e-Privacy

Proteção de Dados Pessoais nas Comunicações

Eletrónicas

27 de maio de 2014

Agenda

• O maravilhoso mundo das comunicações eletrónicas e tecnologias … e a

Privacidade

• Enquadramento legal e conceitos

• Principais aspetos do regime jurídico

• Cookies

• Obrigação de retenção

• Notificação de data breaches

• Desafios

e- Privacy

O maravilhoso mundo das comunicações

eletrónicas e tecnologias …

… e a Privacidade

4

Introdução O maravilhoso mundo das comunicações eletrónicas

e das tecnologias de informação…

Mobile Marketing

Redes sociais RFID

Nanotecnologias Outsourcing Cookies

e-health Motores de busca

Mobile payments

e-insurance

5

Introdução Mas não podemos esquecer a privacidade e a

proteção de dados!

Enquadramento legal

e conceitos

Enquadramento legal

e conceitos

7

Enquadramento Legal

Lei de Proteção de Dados Pessoais

Lei 67/98 de 26 outubro

Lei da Privacidade nas Comunicações

Eletrónicas

Lei 41/2004 de 18 agosto, alterada pela Lei

46/2012 de 29 agosto

Diretiva Proteção de Dados Pessoais

Diretiva 95/46/CE de 24 outubro

Diretiva e-Privacy

Diretiva 2002/58/CE de 12 julho

Diretiva Retenção

Diretiva 2006/24/CE de 15 março

Diretiva Direitos dos Cidadãos

Diretiva 2009/136/CE de 25 novembro

Lei da Retenção de Dados

Lei 32/2008 de 17 julho

Lei das Comunicações Eletrónicas

Lei 5/2004 de 10 fevereiro (versão alterada)

8

Conceitos

Dados de tráfego

Dados de localização

Cookies • Pequenos ficheiros que os websites colocam no disco rígido do computador

ou telemóvel do utilizador quando este os visita

• Dados tratados para efeitos do envio de uma comunicação através de uma

rede de comunicações eletrónicas ou para efeitos da faturação da mesma

Data breaches

• Dados tratados numa rede de comunicações eletrónicas ou no âmbito de um

serviço de comunicações eletrónicas que indiquem a posição geográfica do

equipamento terminal de um utilizador de um serviço de comunicações

eletrónicas acessível ao público

• Violação da segurança, que provoque de modo acidental ou ilegal

destruição, perda, alteração, divulgação ou acesso não autorizado a

dados pessoais tratados no contexto da prestação de serviços de

comunicações eletrónicas acessíveis ao público

9

Principais aspetos do regime jurídico

10

Os dados necessários para efeitos de faturação e para pagamento de interligações podem

ser armazenados (apenas durante o período dentro do qual a fatura ainda poderá ser

contestada ou o pagamento reclamado)

Os dados poderão também ser tratados e armazenados para outras finalidades, quando haja

o consentimento expresso do titular dos dados (ex. prestação de serviços de valor

acrescentado)

Regime jurídico

Os dados devem ser eliminados ou tornados anónimos

imediatamente após a comunicação

Dados de tráfego

11

Diretiva Retenção

Diretiva 2006/24/CE de 15 março

Lei da Retenção de Dados

Lei 32/2008 de 17 julho

Regime jurídico

12

Obrigação de

Retenção

13

Para fins de investigação, detecção e repressão de crimes graves

Dados de tráfego e de

localização

Dados conexos para identificar o assinante

ou o utilizador registado

gerados ou tratados

no contexto da oferta de serviços de comunicações eletrónicas publicamente

disponíveis ou de redes públicas de comunicações

Obrigação de conservação e transmissão

Obrigação de retenção de dados pelos operadores

Regime jurídico

14

Os operadores são obrigados a conservar os dados por

1 ano a contar da data da conclusão da comunicação

Categorias de dados a conservar:

• Fonte de uma comunicação

• Destinatário de uma comunicação

• Data, hora e duração de uma comunicação

• Tipo de comunicação

• Equipamento de telecomunicações dos utilizadores

• Localização do equipamento de comunicação móvel

Dados relativos a

chamadas telefónicas

falhadas +

Regime jurídico Obrigação de retenção

15

Ficheiro com pacote de

dados para efeitos da Lei

32/2008

Ficheiro com pacote de

dados para outros fins

Os dados (exceto o nome e

endereço dos assinantes)

devem ficar bloqueados, só

sendo desbloqueados em

caso de transmissão às

entidades competentes

Separação de ficheiros

Obrigação de retenção

Regime jurídico

16

Motivos:

• Aplica-se a todos os indivíduos, todos os meios de comunicação eletrónica e todos

os dados de tráfego, sem qualquer diferenciação

• Não contém critérios objetivos de acesso aos dados pelas autoridades nacionais

competentes, nem estipula os prazos máximo e mínimo de conservação dos dados

• Não contém salvaguardas suficientes contra eventuais abusos e não assegura a

destruição irreversível dos dados, uma vez findo o prazo de conservação

• Não impõe que os dados sejam conservados no território da UE

TJUE considerou inválida a Diretiva da Retenção

Mantém-se em vigor a Lei 32/2008 que transpôs a Diretiva

Obrigação de retenção

Regime jurídico

17

Dados de localização

Regra

Exceções

• Proibição do tratamento de dados de localização relativos a

assinantes ou utilizadores das redes públicas de comunicações ou de

serviços de comunicações eletrónicas acessíveis ao público

• Apenas permitido se os dados forem tornados anónimos

• Permitido o registo, tratamento e transmissão de dados de localização às

organizações com competência para receber chamadas de emergência

para efeitos de resposta a essas chamadas

• Permitido o tratamento de dados de localização na medida e pelo tempo

necessários para a prestação de serviços de valor acrescentado, desde que

seja obtido consentimento prévio e expresso dos assinantes/utilizadores

Regime jurídico

18

É proibida a escuta, a instalação de dispositivos de escuta, o armazenamento

ou outros meios de interceção ou vigilância de comunicações e dos respetivos

dados de tráfego por terceiros sem o consentimento prévio e expresso dos

utilizadores, com exceção dos casos previstos na lei.

INVIOLABILIDADE DAS COMUNICAÇÕES

(DADOS DE TRÁFEGO E DE CONTEÚDO)

Regime jurídico

Notificação de

Data Breaches

Obrigações em matéria de Privacidade – Notificações à CNPD e aos

assinantes/pessoas afetadas (Lei 41/2004 na sua redação atual e Regulamento UE n.º

611/2013 de 24 junho)

Obrigações ao abrigo da Lei das Comunicações Eletrónicas – Notificações ao ICP-

ANACOM e ao público (violações de segurança ou perdas de integridade das redes –

artigo 54º-A e seguintes da Lei 5/2004 e Decisão do ICP-ANACOM sobre segurança e

integridade das Redes, de 22 de dezembro de 2013)

Notificação de data breaches

Os operadores de comunicações eletrónicas estão

sujeitos a várias obrigações:

Regulamento Geral de Proteção de Dados Diretiva SRI

Regulamento (UE) nº 611/2013 de 24 de junho de 2013

Notificação de data breaches

• 1ª notificação no prazo de 24 horas após a deteção da violação,

se possível com informação completa

• se a informação não estiver completa

• 2ª notificação assim que possível, o mais tardar três dias

após a primeira notificação

Notificação de violações de segurança pelos

operadores…

21

22

• Também ao assinante ou à outra pessoa em causa

• Caso a violação de dados pessoais seja suscetível de afetar

negativamente os dados pessoais ou a privacidade de um

assinante ou de outra pessoa

Qualquer das notificações pode pode ser dispensada se o operador demonstrar cabalmente que

adotou as medidas tecnológicas de proteção adequadas e que essas medidas foram aplicadas

aos dados afetados pela violação

Notificação de violações de segurança pelos

operadores…

Notificação de data breaches

23

Cookies

24

Cookies

• Consentimento dos utilizadores:

1. Com informação específica, clara e completa

2. Antes da instalação dos cookies

3. Através de um comportamento ativo

4. Mediante uma decisão livre

Orientações do

Grupo de Trabalho

do Artigo 29.º sobre

obtenção de

consentimento para

cookies

A regra para a utilização de cookies é o

consentimento do utilizador

25

Cookies Existem exceções:

Não é necessário consentimento prévio para instalar cookies para

armazenamento técnico ou acesso a informação armazenada no

equipamento terminal de um assinante/utilizador:

Que tenham como única finalidade transmitir uma

comunicação através de uma rede de comunicações eletrónicas

Estritamente necessárias ao fornecedor para fornecer um

serviço da sociedade de informação solicitado expressamente

pelo assinante ou utilizador

A transmissão da

comunicação não

deve ser possível

sem o recurso ao

testemunho

Requisitos

cumulativos

Cookies técnicas

ou de sessão

26

Cookies

É recomendada a

adoção de uma

Política de Cookies

(acessível na

homepage)

Devem ser prestadas

determinadas

informações (tipos de

cookies utilizadas e

forma de as desativar

no browser)

27

Prazo de conservação dos dados de tráfego e localização

Especiais obrigações de informação relativamente a recolha em redes não

seguras

Obrigação de retenção de dados para efeitos de investigação criminal

(determinados tipos de crimes)

Adoção de medidas adequadas a prevenir a violação de dados pessoais

(no mínimo encriptação) e a inviolabilidade das comunicações

Notificação de “data breaches”

ALGUMAS OBRIGAÇÕES ESPECÍFICAS

DOS OPERADORES

Regime jurídico

Desafios

29

Desafios

O caminho da privacidade é a regulação? Mais regulação significa mais

privacidade?

Como poderemos regular um mundo digital sem quaisquer fronteiras?

A privacidade é inimiga da inovação na área das comunicações eletrónicas e das

tecnologias ?

30

Magda Cocco

Área de Telecomunicações & Media,

Privacidade, Proteção de Dados & Cibersegurança

mpc@vda.pt

Contactos

A RIGHT TO EXCELLENCE

O DIREITO À EXCELÊNCIA

www.vda.pt