas situações emergentes e de atuação firme sempre que aqueles direitos possam ser postos em causa, que não é suscetível de ser plenamente programada e obriga, quer ao dinamismo do presente Plano, quer à flexibilidade das medidas nele inscritas. Janeiro de 2015

4 MAPA DO PLANO A. APROFUNDAMENTO DE ÁREAS TEMÁTICAS 1. Regime jurídico da Proteção de Dados Pessoais no setor das Comunicações Eletrónicas 2. Cloud computing 3. Smart Cities B. ACOMPANHAMENTO DE DOSSIÊS 1. Futuro quadro legal de Proteção de Dados no plano Europeu 2. Sistemas de aeronaves tripuladas remotamente (Drones) e o tratamento de dados pessoais 3. Sistema de supervisão de tráfego no Município de Lisboa 4. Smart Borders 5. Novo Regulamento Eurodac 6. PNR nacional C. AUDITORIAS E FISCALIZAÇÕES 1. Fiscalização dos tratamentos de dados pessoais realizados pela AT no âmbito do e-fatura e do SAF-T 2. Fiscalização dos tratamentos de dados pessoais realizados pela ACSS e SPMS no âmbito do SNS 3. Fiscalização da Base de Dados de Perfis de ADN 4. Fiscalização da Unidade Nacional Europol

5 5. Fiscalização da parte nacional do Sistema de Informação Schengen 6. Fiscalização da parte nacional do Sistema de Informações VIS 7. Averiguação das comunicações de dados pessoais para fins de marketing por entidades privadas D. COOPERAÇÃO INSTITUCIONAL 1. Estabelecimento de protocolos com instituições do Ensino Superior 2. Conselho de Fiscalização da PIIC e Conselho de Fiscalização da Base de Dados de Perfis de ADN 3. Gabinete de Proteção de Dados Pessoais da Região Administrativa Especial de Macau 4. Instituto Nacional de Aviação Civil 5. Provedoria de Justiça 6. Centro de Competência em Cibersegurança e Privacidade (C3P) da Universidade do Porto 7. Faculdade de Direito da Universidade Nova de Lisboa 8. Instituto de Ciências Jurídico-Políticas da Faculdade de Direito da Universidade de Lisboa 9. Centro de Investigação e Desenvolvimento em Ciências Jurídicas Ratio Legis da Universidade Autónoma de Lisboa 10. Centro Internet Segura E. DIVULGAÇÃO E SENSIBILIZAÇÃO 1. Dia Europeu da Proteção de Dados 2. Prémio Ensaio CNPD 3. Promoção das matérias de proteção de dados junto das Magistraturas 4. Novas publicações na coleção Documentos da CNPD

6 5. Realização de conferências e palestras relativas aos regimes jurídicos europeu e nacional de proteção de dados pessoais 6. Participação em sessões no âmbito escolar F. INTERVENÇÃO INTERNACIONAL 1. ICC Europol 2. ACC Eurojust 3. ASC do Sistema de Informação Aduaneiro 4. Grupo de Proteção de Dados da UE (Grupo do Artigo 29.º) 5. Grupo Internacional das Telecomunicações 6. Grupos de supervisão coordenada Eurodac, SIS II, VIS, SIA e IMI 7. Rede Ibero-americana de proteção de dados 8. Conferência Europeia de Comissários de Proteção de Dados 9. Conferência Internacional de Proteção de Dados G. ORGANIZAÇÃO INTERNA E FUNCIONAMENTO 1. Atualização do Sítio da Internet 2. Reforço de Recursos Humanos 3. Automatização de procedimentos decisórios 4. Formação interna Anexo Orçamento da CNPD para 2015

7 PLANO DE ATIVIDADES 2015 A. APROFUNDAMENTO DE ÁREAS TEMÁTICAS 1. Regime jurídico da proteção de dados pessoais no setor das comunicações eletrónicas Analisar a legislação relativa à privacidade no setor das comunicações eletrónicas à luz do acórdão do TJUE relativo à retenção de dados de tráfego; Estabelecer orientações para os prestadores de telecomunicações relativas aos prazos máximos de conservação dos dados de tráfego e ao dever de conciliação dos direitos dos assinantes e dos utilizadores; Definir orientações para utilização de cookies e devices fingerprinting. 2. Cloud computing Analisar as soluções tecnológicas de computação em nuvem, propostas no setor público e privado, de modo a encontrar respostas que, em função da natureza dos dados pessoais tratados, a qualidade pública ou privada do responsável e outros fatores relevantes, garantam os direitos dos cidadãos. 3. Smart Cities (Cidades inteligentes) Equacionar em todas as suas vertentes o fenómeno designado por smart cities, que se caracteriza pela utilização das tecnologias de informação e comunicação na gestão integrada das autarquias.

8 B. ACOMPANHAMENTO DE DOSSIÊS 1. Futuro quadro legal de proteção de dados no plano europeu No âmbito da revisão da Diretiva de Proteção de Dados e da Decisão- Quadro, no sentido do reforço dos direitos e das garantias das pessoas no futuro quadro legal europeu, continuar a análise das propostas de Regulamento e de Diretiva e a intervenção nos vários fóruns da União Europeia, formalizando a posição da CNPD quanto ao Regulamento. 2. Sistemas de aeronaves tripuladas remotamente (drones) e o tratamento de dados pessoais Considerando o impacto que a utilização dos sistemas de aeronaves tripuladas remotamente pode ter na privacidade dos cidadãos, manter os contactos com o Instituto Nacional de Aviação Civil e outras entidades, a fim de contribuir para a regulamentação legal desta realidade. Delimitar áreas de atividade/finalidades de utilização de drones suscetíveis de ser objeto de deliberação de isenção de notificação à CNPD. 3. Sistema de supervisão de tráfego do Município de Lisboa Acompanhamento do estudo de impacto de privacidade e das medidas adequadas à minimização dos riscos para a proteção de dados pessoais a efetuar pela Câmara Municipal de Lisboa no sistema de supervisão de tráfego através de câmaras de vídeo.

9 4. Smart Borders Acompanhamento da experiência-piloto eu-lisa/serviço de Estrangeiros e Fronteiras e de outros projetos europeus, no âmbito do desenvolvimento e aplicação do conceito de fronteiras inteligentes. 5. Novo Regulamento Eurodac Acompanhamento da execução do novo Regulamento Eurodac, que prevê designadamente o acesso pelas autoridades policiais aos dados constantes deste sistema de informação. 6. PNR nacional Supervisão do projeto tecnológico português de desenvolvimento do programa Passanger Name Record (PNR), que foi objeto de financiamento pela Comissão Europeia. C. AUDITORIAS E FISCALIZAÇÕES 1. Fiscalização dos tratamentos de dados pessoais realizados pela AT no âmbito do e-fatura e do SAF-T As alterações legislativas ocorridas no IRS para o ano de 2015, relativamente à exigência de identificação do titular através do NIF nas despesas a abater à coleta poderá acarretar uma desproporcionada violação da privacidade dos cidadãos se não tiverem sido adotadas as medidas técnicas e organizativas que mitiguem aqueles riscos. A CNPD tem, por isso, de fiscalizar este tratamento de dados pessoais.

10 2. Fiscalização dos tratamentos de dados pessoais realizados pela ACSS e SPMS no âmbito do SNS A importância para a privacidade dos cidadãos da conformidade dos tratamentos de dados pessoais da responsabilidade destas entidades e a verificação da adoção das medidas indicadas na Autorização da CNPD à Plataforma de Dados de Saúde e ao Portal do Utente obrigam à fiscalização destes tratamentos de dados pessoais. 3. Fiscalização da Base de Dados de Perfis de ADN A Base de Dados de Perfis de ADN para fins de investigação criminal e identificação civil funcionam há cerca de cinco anos. Desde o seu início que foram estabelecidos contactos entre a CNPD e o Conselho de Fiscalização e realizadas reuniões com a intenção de aproveitar as sinergias das duas entidades independentes com competências de controlo. Pelas razões conhecidas, relacionadas com a falta de recursos humanos, não foi possível, até ao presente, realizar-se a fiscalização ao sistema. Assim, pretende-se verificar o cumprimento da Lei n.º 5/2008, de 12 de fevereiro, e da Lei n.º 67/98, de 26 de outubro, na Base de Dados de Perfis de ADN. 4. Fiscalização da Unidade Nacional Europol (UNE) Foi decidido na Instância Comum de Controlo da Europol a realização de uma fiscalização conjunta, a efetuar por todas as autoridades nacionais de proteção de dados, para verificar da conformidade do tratamento de dados pelas UNE com as respetivas legislações nacionais e com a Decisão Europol.

11 5. Fiscalização da parte nacional do Sistema de Informação Schengen Em 2016, Portugal será objeto de avaliação pela Comissão Europeia sobre a implementação do acervo de Schengen. A CNPD, na qualidade de autoridade nacional de supervisão, será também avaliada. Importa, por isso, iniciar os procedimentos de preparação da avaliação, designadamente a inspeção ao Gabinete SIRENE, ao Serviço de Estrangeiros e Fronteiras e às entidades utilizadoras do sistema. 6. Fiscalização da parte nacional do Sistema de Informações VIS No âmbito da avaliação supra referida serão, também, especificamente avaliados os procedimentos de vistos pelos serviços consulares e pelo SEF. Por outro lado, o Regulamento VIS impõe às autoridades nacionais de proteção de dados a realização de uma auditoria de quatro em quatro anos à parte nacional do Sistema de Informação de Vistos. Esse prazo vence-se este ano, uma vez que Portugal se ligou ao sistema em 2011. Assim, atendendo às responsabilidades das autoridades competentes em matéria de vistos, deverá ser fiscalizado o Ministério dos Negócios Estrangeiros, quer nos serviços centrais, quer em dois consulados situados fora do Espaço Schengen, e o Serviço de Estrangeiros e Fronteiras. 7. Averiguação das comunicações de dados pessoais para fins de marketing por entidades privadas Atento o regular recebimento de queixas de cidadãos relativas ao envio de comunicações de marketing, sem consentimento do titular dos dados e mesmo em situações de expressa oposição à utilização dos seus dados para esta finalidade, após a contratação de serviços de utilização comum, designadamente fornecimento de energia, telecomunicações, impõe-se a verificação destes tratamentos de dados pessoais.

12 D. COOPERAÇÃO INSTITUCIONAL 1. Estabelecimento de protocolos com instituições do Ensino Superior Interagir com as instituições de ensino superior, em especial na área das tecnologias de informação e comunicação, de modo a promover a tutela preventiva da privacidade (v.g., PbD) e contribuir para impulsionar a aplicação prática dos conhecimentos. Para o efeito, considera-se dever continuar a estabelecer protocolos com instituições do ensino superior que enquadrem a colaboração e as iniciativas conjuntas, designadamente quanto à realização de conferências, participação em cursos de formação avançada e sessões de esclarecimento. 2. Conselho de Fiscalização da PIIC e Conselho de Fiscalização da Base de Dados de Perfis de ADN Cooperar com o Conselho de Fiscalização da PIIC e com o Conselho de Fiscalização da Base de Dados de Perfis de ADN para o acompanhamento do funcionamento da PIIC e a verificação do cumprimento das exigências legais na base de dados de perfis de ADN respetivamente. 3. Gabinete de Proteção de Dados Pessoais da Região Administrativa Especial de Macau Prosseguir a cooperação com o Gabinete de Proteção de Dados Pessoais (GPDP) da Região Administrativa Especial de Macau, quer na promoção da proteção de dados pessoais naquela região, quer no âmbito da avaliação do seu nível de proteção de dados.

13 Para o efeito, a CNPD e o GPDP promoverão palestras e sessões de esclarecimento sobre os problemas e riscos atuais para a proteção de dados pessoais, procurando nomeadamente avaliar da aptidão de algumas soluções tecnológicas já experimentadas em Portugal para o caso macaense. 4. Instituto Nacional de Aviação Civil Continuar a colaboração com o Instituto Nacional de Aviação Civil, a fim de encontrar formas de minimização dos riscos para a privacidade dos cidadãos decorrentes da utilização dos sistemas de aeronaves tripuladas remotamente, num momento em que se assiste a um crescente recurso a estes dispositivos também para finalidades privadas, designadamente comerciais e profissionais. 5. Provedoria de Justiça Considerando que a CNPD e o Provedor de Justiça partilham, no âmbito das suas atribuições, da missão de promover a tutela dos direitos, liberdades e garantias, entende-se ser da maior relevância a manutenção de um canal de comunicação ágil para análise ou simples reencaminhamento das questões e dúvidas. 6. Centro de Competência em Cibersegurança e Privacidade (C3P) da Universidade do Porto Colaborar com o C3P em campanhas de sensibilização da sociedade e dos órgãos de soberania e organismos públicos para os riscos decorrentes da utilização da Internet para a privacidade dos cidadãos, bem como na promoção de mecanismos capazes de minimizar tais riscos.

14 7. Faculdade de Direito da Universidade Nova de Lisboa Manter a colaboração com a Faculdade de Direito da Universidade Nova de Lisboa no âmbito de estágios curriculares de mestrado. 8. Instituto de Ciências Jurídico-Políticas (ICJP) da Faculdade de Direito da Universidade de Lisboa Colaborar com o ICJP na divulgação dos regimes jurídicos nacional, europeu e internacional de proteção de dados pessoais e dos processos de revisão dos mesmos, através da realização conjunta de conferências e da participação da CNPD em cursos de formação especializados. 9. Centro de Investigação e Desenvolvimento em Ciências Jurídicas Ratio Legis (Centro Ratio Legis ) da Universidade Autónoma de Lisboa Colaborar com o Centro Ratio Legis na divulgação dos regimes jurídicos nacional, europeu e internacional de proteção de dados pessoais e dos processos de revisão dos mesmos, através da realização conjunta de conferências e da participação da CNPD em cursos de formação especializados. 10. Centro Internet Segura Continuar a parceria com o Centro de Internet Segura, focando na problemática da utilização da Internet por jovens a matéria da proteção de dados.

15 E. DIVULGAÇÃO E SENSIBILIZAÇÃO 1. Dia Europeu da Proteção de Dados Organizar uma sessão pública para debate da vigilância em massa a que cidadãos estão sujeitos, projetando-se para o efeito documentário Panopticon, da autoria de Peter Vlemmix. A sessão, a realizar no dia 28 de janeiro no Auditório da Assembleia da República, sob o lema Controlar os seus dados pessoais é controlar a sua identidade e escolher em liberdade tem por objetivo estimular a reflexão e o debate entre todos os participantes. Entrega do Prémio Ensaio 2014, pelo trabalho O Armazenamento de Amostras de ADN a as Bases de Dados de Perfis Genéticos, à autora premiada Tatiana Duarte Nicolau. 2. Prémio Ensaio CNPD Atribuir o Prémio Ensaio CNPD, mantendo a mesma filosofia de diversidade de áreas a concurso e de convite a pessoas externas para integrar o júri. 3. Promoção das matérias de proteção de dados junto das Magistraturas Promover junto do Conselho Superior de Magistratura, do Conselho Superior do Ministério Público e do Centro de Estudos Judiciários a realização de ações de sensibilização para as matérias de proteção de dados, nomeadamente através do reforço da cooperação institucional, do desenvolvimento conjunto de iniciativas de divulgação e do apoio na área de formação de magistrados.

16 4. Novas publicações na coleção Documentos da CNPD Continuar a editar as novas orientações gerais que vierem a ser produzidas pela CNPD, na coleção Documentos da CNPD. 5. Realização de conferências e palestras relativas aos regimes jurídicos europeu e nacionais de proteção de dados pessoais Realizar, em parceria com outros organismos públicos e entidades privadas, conferências e palestras sobre os diferentes instrumentos jurídicos nacionais, europeus e internacionais relativos à proteção de dados pessoais em vigor e dos projetos de revisão dos mesmos. 6. Participação em sessões no âmbito escolar Continuar a apoiar as escolas dos vários níveis de ensino, dinamizando sessões de sensibilização e debate da matéria da proteção de dados para alunos, professores e pais. F. INTERVENÇÃO INTERNACIONAL 1. ICC Europol Participar ativamente nos trabalhos da Instância de Controlo Comum (ICC) da Europol, em particular participar nas reuniões regulares, integrar a equipa de inspeção anual aos tratamentos de dados da Europol e participar nos subgrupos de trabalho onde Portugal está representado, bem como discutir, nesta instância, o novo quadro legal europeu de proteção de dados e nos trabalhos preparatórios da revisão da Decisão Europol.

17 2. ACC Eurojust Contribuir ativamente para o trabalho da Autoridade Controlo Comum (ACC) da Eurojust, apoiar a presidência portuguesa da ACC, coordenar a inspeção bienal aos tratamentos de dados realizados pela Eurojust e discutir, nesta instância, o novo quadro legal europeu de proteção de dados. 3. ASC do Sistema de Informação Aduaneiro Participar nos trabalhos da Autoridade Supervisora Comum (ASC) do Sistema de Informação Aduaneiro, em particular nas reuniões regulares, contribuir para as ações coordenadas e participar nesta instância nas discussões sobre o novo quadro legal europeu de proteção de dados. 4. Grupo de Protecção de Dados da UE (Grupo do Artigo 29.º) Participar nos trabalhos do Grupo do Artigo 29.º e nos subgrupos em que a CNPD está representada, tais como Tecnologia, Governo Eletrónico, Disposições-Chave da Diretiva, Futuro da Privacidade e Fronteiras, Viagens e Setor Policial, em particular participando nas reuniões regulares e contribuindo para a elaboração de pareceres sobre iniciativas legislativas europeias, de documentos de trabalho e recomendações sobre o tratamento de dados pessoais, bem como nas discussões sobre o novo quadro legal europeu de proteção de dados. 5. Grupo Internacional das Telecomunicações Participar nos trabalhos do Grupo Internacional de Protecção de Dados nas Telecomunicações (Grupo de Berlim), em particular nas reuniões regulares e na elaboração de documentos emanados deste Grupo, que analisam os desenvolvimentos tecnológicos mais atuais e refletem sobre

18 as implicações da sua utilização para a proteção de dados e para a privacidade das pessoas. 6. Grupos de supervisão coordenada Eurodac, SIS II, VIS, SIA e IMI Participar regularmente nos trabalhos dos Grupos de Supervisão Coordenada, em particular em apoio da presidência portuguesa do Grupo do Sistema de Informação Schengen, através da participação nas reuniões que vierem a ser convocadas, nas ações de fiscalização coordenadas e no trabalho dos subgrupos. 7. Rede Ibero-americana de proteção de dados Participar e contribuir para os trabalhos desenvolvidos no âmbito da Rede Ibero-Americana, cooperando com os países membros e observadores, em particular através da participação no Encontro Iberoamericano e em alguns seminários temáticos e da contribuição informativa e em Língua Portuguesa para o sítio da Rede. 8. Conferência Europeia de Comissários de Proteção de Dados Participar nos trabalhos da Conferência Europeia de Comissários de Proteção de Dados, em especial contribuindo para as resoluções aí aprovadas. 9. Conferência Internacional de Proteção de Dados Participar nos trabalhos da Conferência Internacional de Proteção de Dados, em especial contribuindo para as resoluções aí aprovadas.

19 G. ORGANIZAÇÃO INTERNA E FUNCIONAMENTO 1. Atualização do sítio da Internet Modernizar e atualizar o sítio da CNPD na Internet, para acolher os novos desenvolvimentos resultantes da notificação eletrónica e integrar mais conteúdos informativos e mecanismos de pesquisa fácil, tendo em conta que, neste contexto, o sítio se tornou um veículo essencial de comunicação com a CNPD. Ante a gritante falta de recursos, recorrerse-á, dentro dos condicionamentos decorrentes da necessidade de segurança do sistema de informação da CNPD, à aquisição de serviços externos. 2. Reforço de Recursos Humanos Ultrapassar os constrangimentos para o recrutamento de pessoal, através dos mecanismos da mobilidade, designadamente nas áreas jurídica, informática, de tramitação processual e apoio administrativo. A manifesta escassez de recursos humanos não sustenta a crescente atividade da CNPD e não comporta o pleno exercício das suas competências. 3. Automatização de procedimentos decisórios À semelhança do que já foi feito em áreas subordinadas à supervisão da CNPD, continuar-se-á a criar formulários específicos para determinados tipos de tratamentos, permitindo a emissão de decisões automatizadas e irão ser encetadas diligências no sentido de automatizar os procedimentos de registo. De igual modo irão ser criados modelos que sirvam de padrão para a tramitação de alguns processos de contraordenação.

20 4. Formação interna Em face da obrigação legal de garantir a formação contínua dos funcionários, em especial em matérias de proteção de dados, a CNPD irá, por recurso aos especialistas da casa, assegurar a formação em áreas a identificar.

21 ANEXO Orçamento da CNPD para 2015 Orçamento de receita TOTAIS ASSEMBLEIA DA REPÚBLICA Receitas correntes 1.187.732 Receitas de capital 5.000 Total de transferências 1.192.732 RECEITAS PRÓPRIAS Taxas 1.270.000 Coimas 220.000 Total de receitas próprias 1.490.000 Total Geral 2.682.732

22 Orçamento de despesa TOTAIS DESPESAS CORRENTES Remunerações certas e permanentes Abonos variáveis ou eventuais 1.446.046 39.374 Segurança Social 337.321 Aquisição de bens e serviços 597.741 Aquisição de bens 82.283 Aquisição de serviços 515.458 Outras despesas correntes 37.250 Total de correntes 2.457.732 DESPESAS DE CAPITAL Total de capital 225.000 Total Geral 2.682.732 Total de cativos Reserva 89.661 37.250 Total disponível 2.555.821