MASTER CLASS Reviso do Pacote Regulamentar das Comunicaes
- Slides: 39
MASTER CLASS Revisão do Pacote Regulamentar das Comunicações Electrónicas (“Revisão 2006”) e. Privacidade: A Directiva e. Privacy o novo regime dos data breaches e o impacto económico e legal das novas obrigações de retenção de dados impostas aos operadores
• Enquadramento ÍNDICE • Notificação de Data Breaches • • • Obrigação de notificação Data breach Impacto nos operadores • Retenção de dados • • Obrigações Impacto económico e legal • Outras novidades da Directiva e. Privacy 2
ENQUADRAMENTO Data limite transposição da Directiva e. Privacy Aprovação da Directiva Retenção CE adopta proposta Directiva e. Privacy 03. 06 09. 07 Data limite transposição da Directiva Retenção (sem extensão) 11. 07 07. 08 de 05. 09 Aprovação da Lei 32/2008 10. 09 Entrada em vigor da Lei 32/2008 Aprovação da Portaria 469/2009 11. 09 05. 11 Aprovação da Directiva e. Privacy
NOTIFICAÇÃO DE DATA BREACH • Quantas empresas não perderam já laptops que contêm dados? • Quantas empresas têm políticas de controlo apertadas quanto à comunicação, interna e externa, de dados? • Quantas empresas fazem testes regulares para aferir da segurança dos seus sistemas de informação? • Quantas empresas auditam a actividade dos seus outsourcers quanto às medidas de protecção dos dados? • Quantas empresas têm uma política de data breach? 4
NOTIFICAÇÃO DE DATA BREACH PONTO DE VIRAGEM NO SECTOR DAS TELECOMUNICAÇÕES 5
NOTIFICAÇÃO DE DATA BREACH Notificação de data breaches • Consagração da obrigação de notificação imediata, pelos operadores, da ocorrência de data breaches (violações de segurança) • Esta obrigação vai implicar necessariamente uma alteração profunda na forma como os operadores encaram as matérias da privacidade e protecção de dados Alguns EMs adiantaram-se e já aprovaram leis que impõem a notificação de data breaches (Alemanha). Noutros casos (UK), constitui uma boa conduta a notificação da ocorrência destas violações, ainda que não exista uma obrigação legal 6
NOTIFICAÇÃO DE DATA BREACH O que é considerado um “data breach”? 7
violação da segurança, que provoque de modo acidental ou ilegal destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais tratados no contexto da prestação de serviços de comunicações electrónicas acessíveis ao público na Comunidade 8
NOTIFICAÇÃO DE DATA BREACH Violação de segurança • Devem ser notificadas todas e quaisquer violações, desde que provoquem a destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais • Não foi adoptada a proposta do Conselho, segundo a qual apenas seriam notificadas as violações graves (tal como a actual recomendação da ICO) 9
NOTIFICAÇÃO DE DATA BREACH Modo acidental ou ilegal • Não é necessário demonstrar que existiu dolo na violação • Negligência leve • Qualquer violação de segurança, ainda que provocada acidentalmente, deverá ser notificada 10
NOTIFICAÇÃO DE DATA BREACH Destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais • Formulação muito genérica, pelo que inclui diferentes formas de violação: • • • Acesso não autorizado Perda/divulgação de dados, ainda que não tenha sido demonstrada a existência de acesso não autorizado Roubo de identidade Corrupção de dados … 11
NOTIFICAÇÃO DE DATA BREACH Dados tratados no contexto da prestação de serviços de comunicações electrónicas acessíveis ao público • mbito de aplicação limitado • Não adopção da proposta da EDPS de incluir prestadores de serviços da sociedade da informação (bancos on-line, prestadores de cuidados de saúde on-line) no âmbito da obrigação de notificar violações de segurança • Efeito dominó: possibilidade de extensão a todos os sectores da economia (Considerando 59) 12
NOTIFICAÇÃO DE DATA BREACH Destinatários das notificações • Autoridade nacional competente (no nosso caso será o ICP-ANACOM e a CNPD) • Assinantes/pessoas afectadas (no caso em que a violação de dados pessoais possa afectar negativamente a protecção dos dados pessoais e a privacidade) Extensão da obrigação de notificação às pessoas afectadas 13
NOTIFICAÇÃO DE Notificação de data breaches ao assinante/ pessoa afectada DATA BREACH Como determinar se existe risco da violação afectar negativamente a privacidade? • Grupo do Artigo 29: O risco deve ser avaliado tendo em conta elementos como a (i) quantidade de dados afectados pela violação, (ii) a sua natureza, (iii) o impacto da violação para uma pessoa Os operadores fazem esta avaliação 14
NOTIFICAÇÃO DE DATA BREACH • De acordo com a Directiva, considera-se que uma violação afecta negativamente os dados ou a privacidade do assinante ou indivíduo sempre que possa resultar, por exemplo, em: • Roubo ou usurpação de identidade • Danos físicos • Humilhações ou danos significativos à reputação no contexto do fornecimento de serviços de comunicações acessíveis ao público 15
NOTIFICAÇÃO DE DATA BREACH • Mas as Autoridades Nacionais podem exigir a notificação, sempre que considerem que a violação de segurança pode acarretar efeitos adversos prováveis • As Autoridades Nacionais podem decidir não exigir a notificação quando considerem que o prestador provou ter adoptado as medidas tecnológicas de protecção adequadas e que tais medidas foram aplicadas aos dados a que diz respeito essa notificação Isenções de Notificação 16
NOTIFICAÇÃO DE Data Breach Notificação ICPANACOM e CNPD DATA BREACH Impacto negativo nos assinantes/ pessoas afectadas? Sim Notificação aos assinantes/pessoas afectadas Não Autoridades concordam Não notificação aos assinantes/pessoas afectadas Autoridades não concordam Adopção de medidas tecnológicas Notificação 17
NOTIFICAÇÃO DE Conteúdo mínimo da notificação assinantes/pessoas afectadas aos DATA BREACH • Natureza da violação de dados pessoais • Pontos de contacto onde podem ser obtidas informações • Recomendação de medidas destinadas a limitar eventuais efeitos adversos da violação 18
NOTIFICAÇÃO DE Conteúdo mínimo da notificação à autoridade nacional competente DATA BREACH • Natureza da violação de dados pessoais • Pontos de contacto onde podem ser obtidas informações • Recomendação de medidas destinadas a limitar eventuais efeitos adversos da violação • Consequências da violação de dados pessoais • Medidas propostas ou tomadas pelo prestador para fazer face à violação 19
NOTIFICAÇÃO DE DATA BREACH Registo • Os operadores devem manter um registo das violações de dados pessoais com as seguintes indicações: • Factos subjacentes à violação • Efeitos • Medidas de reparação tomadas • Não foi adoptada a proposta do PE segundo o qual os registos deveriam ser sempre tornados públicos – cadastros de data breaches 20
NOTIFICAÇÃO DE DATA BREACH Sanções • A Directiva prevê que as autoridades nacionais possam auditar o cumprimento da obrigação de notificação pelos operadores e aplicar sanções em caso de não cumprimento desta obrigação • Não é especificado o tipo de sanções • Grupo do Artigo 29 defendeu a aplicação de sanções pecuniárias pesadas 21
NOTIFICAÇÃO DE DATA BREACH • Estas sanções aplicam-se sem prejuízo das sanções já previstas na lei de protecção de dados pessoais • Se, a par da não notificação do data breach, a violação tiver ocorrido por violação de disposições da lei (desde logo as medidas de segurança), a CNPD poderá aplicar coimas ou sanções acessórias • Mas as consequências do data breach não se resumem às sanções 22
NOTIFICAÇÃO DE DATA BREACH “Data breaches” não se enquadram apenas na categoria de riscos jurídicos… Gestão de risco Risco jurídico Risco de negócio Risco reputacional Risco financeiro Risco operacional 23
NOTIFICAÇÃO DE DATA BREACH • Estes impactos explicam as medidas drásticas adoptadas pela Deutsche Telekom, na sequência de dois escândalos recentes que afectaram fortemente a reputação do operador • Extravio de dados relativos a 17 milhões de clientes • Acesso ilegítimo a dados de tráfego de colaboradores da empresa Privacidade no topo das prioridades 24
RETENÇÃO DE DADOS Obrigação de retenção de dados • Obrigação de conservação e transmissão dos dados de tráfego e de localização, bem como dos dados conexos para identificar o assinante ou o utilizador registado, gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações Para fins de investigação, detecção e repressão de crimes graves 25
RETENÇÃO DE DADOS Dados de tráfego e de localização Dados conexos para identificar o assinante ou o utilizador registado gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações 26
RETENÇÃO DE DADOS • Os operadores devem conservar os dados 1 ano a contar da data da conclusão da comunicação São conservados Dados telefónicos e da Internet relativos a chamadas telefónicas falhadas quando sejam gerados ou tratados e armazenados pelos operadores, no contexto de oferta de serviços de comunicações Não são conservados • Dados relativos a chamadas não estabelecidas • Dados que relevem o conteúdo das comunicações (excepto nos casos na Lei 41/2004 e Código do Processo Penal – intercepção e gravação de chamadas) 27
RETENÇÃO DE DADOS Categorias de dados a conservar • • • Fonte de uma comunicação Destinatário de uma comunicação Data, hora e duração de uma comunicação Tipo de comunicação Equipamento de telecomunicações dos utilizadores Localização do equipamento de comunicação móvel 28
RETENÇÃO DE DADOS • Separação de ficheiros Ficheiro com pacote de dados para efeitos da Lei 32/2008 Os dados (excepto o nome e endereço dos assinantes) devem ficar bloqueados, só sendo desbloqueados em caso de transmissão às entidades competentes Ficheiro com pacote de dados para outros fins 29
RETENÇÃO DE DADOS Impacto da obrigação de retenção • Aprovação e implementação da obrigação de retenção envolta em grande contestação • dos operadores Elevados custos de implementação • dos cidadãos Intromissão na vida privada e violação da privacidade 30
RETENÇÃO DE DADOS Impacto nos operadores • Obrigação de retenção como potenciador de distorções do mercado • Desde logo entre EMs, face aos diferentes requisitos técnicos e diferentes regimes de reembolso de custos 31
RETENÇÃO DE DADOS • Não previsão do reembolso dos custos pelo Estado (apesar de previsto na versão original da Directiva e ter sido defendido por várias entidades, incluindo a CE e o Grupo do Artigo 29) • Não obstante, alguns EMs previram nas leis nacionais o reembolso dos custos • Lei 32/2008 não prevê o reembolso dos custos dos operadores 32
RETENÇÃO DE DADOS • Aumento dos custos dos operadores • Necessidade de investimento • Complexidade na gestão dos ficheiros • Necessidade de adopção de políticas internas claras de conservação, transmissão e destruição de dados 33
RETENÇÃO DE DADOS Impacto nos cidadãos • Risco de intromissão na vida privada • Na Alemanha, a lei da retenção de dados foi declarada inconstitucional: • • • não garante um uso restritivo dos dados de tráfego por parte das autoridades permite uma intromissão na vida privada o armazenamento indiscriminado de dados põe em causa os direitos fundamentais dos cidadãos • • Dados serão imediatamente apagados Pedidos operadores de compensação pelos gastos incorridos contra o Estado 34
Outras novidades da Directiva OUTRAS NOVIDADES DA DIRECTIVA EPRIVACY • Cookies • Inclusão explícita do RFID • Combate contra o spam 35
Cookies OUTRAS NOVIDADES DA DIRECTIVA EPRIVACY • Os utilizadores passarão a ter de dar o seu consentimento prévio ao uso de cookies • Excepção: situações em que o armazenamento técnico ou o acesso seja estrita e tecnicamente necessário para o objectivo legítimo de permitir a utilização de um serviço especificamente solicitado pelo assinante ou utilizador (v. g. session cookies) • Margem ao legislador nacional para fixar a forma de obter consentimento • Opt-in? • Opt-out? • Browser settings? 36
OUTRAS NOVIDADES DA DIRECTIVA EPRIVACY • Considerando 66: “o consentimento pode ser demonstrado através do uso dos parâmetros adequados do programa de navegação ou de outra aplicação” • EMs defendem que é possível obter o consentimento através das settings do browser – Grupo do Artigo 29 opôs-se veemente a esta interpretação • Seja qual for a interpretação que o nosso legislador irá fazer, esta medida terá um forte impacto, em especial ao nível da publicidade on-line, que utiliza os cookies para determinar as preferências dos utilizadores e ajustar a publicidade aos seus gostos 37
OUTRAS NOVIDADES DA DIRECTIVA EPRIVACY • RFID • Clarificação que algumas aplicações RFID são abrangidas pelo âmbito da Directiva (“dispositivos de recolha de dados e de identificação”) • Spam • Associações de consumidores e ISPs passam a poder intentar acções judiciais contra spammers 38
AGRADECIMENTO MUITO OBRIGADA!
- Poder regulamentar
- Poder de polícia administrativa
- Reviso software
- Reviso
- A terra atrai um pacote de arroz
- Multivivo
- Das alte ist vergangen das neue angefangen
- Eu fico com a pureza das cri
- Das alles ist deutschland das alles sind wir
- Ich bin die wahrheit und das licht
- Canto v est 92 a 100
- Master class management and leadership training
- Kubernetes master class
- Diane loth
- How was today's class
- Package mypackage class first class body
- Abstract class vs concrete class
- Mode for grouped data
- Class i vs class ii mhc
- Difference between abstract class and concrete class
- Class boundary of 0-10
- Stimulus
- Stimulus class vs response class
- Therapeutic class and pharmacologic class
- Class maths student student1 class student string name
- Unordered stem and leaf plot
- In greenfoot, you can cast an actor class to a world class?
- Static class loading and dynamic class loading
- Class 0 esd
- Uml class diagram static
- Class 2 class 3
- Extends testcase
- Package mypackage class first class body
- Class third class
- Protected in uml
- Component class has composite class as collaborator
- Spring security zero to master download
- Master status
- What shall i give thee master
- Aziende convenzionate unipv