O NOVO REGULAMENTO EUROPEU SOBRE PROTECÇÃO DE DADOS PESSOAIS 27 May 2014 Mónica Salgado Advogada Registered European Lawyer com a Solicitors Regulatory Authority Inglesa TÓPICOS • De onde viemos … • … E para onde vamos 2 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014 No princípio… 3 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014 PROTECÇÃO DE DADOS PESSOAIS... … Não é nada de novo • Constituições Europeias – referências ao direito à privacidade Portugal: -Constituição Portuguesa de 1822 - inviolabilidade do segredo de correspondência -Constituição de 1976 – direito à autodeterminação informacional • Direito à privacidade segundo Samuel Warren e Walter Brandeis -1890 -Direito a “ser deixado em paz” • Maiores exemplos de abusos de dados pessoais -2ª Guerra Mundial -Ditaduras século XX • A privacidade da informação pessoal não é um direito nascido com o advento da internet! 4 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014 ... E DEPOIS FICOU MAIS COMPLICADO! • Nova era dominada pela tecnologia das informações: - Arquivo de informação em grandes quantidades é facilitado - Troca de informações entre enormes distâncias é imediata - Informação perde tangibilidade • Legislação específica sobre protecção de dados pessoais desenvolvida desde os anos 70 - Land de Hesse (1970) - Suécia (1973) - Cobstituição Portuguesa (1976) • OECD – Linhas Directrizes • 108 Convenção sobre Protecção de dados Pessoais • Directiva 95/46/EC 5 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014 O que nos espera? 6 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014 QUADRO LEGISLATIVO ACTUAL Denominador comum na UE – Directiva 95/46/CE • Transposta em todos os Estados Membros • Portugal - Lei 67/98 de 26 de Outubro Maiores desafios • A Directiva estabelece deveres apenas para os responsáveis pelo tratamento dos dados, não para os subcontratados • Dados pessoais tratados online: - Inexistência de fronteiras - Situações que afectam o regime de protecção de dados pessoais são difíceis de identificar - Neutralidade da legislação = business prevention unit? - Legislações locais sobre Protecção de Dados Pessoais cada vez mais difíceis de aplicar eficazmente 7 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014 MAPA DA PRIVACIDADE NA EUROPA 8 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014 AGENDA DIGITAL DA UE Objectivo? • Ajudar os cidadãos e as empresas da Europa a tirar o maior partido das tecnologias digitais Estrutura? 7 Pilares, incluindo: • Pilar I – Mercado Digital Único - Acção 12 – revisão das regras de Protecção de Dados Pessoais da UE Como? • 101 acções chave identificadas Quando? • Até 2015 9 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014 REGULAMENTO GERAL DE PROTECÇÃO DE DADOS PESSOAIS • Para substituir a Directiva 95/46/CE • Imediatamente aplicável em todos os Estados Membros sem necessidade de transposição • Tem causado grande controvérsia desde que “leaked” em Dezembro de 2011 • 12 Março – Parlamento Europeu adoptou a última versão do Regulamento tal como aprovado pela Comissão das Liberdades Cívicas, Justiça e Assuntos Internos • Quando? - Aprovado até ao fim de 2014 - Em vigor 2016 / 2017 10 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014 ASPECTOS PRINCIPAIS • Um único documento legal sobre Protecção de Dados Pessoais em todos os 28 Estados membros - Real harmonização - Mas! Haverá sempre localizações • Fim da regra de notificações prévias - Mas! Notificação obrigatória de violações de dados pessoais • One stop shop approach Um único Regulador definido tendo em conta o local de estabelecimento principal da organização • Aproximação da legislação aos desenvolvimentos tecnológicos • Data Protection Officer obrigatório Aplicação extra-territorial • Organizações que tenham como mercado alvo cidadãos Europeus 11 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014 SUB-CONTRATANTES • Passarão a ter deveres de acordo com o Regulamento, em especial no que toca a: - Segurança dos dados pessoais Data Protection by design and by default Manter documentação Cooperar com os Reguladores Violações de dados pessoais Privacy Impact Assessments Nomeação de um Data Protection Officer • Contratos entre responsáveis pelos tratamentos e seus sub-contratantes terão de conter cláusulas mais detalhadas sobre protecção de dados pessoais Objectivo? • Equilíbrio nas negociações de contratos entre responsáveis e sub-contratantes 12 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014 CONSENTIMENTO • Consentimento para ser válido terá que ser: - Livre - Específico - Informado - Expresso! • Ónus da prova - responsável pelo tratamento • Cláusula de consentimento distinta do restante clausulado • Restrições quanto ao consentimento de crianças • Desequilíbrio da relação entre o responsável pelo tratamento e o titular dos dados pessoais torna o consentimento inválido • Regras expressas sobre como revogar o consentimento 13 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014 RIGHT TO ERASURE • Versões anteriores – right to be forgotten and to erasure • Muito controverso! • Em circunstâncias específicas os titulares de dados têem o direito de: - Obter dos responsáveis pelo tratamento: - A supressão dos dados pessoais - A abstenção de posterior tratamento - Obter de terceiros a supressão de quaisquer cópias ou links para tais dados pessoais • Imposições adicionais no caso de ter ocorrido a divulgação ilegal dos dados pessoais 14 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014 VIOLAÇÕES DE DADOS PESSOAIS Obrigação de notificar violações de dados pessoais • Organizações deverão notificar o Regulador responsável sem atrasos…. - Mas efectivamente no prazo de 72 horas • O Regulador manterá um registo público do tipo de violações de dados pessoais notificadas • Os titulares de dados pessoais que possam ser adversamente afectados pela violação de dados pessoais - A notificação deverá conter explicação completa da ocorrência e utilizar linguagem clara e simples incluindo… - Informação sobre os direitos dos titulares de dados pessoais, nomeadamente o seu direito a receber compensação 15 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014 DATA PROTECTION OFFICERS • DPO obrigatório: - Administração pública - > 5000 titulares de dados em 12 meses - Monitorização de titulares de dados pessoais - Tratamento de dados sensíveis • DPO – competências especializadas - Em Protecção de Dados Pessoais - Na indústria em que a sua organização se integra • Tarefas: - Vigiar cumprimento - Trabalhar com os representantes de trabalhadores - Notificar violações de dados pessoais - Realizar auditorias regulares • Nomeado por 4 anos (trabalhador) ou 2 anos (prestador de serviços) • DPOs serão trabalhadores protegidos 16 Data Protection training - Jacobs | 3 April 2014 DATA PROTECTION IMPACT ASSESSMENTS • O que é? - Uma análise do impacto que determinados tratamentos de dados pessoais terão em relação à protecção dos dados pessoais e privacidade dos titulares • Porquê? - Evitar problemas criados por novos sistemas de tratamento de dados pessoais • Quando? - O mais cedo possível – quando o novo sistema de tratamento de dados pessoais é proposto • Por exemplo: - Centralização do sistema de Recursos Humanos fora da UE - Utilização de social media para marketing - Utilização de cookies para targeted advertising - Soluções cloud - Nova política de bring your own device - Nova política de trabalho à distância - Due diligence preliminar em transacções societárias 17 Data Protection training - Jacobs | 3 April 2014 FORMAÇÃO Formação reconhecida como parte essencial de cumprimento das regras de Protecção de Dados Pessoais • Os responsáveis pelo tratamento deverão tomar todas as medidas para implementar políticas e procedimentos… [que] serão revistos pelo menos cada dois anos e actualizados sempre que necessário • Data Protection Officer - Supervisiona a formação em Protecção de Dados Pessoais do pessoal da organização - Deve ter o apoio da organização para realizar as suas tarefas - Incluindo receber formação / actualizar conhecimento conforme necessário 18 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014 SANÇÕES POR INCUMPRIMENTO • Coimas até 5% do volume de negócios anual da organização / € 100 milhões (o que for maior) • Investigações sem aviso prévio (dawn raids) • Os critérios de definição do valor concreto da coima incluirão o nível das medidas e procedimentos técnicos e organizacionais de segurança implementados para assegurar: - Data protection by design and by default - A segurança do tratamento - Data protection impact assessment - Auditoria do cumprimento das regras de Protecção de Dados Pessoais - Nomeação do Data Protection Officer 19 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014 NOTAS FINAIS O Regulamento Europeu sobre Protecção de Dados Pessoais - provavelmente aprovado este ano ainda! Notas para assegurar cumprimento das novas regras • Cumprir as regras actuais! • Auditoria do modo de cumprimento das obrigações em Protecção de Dados Pessoais - foco: - Dados tratados online - Fluxos transfronteiriços de dados pessoais - Identificar todas as políticas internas com impacto - Sub-contratados utilizados • Rever práticas à luz do actual regime e do Regulamento • Verificar se será necessário nomear um Data Protection Officer 20 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014 MAIS INFORMAÇÃO Monica Salgado +44 (0) 20 7427 6554 [email protected] 21 O novo Regulamento Europeu sobre Protecção de Dados Pessoais | 27 May 2014
Download
