e-privacy - cdlisboa.orgcdlisboa.org/2014/docs/proteccaodadospessoais/magda_cocco.pdf · e das...
TRANSCRIPT
e-Privacy
Proteção de Dados Pessoais nas Comunicações
Eletrónicas
27 de maio de 2014
Agenda
• O maravilhoso mundo das comunicações eletrónicas e tecnologias … e a
Privacidade
• Enquadramento legal e conceitos
• Principais aspetos do regime jurídico
• Cookies
• Obrigação de retenção
• Notificação de data breaches
• Desafios
e- Privacy
4
Introdução O maravilhoso mundo das comunicações eletrónicas
e das tecnologias de informação…
Mobile Marketing
Redes sociais RFID
Nanotecnologias Outsourcing Cookies
e-health Motores de busca
Mobile payments
e-insurance
5
Introdução Mas não podemos esquecer a privacidade e a
proteção de dados!
7
Enquadramento Legal
Lei de Proteção de Dados Pessoais
Lei 67/98 de 26 outubro
Lei da Privacidade nas Comunicações
Eletrónicas
Lei 41/2004 de 18 agosto, alterada pela Lei
46/2012 de 29 agosto
Diretiva Proteção de Dados Pessoais
Diretiva 95/46/CE de 24 outubro
Diretiva e-Privacy
Diretiva 2002/58/CE de 12 julho
Diretiva Retenção
Diretiva 2006/24/CE de 15 março
Diretiva Direitos dos Cidadãos
Diretiva 2009/136/CE de 25 novembro
Lei da Retenção de Dados
Lei 32/2008 de 17 julho
Lei das Comunicações Eletrónicas
Lei 5/2004 de 10 fevereiro (versão alterada)
8
Conceitos
Dados de tráfego
Dados de localização
Cookies • Pequenos ficheiros que os websites colocam no disco rígido do computador
ou telemóvel do utilizador quando este os visita
• Dados tratados para efeitos do envio de uma comunicação através de uma
rede de comunicações eletrónicas ou para efeitos da faturação da mesma
Data breaches
• Dados tratados numa rede de comunicações eletrónicas ou no âmbito de um
serviço de comunicações eletrónicas que indiquem a posição geográfica do
equipamento terminal de um utilizador de um serviço de comunicações
eletrónicas acessível ao público
• Violação da segurança, que provoque de modo acidental ou ilegal
destruição, perda, alteração, divulgação ou acesso não autorizado a
dados pessoais tratados no contexto da prestação de serviços de
comunicações eletrónicas acessíveis ao público
10
Os dados necessários para efeitos de faturação e para pagamento de interligações podem
ser armazenados (apenas durante o período dentro do qual a fatura ainda poderá ser
contestada ou o pagamento reclamado)
Os dados poderão também ser tratados e armazenados para outras finalidades, quando haja
o consentimento expresso do titular dos dados (ex. prestação de serviços de valor
acrescentado)
Regime jurídico
Os dados devem ser eliminados ou tornados anónimos
imediatamente após a comunicação
Dados de tráfego
11
Diretiva Retenção
Diretiva 2006/24/CE de 15 março
Lei da Retenção de Dados
Lei 32/2008 de 17 julho
Regime jurídico
13
Para fins de investigação, detecção e repressão de crimes graves
Dados de tráfego e de
localização
Dados conexos para identificar o assinante
ou o utilizador registado
gerados ou tratados
no contexto da oferta de serviços de comunicações eletrónicas publicamente
disponíveis ou de redes públicas de comunicações
Obrigação de conservação e transmissão
Obrigação de retenção de dados pelos operadores
Regime jurídico
14
Os operadores são obrigados a conservar os dados por
1 ano a contar da data da conclusão da comunicação
Categorias de dados a conservar:
• Fonte de uma comunicação
• Destinatário de uma comunicação
• Data, hora e duração de uma comunicação
• Tipo de comunicação
• Equipamento de telecomunicações dos utilizadores
• Localização do equipamento de comunicação móvel
Dados relativos a
chamadas telefónicas
falhadas +
Regime jurídico Obrigação de retenção
15
Ficheiro com pacote de
dados para efeitos da Lei
32/2008
Ficheiro com pacote de
dados para outros fins
Os dados (exceto o nome e
endereço dos assinantes)
devem ficar bloqueados, só
sendo desbloqueados em
caso de transmissão às
entidades competentes
Separação de ficheiros
Obrigação de retenção
Regime jurídico
16
Motivos:
• Aplica-se a todos os indivíduos, todos os meios de comunicação eletrónica e todos
os dados de tráfego, sem qualquer diferenciação
• Não contém critérios objetivos de acesso aos dados pelas autoridades nacionais
competentes, nem estipula os prazos máximo e mínimo de conservação dos dados
• Não contém salvaguardas suficientes contra eventuais abusos e não assegura a
destruição irreversível dos dados, uma vez findo o prazo de conservação
• Não impõe que os dados sejam conservados no território da UE
TJUE considerou inválida a Diretiva da Retenção
Mantém-se em vigor a Lei 32/2008 que transpôs a Diretiva
Obrigação de retenção
Regime jurídico
17
Dados de localização
Regra
Exceções
• Proibição do tratamento de dados de localização relativos a
assinantes ou utilizadores das redes públicas de comunicações ou de
serviços de comunicações eletrónicas acessíveis ao público
• Apenas permitido se os dados forem tornados anónimos
• Permitido o registo, tratamento e transmissão de dados de localização às
organizações com competência para receber chamadas de emergência
para efeitos de resposta a essas chamadas
• Permitido o tratamento de dados de localização na medida e pelo tempo
necessários para a prestação de serviços de valor acrescentado, desde que
seja obtido consentimento prévio e expresso dos assinantes/utilizadores
Regime jurídico
18
É proibida a escuta, a instalação de dispositivos de escuta, o armazenamento
ou outros meios de interceção ou vigilância de comunicações e dos respetivos
dados de tráfego por terceiros sem o consentimento prévio e expresso dos
utilizadores, com exceção dos casos previstos na lei.
INVIOLABILIDADE DAS COMUNICAÇÕES
(DADOS DE TRÁFEGO E DE CONTEÚDO)
Regime jurídico
Obrigações em matéria de Privacidade – Notificações à CNPD e aos
assinantes/pessoas afetadas (Lei 41/2004 na sua redação atual e Regulamento UE n.º
611/2013 de 24 junho)
Obrigações ao abrigo da Lei das Comunicações Eletrónicas – Notificações ao ICP-
ANACOM e ao público (violações de segurança ou perdas de integridade das redes –
artigo 54º-A e seguintes da Lei 5/2004 e Decisão do ICP-ANACOM sobre segurança e
integridade das Redes, de 22 de dezembro de 2013)
Notificação de data breaches
Os operadores de comunicações eletrónicas estão
sujeitos a várias obrigações:
Regulamento Geral de Proteção de Dados Diretiva SRI
Regulamento (UE) nº 611/2013 de 24 de junho de 2013
Notificação de data breaches
• 1ª notificação no prazo de 24 horas após a deteção da violação,
se possível com informação completa
• se a informação não estiver completa
• 2ª notificação assim que possível, o mais tardar três dias
após a primeira notificação
Notificação de violações de segurança pelos
operadores…
21
22
• Também ao assinante ou à outra pessoa em causa
• Caso a violação de dados pessoais seja suscetível de afetar
negativamente os dados pessoais ou a privacidade de um
assinante ou de outra pessoa
Qualquer das notificações pode pode ser dispensada se o operador demonstrar cabalmente que
adotou as medidas tecnológicas de proteção adequadas e que essas medidas foram aplicadas
aos dados afetados pela violação
Notificação de violações de segurança pelos
operadores…
Notificação de data breaches
23
Cookies
24
Cookies
• Consentimento dos utilizadores:
1. Com informação específica, clara e completa
2. Antes da instalação dos cookies
3. Através de um comportamento ativo
4. Mediante uma decisão livre
Orientações do
Grupo de Trabalho
do Artigo 29.º sobre
obtenção de
consentimento para
cookies
A regra para a utilização de cookies é o
consentimento do utilizador
25
Cookies Existem exceções:
Não é necessário consentimento prévio para instalar cookies para
armazenamento técnico ou acesso a informação armazenada no
equipamento terminal de um assinante/utilizador:
Que tenham como única finalidade transmitir uma
comunicação através de uma rede de comunicações eletrónicas
Estritamente necessárias ao fornecedor para fornecer um
serviço da sociedade de informação solicitado expressamente
pelo assinante ou utilizador
A transmissão da
comunicação não
deve ser possível
sem o recurso ao
testemunho
Requisitos
cumulativos
Cookies técnicas
ou de sessão
26
Cookies
É recomendada a
adoção de uma
Política de Cookies
(acessível na
homepage)
Devem ser prestadas
determinadas
informações (tipos de
cookies utilizadas e
forma de as desativar
no browser)
27
Prazo de conservação dos dados de tráfego e localização
Especiais obrigações de informação relativamente a recolha em redes não
seguras
Obrigação de retenção de dados para efeitos de investigação criminal
(determinados tipos de crimes)
Adoção de medidas adequadas a prevenir a violação de dados pessoais
(no mínimo encriptação) e a inviolabilidade das comunicações
Notificação de “data breaches”
ALGUMAS OBRIGAÇÕES ESPECÍFICAS
DOS OPERADORES
Regime jurídico
29
Desafios
O caminho da privacidade é a regulação? Mais regulação significa mais
privacidade?
Como poderemos regular um mundo digital sem quaisquer fronteiras?
A privacidade é inimiga da inovação na área das comunicações eletrónicas e das
tecnologias ?
30
Magda Cocco
Área de Telecomunicações & Media,
Privacidade, Proteção de Dados & Cibersegurança
Contactos