29 de agosto de 2012
Novas regras de proteção de dados pessoais do
sector das comunicações eletrónicas entram em
vigor amanhã
Foi hoje, dia 29 de agosto de 2012, publicada a Lei n.º 46/2012, que transpõe a
Diretiva n.º 2009/136/CE do Parlamento Europeu e do Conselho de 25 de
novembro, alterando a Lei n.º 41/2004, de 18 de agosto, relativa ao tratamento de
dados pessoais e proteção da privacidade no setor das comunicações eletrónicas
(“Lei 41/2004”), e que tanta discussão gerou, ao nível comunitário, entre os
diferentes players do setor.
Das alterações introduzidas por esta lei, destacamos, pelo seu impacto, as
seguintes:
> Obrigação de notificação de data breaches
A nova lei é pioneira ao introduzir, no setor das comunicações eletrónicas, a
obrigação de notificação, à Comissão Nacional de Proteção de Dados (“CNPD”), de
violações de dados pessoais, definidas na lei como “ violações da segurança que
provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a
divulgação ou o acesso não autorizado a dados pessoais transmitidos,
armazenados ou de outro modo tratados no contexto da prestação de serviços de
comunicações eletrónicas acessíveis ao público.” Quando a violação de dados for
suscetível de afetar negativamente os dados pessoais do assinante ou do utilizador,
as empresas devem ainda, em princípio, notificar os mesmos para que possam
tomar as precauções necessárias. A presume que uma violação de dados afeta
negativamente o assinante ou utilizador sempre que possa resultar em usurpação
de identidade, danos físicos, humilhação ou danos para reputação.
Com a entrada em vigor desta nova Lei 41/2004, reforça-se a importância dada pelo
legislador europeu aos temas da segurança das redes e serviços de comunicações
eletrónicas, já refletida nas recentes alterações à Lei de Comunicações Eletrónicas
e consequentemente obriga os operadores e prestadores de serviços de
comunicações eletrónicas a colocarem os temas de segurança e proteção de dados
pessoais na listas das principais questões em matéria de compliance, uma vez que,
com estas novas regras, o impacto negativo que um data breach pode ter efeitos
devastadores na confiança dos clientes.
>
Nova regulamentação aplicável aos cookies
A par da obrigação de notificação de data breaches, a nova lei altera o regime
aplicável aos cookies (i.e. os pequenos ficheiros de informação armazenados no
browser, pelos sites consultados, que permitem, entre outras finalidades, determinar
as preferências dos utilizadores), ao passar a exigir que os utilizadores da Internet
tenham de dar o seu consentimento prévio, não bastando a não oposição, para o
uso de cookies. Assim, qualquer entidade que pretenda depositar cookies no
browser de um utilizador, terá de obter o prévio consentimento do mesmo e prestarlhe informações claras quanto à finalidade de tal mecanismo. Só assim não será
Magda Cocco
[email protected]
Inês Antas de Barros
[email protected]
exigido nas situações em que o armazenamento técnico ou o acesso é estrita e
tecnicamente necessário para o objetivo legítimo de permitir a utilização de um
serviço específico explicitamente solicitado pelo assinante ou utilizador.
Esta alteração, fortemente contestada ao nível comunitário pelas dificuldades
práticas de implementação, terá um pesado impacto sobretudo no negócio da
publicidade on-line, que utiliza os cookies para determinar as preferências dos
utilizadores e ajustar a publicidade aos seus gostos.
> Alteração do regime das comunicações não solicitadas
O regime das comunicações não solicitadas deixa de estar consagrado na Lei do
Comércio Eletrónico (Decreto-Lei n.º 7/2004, de 7 de janeiro), passando a constar
da nova Lei 41/2004. Mas as alterações não se ficam pela revogação dos artigos
referentes às comunicações não solicitadas, transferindo-os para a nova Lei
41/2004. Apesar de se manter a regra do opt-in (i.e. consentimento prévio para o
envio destas comunicações não solicitadas), o legislador passou a exigir o
consentimento “expresso”, não se regulando, contudo, a forma como tal
consentimento deverá ser prestado. As entidades que promovam o envio de
comunicações de marketing direto, ao invés da obrigação de manterem uma lista
das pessoas que não pretendem receber estas comunicações (enviando apenas
para as pessoas que não constem da lista), passarão também a ter de manter uma
lista de pessoas que manifestaram expressamente o seu consentimento ou não
oposição para a receção deste tipo de comunicações.
> Reestruturação do regime sancionatório
O regime sancionatório foi reestruturado, delimitando-se as competências da CNPD
e ICP-ANACOM. Assim, embora valores mínimos e máximos das coimas se
mantenham (€5 000 para a coima mima e €5 000 000 a máxima, isto para as
pessoas coletivas), o elenco das contraordenações foi ampliado. Encontra-se
prevista a possibilidade de aplicação de sanções pecuniárias compulsórias (que
pode ser fixada entre €500 a €100 000 por dia).
Prevê-se, também, a possibilidade de aplicação de sanções acessórias no âmbito
dos processos de contraordenação (cujo incumprimento poderá conduzir ao crime
de desobediência qualificada).
A nova Lei 41/2004 entra em vigor amanhã, dia 30 de agosto, não tendo assim os
operadores de comunicações eletróncias muito tempo para adaptarem os seus
procedimentos às novas regras.
Novas regras de
proteção
de
dados pessoais
do sector das
comunicações
eletrónicas
entram em vigor
amanhã