COMISSÃO EUROPEIA
COMUNICADO DE IMPRENSA
Bruxelas, 24 de junho de 2013
Agenda Digital: Novas regras específicas para os
consumidores nos casos de perda ou roubo de dados
pessoais de telecomunicações na UE
A Comissão Europeia está a estabelecer novas regras sobre os procedimentos a seguir
pelos operadores de telecomunicações e fornecedores de serviços Internet (FSI) caso os
dados pessoais dos seus clientes sejam perdidos, roubados ou de alguma forma violados.
O objetivo destas «medidas técnicas de execução» é garantir que todos os clientes
recebem um tratamento equivalente em toda a UE em caso de violação de dados e que as
empresas podem adotar uma estratégia pan-europeia para estes problemas caso exerçam
atividades em mais de um país.
Os operadores de telecomunicações e os FSI possuem uma série de dados sobre os seus
clientes, designadamente o nome, o endereço e dados sobre as contas bancárias, além de
informações sobre as chamadas telefónicas e os sítios Web visitados. Desde 2011, estas
empresas estão genericamente obrigadas a informar as autoridades nacionais e os
assinantes dos casos de violação de dados pessoais (IP/11/622).
Graças a um regulamento da Comissão, as empresas saberão mais claramente como
cumprir aquelas obrigações e os clientes obterão maiores garantias quanto ao modo como
os seus problemas são tratados. Por exemplo, as empresas devem:
• Informar do incidente, no prazo de 24 horas após a deteção da violação, a
autoridade nacional competente, por forma a reduzir ao mínimo as suas
consequências. Se a divulgação de todos os elementos não for possível durante esse
período, devem fornecer um conjunto inicial de informações no prazo de 24 horas,
seguindo-se as restantes no prazo de três dias.
• Indicar os elementos de informação que foram afetados e as medidas que foram ou
serão aplicadas pela empresa.
• Ao determinarem se é necessário notificar os assinantes (ou seja, ao aplicarem o
teste que indica se a violação é suscetível de afetar negativamente os dados
pessoais ou a privacidade), prestar atenção ao tipo de dados afetados,
nomeadamente, no contexto do setor das telecomunicações, informações
financeiras, dados de localização, ficheiros com os dados de acesso à Internet, o
histórico da navegação na Internet, dados de correio eletrónico e listas discriminadas
de chamadas.
• Utilizar um formato normalizado (por exemplo, um formulário em linha que é o
mesmo em todos os Estados-Membros da UE) para a notificação à autoridade
nacional competente.
IP/13/591
A Comissão deseja ainda incentivar as empresas a cifrarem os dados pessoais. Assim, e
em colaboração com a ENISA, a Comissão publicará também uma lista indicativa de
medidas tecnológicas de proteção, nomeadamente técnicas de cifragem, que tornam os
dados incompreensíveis para qualquer pessoa não autorizada a obtê-los. Se ocorrer uma
violação de dados numa empresa que aplique essas técnicas, esta não será obrigada a
notificar os assinantes, já que essa violação não permite revelar os dados pessoais dos
assinantes.
Neelie Kroes, Vice-Presidente da Comissão Europeia, afirmou a este respeito: «Os
consumidores necessitam de ser informados dos casos em que os seus dados pessoais
foram violados para poderem tomar medidas corretivas, se for caso disso, e as empresas
necessitam de regras simples. Estas novas medidas práticas satisfazem ambas as
partes.».
A Comissão está a estabelecer estas regras na sequência da consulta pública que efetuou
em 2011 e que revelou um amplo apoio das partes interessadas a uma estratégia
harmonizada neste domínio. As regras foram aprovadas por um comité de representantes
dos Estados-Membros e submetidas à apreciação do Parlamento Europeu e do Conselho.
São adotadas sob a forma de regulamento da Comissão, que tem um efeito direto e não
requer transposição a nível nacional, e entrarão em vigor dois meses após a sua
publicação no Jornal Oficial da UE.
Contexto
A Diretiva Privacidade e Comunicações Eletrónicas, de 2002, exige que os operadores de
telecomunicações e os fornecedores de serviços Internet mantenham confidenciais e
seguros os dados pessoais. No entanto, por vezes, esses dados são roubados ou perdidos,
ou ainda consultados por pessoas não autorizadas. Estes casos são conhecidos como
«violações de dados pessoais». Nos termos da Diretiva Privacidade e Comunicações
Eletrónicas revista (2009/136/CE), quando ocorre uma violação de dados pessoais, o
operador tem de comunicar o facto a uma autoridade nacional específica, normalmente a
autoridade nacional responsável pela proteção de dados ou o regulador das comunicações.
Além disso, o operador deve informar diretamente o assinante em causa sempre que a
violação possa afetar negativamente os dados pessoais ou a privacidade. Para garantir a
aplicação coerente em todos os Estados-Membros das regras sobre violação de dados, a
Diretiva Privacidade e Comunicações Eletrónicas autoriza a Comissão a propor «medidas
técnicas de execução» – regras práticas que complementam a legislação em vigor –
relativas às circunstâncias, aos formatos e aos procedimentos de notificação.
Nos termos da referida diretiva, «a Comissão deve envolver todos os interessados» na
preparação das medidas. Nesse sentido, foi efetuada uma consulta pública em 2011. A
Comissão recebeu respostas de um vasto leque de inquiridos, designadamente
autoridades nacionais, fornecedores de serviços e membros da sociedade civil. Os
resultados revelaram um amplo apoio das partes interessadas ao estabelecimento de
regras harmonizadas e algumas divergências nas estratégias nacionais. No processo de
preparação das medidas, a Comissão consultou também a Agência Europeia para a
Segurança das Redes e da Informação (ENISA), o grupo de trabalho do artigo 29.º para a
proteção de dados e a Autoridade Europeia para a Proteção de Dados (AEPD).
As medidas são autónomas e distintas da revisão do quadro jurídico da UE para a proteção
de dados, proposta pela Comissão, e da proposta de diretiva relativa à segurança das
redes e da informação, apresentada pela Comissão.
2
Ligações úteis
Regulamento da Comissão relativo às medidas aplicáveis à notificação da violação de
dados pessoais em conformidade com a Diretiva Privacidade e Comunicações Eletrónicas
Diretiva Privacidade e Comunicações Eletrónicas.
A proteção da privacidade em linha na Agenda Digital
Diretiva Dados Pessoais da UE
Hash Tags: #eprivacy
Dê a sua opinião:
Agenda Digital
Neelie Kroes Acompanhe Neelie no Twitter
Contactos:
Ryan Heath (+32 2 296 17 16), Twitter: @RyanHeathEU
Linda Cain (+32 2 299 90 19)
3