O NOVO REGULAMENTO EUROPEU SOBRE
PROTECÇÃO DE DADOS PESSOAIS
27 May 2014
Mónica Salgado
Advogada
Registered European Lawyer
com a Solicitors Regulatory
Authority Inglesa
TÓPICOS
• De onde viemos …
• … E para onde vamos
2
O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014
No princípio…
3
O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014
PROTECÇÃO DE DADOS PESSOAIS...
… Não é nada de novo
• Constituições Europeias – referências ao direito à
privacidade
Portugal:
-Constituição Portuguesa de 1822 - inviolabilidade do
segredo de correspondência
-Constituição de 1976 – direito à autodeterminação
informacional
• Direito à privacidade segundo Samuel Warren e
Walter Brandeis
-1890
-Direito a “ser deixado em paz”
• Maiores exemplos de abusos de dados pessoais
-2ª Guerra Mundial
-Ditaduras século XX
• A privacidade da informação pessoal não é um
direito nascido com o advento da internet!
4
O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014
... E DEPOIS FICOU MAIS COMPLICADO!
• Nova era dominada pela tecnologia das
informações:
- Arquivo de informação em grandes
quantidades é facilitado
- Troca de informações entre enormes
distâncias é imediata
- Informação perde tangibilidade
• Legislação específica sobre protecção
de dados pessoais desenvolvida desde
os anos 70
- Land de Hesse (1970)
- Suécia (1973)
- Cobstituição Portuguesa (1976)
• OECD – Linhas Directrizes
• 108 Convenção sobre Protecção de
dados Pessoais
• Directiva 95/46/EC
5
O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014
O que nos espera?
6
O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014
QUADRO LEGISLATIVO ACTUAL
Denominador comum na UE – Directiva 95/46/CE
• Transposta em todos os Estados Membros
• Portugal - Lei 67/98 de 26 de Outubro
Maiores desafios
• A Directiva estabelece deveres apenas para os
responsáveis pelo tratamento dos dados, não para os subcontratados
• Dados pessoais tratados online:
- Inexistência de fronteiras
- Situações que afectam o regime de protecção de dados
pessoais são difíceis de identificar
- Neutralidade da legislação = business prevention unit?
- Legislações locais sobre Protecção de Dados Pessoais
cada vez mais difíceis de aplicar eficazmente
7
O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014
MAPA DA PRIVACIDADE NA EUROPA
8
O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014
AGENDA DIGITAL DA UE
Objectivo?
• Ajudar os cidadãos e as empresas da
Europa a tirar o maior partido das
tecnologias digitais
Estrutura?
7 Pilares, incluindo:
• Pilar I – Mercado Digital Único
- Acção 12 – revisão das regras de
Protecção de Dados Pessoais da UE
Como?
• 101 acções chave identificadas
Quando?
• Até 2015
9
O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014
REGULAMENTO GERAL DE PROTECÇÃO DE DADOS PESSOAIS
• Para substituir a Directiva 95/46/CE
• Imediatamente aplicável em todos os Estados
Membros sem necessidade de transposição
• Tem causado grande controvérsia desde que
“leaked” em Dezembro de 2011
• 12 Março – Parlamento Europeu adoptou a última
versão do Regulamento tal como aprovado pela
Comissão das Liberdades Cívicas, Justiça e
Assuntos Internos
• Quando?
- Aprovado até ao fim de 2014
- Em vigor 2016 / 2017
10 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014
ASPECTOS PRINCIPAIS
• Um único documento legal sobre Protecção de
Dados Pessoais em todos os 28 Estados membros
- Real harmonização
- Mas! Haverá sempre localizações
• Fim da regra de notificações prévias
- Mas! Notificação obrigatória de violações de
dados pessoais
• One stop shop approach
Um único Regulador definido tendo em conta o local
de estabelecimento principal da organização
• Aproximação da legislação aos desenvolvimentos
tecnológicos
• Data Protection Officer obrigatório
Aplicação extra-territorial
• Organizações que tenham como mercado alvo
cidadãos Europeus
11 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014
SUB-CONTRATANTES
• Passarão a ter deveres de acordo com o
Regulamento, em especial no que toca a:
-
Segurança dos dados pessoais
Data Protection by design and by default
Manter documentação
Cooperar com os Reguladores
Violações de dados pessoais
Privacy Impact Assessments
Nomeação de um Data Protection Officer
• Contratos entre responsáveis pelos
tratamentos e seus sub-contratantes terão
de conter cláusulas mais detalhadas sobre
protecção de dados pessoais
Objectivo?
• Equilíbrio nas negociações de contratos
entre responsáveis e sub-contratantes
12 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014
CONSENTIMENTO
• Consentimento para ser válido terá que ser:
- Livre
- Específico
- Informado
- Expresso!
• Ónus da prova - responsável pelo tratamento
• Cláusula de consentimento distinta do
restante clausulado
• Restrições quanto ao consentimento de
crianças
• Desequilíbrio da relação entre o responsável
pelo tratamento e o titular dos dados
pessoais torna o consentimento inválido
• Regras expressas sobre como revogar o
consentimento
13 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014
RIGHT TO ERASURE
• Versões anteriores – right to be
forgotten and to erasure
• Muito controverso!
• Em circunstâncias específicas os
titulares de dados têem o direito de:
- Obter dos responsáveis pelo
tratamento:
- A supressão dos dados pessoais
- A abstenção de posterior tratamento
- Obter de terceiros a supressão de
quaisquer cópias ou links para tais
dados pessoais
• Imposições adicionais no caso de ter
ocorrido a divulgação ilegal dos
dados pessoais
14 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014
VIOLAÇÕES DE DADOS PESSOAIS
Obrigação de notificar violações de dados pessoais
• Organizações deverão notificar o Regulador
responsável sem atrasos….
- Mas efectivamente no prazo de 72 horas
• O Regulador manterá um registo público do tipo de
violações de dados pessoais notificadas
• Os titulares de dados pessoais que possam ser
adversamente afectados pela violação de dados
pessoais
- A notificação deverá conter explicação completa da
ocorrência e utilizar linguagem clara e simples
incluindo…
- Informação sobre os direitos dos titulares de
dados pessoais, nomeadamente o seu direito a
receber compensação
15
O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014
DATA PROTECTION OFFICERS
• DPO obrigatório:
- Administração pública
- > 5000 titulares de dados em 12 meses
- Monitorização de titulares de dados pessoais
- Tratamento de dados sensíveis
• DPO – competências especializadas
- Em Protecção de Dados Pessoais
- Na indústria em que a sua organização se integra
• Tarefas:
- Vigiar cumprimento
- Trabalhar com os representantes de trabalhadores
- Notificar violações de dados pessoais
- Realizar auditorias regulares
• Nomeado por 4 anos (trabalhador) ou 2 anos
(prestador de serviços)
• DPOs serão trabalhadores protegidos
16 Data Protection training - Jacobs | 3 April 2014
DATA PROTECTION IMPACT ASSESSMENTS
• O que é?
- Uma análise do impacto que determinados tratamentos de dados pessoais
terão em relação à protecção dos dados pessoais e privacidade dos titulares
• Porquê?
- Evitar problemas criados por novos sistemas de tratamento de dados pessoais
• Quando?
- O mais cedo possível – quando o novo sistema de tratamento de dados
pessoais é proposto
• Por exemplo:
- Centralização do sistema de Recursos Humanos fora da UE
- Utilização de social media para marketing
- Utilização de cookies para targeted advertising
- Soluções cloud
- Nova política de bring your own device
- Nova política de trabalho à distância
- Due diligence preliminar em transacções societárias
17 Data Protection training - Jacobs | 3 April 2014
FORMAÇÃO
Formação reconhecida como parte essencial
de cumprimento das regras de Protecção
de Dados Pessoais
• Os responsáveis pelo tratamento deverão
tomar todas as medidas para implementar
políticas e procedimentos… [que] serão
revistos pelo menos cada dois anos e
actualizados sempre que necessário
• Data Protection Officer
- Supervisiona a formação em Protecção
de Dados Pessoais do pessoal da
organização
- Deve ter o apoio da organização para
realizar as suas tarefas
- Incluindo receber formação / actualizar
conhecimento conforme necessário
18 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014
SANÇÕES POR INCUMPRIMENTO
• Coimas até 5% do volume de negócios anual da organização / € 100 milhões
(o que for maior)
• Investigações sem aviso prévio (dawn raids)
• Os critérios de definição do valor concreto da coima incluirão o nível das medidas e
procedimentos técnicos e organizacionais de segurança implementados para
assegurar:
- Data protection by design and by default
- A segurança do tratamento
- Data protection impact assessment
- Auditoria do cumprimento das regras de Protecção de Dados Pessoais
- Nomeação do Data Protection Officer
19
O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014
NOTAS FINAIS
O Regulamento Europeu sobre Protecção de Dados
Pessoais - provavelmente aprovado este ano ainda!
Notas para assegurar cumprimento das novas regras
• Cumprir as regras actuais!
• Auditoria do modo de cumprimento das obrigações em
Protecção de Dados Pessoais - foco:
- Dados tratados online
- Fluxos transfronteiriços de dados pessoais
- Identificar todas as políticas internas com impacto
- Sub-contratados utilizados
• Rever práticas à luz do actual regime e do Regulamento
• Verificar se será necessário nomear um Data Protection
Officer
20 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014
MAIS INFORMAÇÃO
Monica Salgado
+44 (0) 20 7427 6554
Monica.salgado@speechlys.com
21 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014
Download

o novo regulamento europeu sobre protecção de dados pessoais