Inicio Tags Proteção de dados

Tag: proteção de dados

Facebook multado em Espanha

“A agência declara a existência de duas infrações graves e uma muito grave por incumprimento da lei de proteção de dados e impõe ao Facebook uma multa total de 1,2 milhões de euros”, de acordo com um comunicado da instituição à imprensa.

Os dados sobre ideologia, sexo, crenças religiosas, gostos pessoais ou navegação são recolhidos diretamente, mediante a interação com os serviços ou desde páginas de terceiros sem que o usuário seja informado sobre a utilização e finalidade que o Facebook vai dar aos mesmos, segundo a AEPD.

A agência sublinha que a empresa norte-americana não obtém um consentimento “inequívoco, específico e informado” dos utilizadores para tratar os seus dados e que a informação que oferece não é adequada.

Por outro lado, esses dados pessoais também não são cancelados na sua totalidade quando deixam de ser úteis para o fim para que foram recolhidos, nem quando os usuários solicitam explicitamente a sua eliminação.

A AEPD também constatou que a rede social trata dados “especialmente protegidos” com fins publicitários sem ter obtido o consentimento expresso dos utilizadores, assim como é exigido pelas normas de proteção de dados.

A rede social Facebook tem a partir de agora dois meses para recorrer da multa.

Novos Desafios na Proteção de Dados

A proteção de dados pessoais está na ordem do dia. Porquê?

O Regulamento Geral de Proteção de Dados (RGPD) será diretamente aplicável nos Estados-Membros, sem necessidade de transposição, a partir de 25 de maio de 2018, estipulando coimas que podem chegar a atingir 20 milhões de euros ou 4% do volume de negócios anual total a nível mundial correspondente ao exercício financeiro anterior, consoante o que for mais elevado. Por outro lado, a Comissão Nacional de Proteção de Dados (CNPD) deixará de fazer um controlo preventivo, mediante a emissão de pareceres prévios, para passar a supervisionar e fiscalizar a aplicação do RGPD. No fundo, os regulados passam a ter a responsabilidade de adotar medidas de controlo, monotorização e auditoria. Esta mudança de paradigma deixa os gestores e assessores das organizações públicas e privadas naturalmente apreensivos…

Essa preocupação é transversal a todos os setores de atividade?

A recolha e tratamento de dados pessoais está presente em praticamente todos os setores de atividade, desde a saúde e a educação até aos recursos humanos e à comunicação social. Basta pensarmos na recolha de dados para efeitos de faturação ou, ainda, nos ‘identificadores’ que permitem relacionar certos dados com determinadas pessoas – por exemplo, com que regularidade falamos ao telefone, durante quanto tempo e com quem, que consultas ou compras fazemos na internet ou no supermercado…

A chave está, por isso, no conceito de dados pessoais…

Precisamente. Mas o conceito de dados pessoais é muito amplo – qualquer informação, desde que seja possível associá-la a uma pessoa específica. O nome, morada, telefone, NIF, endereço de email, cartão de crédito, matrícula automóvel ou qualquer outro elemento de informação relativo a pessoas individuais, sejam elas clientes, trabalhadores ou fornecedores, tudo são dados pessoais. Incluindo as imagens recolhidas por sistemas de videovigilância ou as gravações de chamadas telefónicas efetuadas por algumas organizações no exercício das suas atividades.

Mas isso já acontecia. O que é que muda?

Como disse, o que muda com o RGPD é o próprio paradigma. Se antes a CNPD fazia um controlo prévio, o que de certa forma deixava as organizações mais confortáveis quanto ao cumprimento da Lei de Proteção de Dados Pessoais, agora os regulados passam a ter que adoptar medidas de autocontrolo, assumindo a CNPD um papel de fiscalização e aplicação de coimas, atuando muitas vezes na sequência de denúncias dos titulares dos dados.

Mas o valor das coimas não é demasiado elevado?

A CNPD aplicará as coimas entre um valor mínimo e um máximo, adequando a sanção ao caso concreto, à gravidade da conduta e aos benefícios obtido pelo infrator. Em Portugal, estou em crer que a CNPD terá igualmente em consideração a situação económica das nossas empresas.

Mas pense-se, por exemplo, no caso das organizações que se dedicam à recolha massiva de dados, como a Google, o Facebook ou a Amazon, que usam os dados dos seus utilizadores para ganhar milhões em publicidade ou em vendas diretas. O conhecimento que estas empresas têm da nossa vida privada é obtido em tempo real – por vezes, conhecem os nossos desejos antes de nós próprios. A importância dos referidos dados é tal que a Facebook adquiriu, há cerca de dois anos, a WhatsApp por vários milhares de milhões de dólares, por esta ter um rendilhado finamente detalhado da vida social dos seus utilizadores. Esta informação pode ser utilizada para conhecer os hábitos, as tendências ou perfis psicológicos. Estas organizações defendiam que os perfis eram propriedade das empresas que os criaram. O RGPD vem clarificar que também os perfis constituem dados pessoais. Ora, se estas organizações não estiverem submetidas a um pesado regime sancionatório, que seja desencentivador de violações ao RGPD, este não será suficientemente eficaz.

É certo que muitas destas questões já são hoje tratadas pelo Direito da Concorrência, o qual está mais direcionado para a defesa das regras do mercado. O RGPD tem em vista os direitos e os benefícios dos cidadãos.

E quais são esses direitos e benefícios?

Desde logo, o RGPD prevê um conjunto de direitos, como o “direito a ser esquecido”, significando que o titular dos dados tem direito a, em certas circunstâncias, obter do responsável pelo tratamento a eliminação dos seus dados pessoais. Por outro lado, o consentimento no tratamento de dados pessoais deixa de ser implícito, para passar a ser expresso, tendo de existir um ato positivo de aceitação do tratamento dos dados.

Mas não só. Todos os dias são transferidos, de forma massiva, dados pessoais para outros países dentro e fora da União Europeia. Por conseguinte, outra vantagem associada ao RGPD traduz-se no facto de existir agora uma harmonização das normas de proteção de dados ao nível Europeu, que terá uma aplicação extraterritorial às empresas sedeadas fora da União Europeia nos casos em que as atividades de tratamento estejam relacionadas com a oferta de bens e serviços no mercado Europeu ou visem a monitorização do comportamento dos titulares dos dados na União Europeia.

E as entidades que fazem a recolha e tratamento de dados, que obrigações terão de cumprir?

Em primeiro lugar, têm de garantir a manutenção do registo de todas as atividades de tratamento de dados pessoais. Por outro lado, a recolha e tratamento dos dados deve obedecer a um conjunto de princípios que limitam a sua amplitude. Desde logo, o princípio da finalidade, segundo o qual a recolha e tratamento deve ter um objetivo específico, como a prestação de um serviço ou a divulgação de uma campanha de marketing. Já o princípio da proporcionalidade determina que as organizações apenas podem recolher os dados que sejam estritamente necessários à prossecução dessa finalidade.

Para além disso, as organizações têm de notificar a violação de dados à CNPD, bem como, em certos casos, aos titulares dos dados. Este é um aspeto importante, uma vez que, no processo de recolha, armazenamento e migração online de dados pessoais, estes ficam muitas vezes vulneráveis a ciberataques, principalmente quando estamos a falar de alvos menos bem protegidos, como tem sucedido com pequenas e médias empresas. Ora, quando tais ataques vierem a ocorrer, as referidas empresas poderão ficar sujeitas a responsabilidade civil e contraordenacional, no caso de se virem a apurar falhas.

Noutros casos, por estarmos perante dados sensíveis, perante o tratamento massivo de dados ou, ainda, perante a avaliação sistemática de dados relacionados com perfis, poderá ser obrigatório realizar uma avaliação de impacto das operações de tratamento sobre a proteção de dados, em momento prévio ao início do tratamento.

E quem será responsável dentro das organizações pelo tratamento dos dados? 

Quer os organismos públicos (cuja definição competirá ao legislador nacional), quer as empresas privadas, cujas atividades principais exijam um controlo regular e sistemático de dados pessoais, devem nomear um Encarregado de Proteção de Dados (‘Data Protection Officer’), que deve zelar, com autonomia e independência, pelo cumprimento do RGPD. É o caso das organizações que não conseguem prosseguir a sua atividade sem o tratamento em grande escala de dados pessoais dos seus clientes, fornecedores ou trabalhadores. O DPO será o responsável pela auditoria e fiscalização da privacidade dos dados dentro da organização, devendo ter conhecimentos jurídicos sobre a proteção de dados e simultaneamente tecnológicos, de forma a implementar as soluções mais acertadas ao nível da segurança do tratamento dos dados pessoais.

Que sugestões deixaria para as organizações?

O que habitualmente sugerimos aos nossos clientes é que se preparem por antecipação. As organizações que ainda não iniciaram o processo de implementação do RGPD devem, o mais breve possível, rever e adaptar os seus procedimentos internos em matéria de proteção de dados pessoais, de forma a assegurar o cumprimento do RGPD até 25 de maio de 2018. Para o efeito, as organizações devem verificar se a recolha e o tratamento de dados pessoais se enquandra, no essencial, nas seguintes situações: i) obtenção do consentimento expresso do titular dos dados pessoais; ii) necessidade dos dados pessoais para o exercício da sua atividade; iii) existência de uma obrigação legal de recolha dos dados pessoais.

Desta forma, as organizações que já hoje recolhem e tratam dados pessoais terão de analisar e rever os referidos dados, pedindo novos consentimentos expressos aos respetivos titulares e/ou encontrando fundamentos legais para a sua recolha e tratamento. As organizações deverão saber exatamente que dados pessoais dispõem, onde estão armazenados e ter procedimentos implementados para assegurar a sua eliminação a requerimento dos respetivos titulares. Os protocolos deverão ser revistos regularmente de forma a reconhecer falhas e atuar de forma rápida e eficaz quando estas acontecerem, através de procedimentos de resposta a incidentes destinados a fazer face às repercuções das falhas de segurança.

Em suma, as organizações devem aproveitar a oportunidade para rever as políticas e procedimentos internos existentes relacionados com a proteção de dados à luz das novas regras e criar mecanismos de controlo eficazes no sentido de garantir o respetivo cumprimento. O RGPD não consubstancia uma revolução face à legislação anterior, mas sim uma evolução, no âmbito da qual todos têm a ganhar com o aumento de segurança: cidadãos e organizações.

 

 

Novo Regulamento Geral de Protecção de Dados em debate

A um ano da aplicação do Novo RGPD aprovado pela União Europeia, para os 28 Estados Membros, o IAPMEI, a Associação para a Promoção da Sociedade de Informação (APDSI) e o Conselho Regional de Lisboa da Ordem dos Advogados, com o apoio da Associação Portuguesa de Gestão das Pessoas (APG) e suporte organizacional da LCG, juntam-se para reflectir sobre as implicações que este novo regulamento trará para as empresas, em particular, para as PME.

Estarão as nossas empresas preparadas para esta mudança? O que falta ainda definir? Como será garantido o cumprimento? São estas e outras questões que serão abordadas na conferência com o Tema: Novo Regulamento Geral de Proteção de Dados – Um ano antes da entrada em vigor” que terá lugar no dia 25 de maio, pelas 9h00, na Escola Superior de Comunicação Social.

Sobre o novo Regulamento Geral de Proteção de Dados

O “Direito ao esquecimento” e o direito à “portabilidade de dados” são algumas das mudanças que este novo regulamento impõe e que reforçam a protecção de dados dos cidadãos. Este reforço significará inevitavelmente regras mais rigorosas para as empresas e, consequentemente, mais difíceis de cumprir. A compensar a desburocratização prevista neste novo RGPD, as empresas serão obrigadas a uma série de procedimentos que garantam a proteção de dados. “Aplicação do novo Regime Geral de Protecção de Dados, obrigará a um esforço por parte das empresas na adequação de mecanismos que garantam o seu cumprimento, pois serão elas a ter esse ónus, mas será certamente uma oportunidade para despoletar a revisão de procedimentos de segurança, que irão assegurar a confidencialidade e a protecção dos dados dos cidadãos”, refere Jorge Marques dos Santos, presidente do IAPMEI.

Num momento em que a transformação digital é parte intrínseca do desenvolvimento da economia, a decorrente adequação do tecido empresarial, para responder aos constantes desafios de inovação e competitividade, não pode deixar de levar em conta a necessária transformação na capacitação das empresas ao nível de recursos, processos, sistemas e competência de gestão, de modo a garantir a segurança, proteção e privacidade dos dados dos cidadãos.

O novo Regulamento Geral de Proteção de Dados substancia as responsabilidades das organizações, facilita a livre circulação de dados pessoais no mercado único digital e reduz a carga administrativa associada. Este novo Regulamento tem um impacto transversal de âmbito jurídico, processual e tecnológico ao nível das várias unidades orgânicas das organizações e coloca nestas a responsabilidade contínua de garantir o cumprimento da legislação, organização e gestão de informação.

O risco de não desenvolver as medidas organizativas, processuais e técnicas adequadas ao cumprimento do regulamento, traz naturalmente constrangimentos ao nível da confiança por parte dos clientes, mas também sanções e penalizações avultadas, a concretizar por intermédio de coimas significativas.

É emigrante português? Os seus dados pessoais nos consulados estão disponíveis a todos

Desde o dia 1 de agosto que o acesso aos registos sobre qualquer emigrante inscrito num consulado é livre. Significa isto que qualquer pessoa que precise de uma informação, como a morada ou o contacto, de um emigrante português, pode obtê-la junto dos serviços consulares do País onde ele se encontre. A menos que esse emigrante tenha dado indicação expressa de que quer manter os seus dados confidenciais. Uma surpresa para o constitucionalista Paulo Otero, que ao Observador considerou que não se pode “presumir que uma pessoa pelo seu silêncio”, autorize que os seus dados pessoais sejam divulgados.

O parecer da Comissão de Acesso aos Documentos Administrativos (CADA) foi publicado em inícios de junho e segundo a Secretaria de Estado das Comunidades, em resposta ao Observador, passou a ser posto em prática no dia 1 de agosto. O mesmo parecer dava hipótese aos emigrantes que assim o quisessem de proteger os seus dados, desde que dando conhecimento aos consulados. No entanto, estamos já no mês de agosto, e há muitos emigrantes que desconhecem sequer a existência de novas regras.

De acordo com o parecer emitido pela CADA (…) deve ser facultado o acesso à informação relativa a nomes, moradas, filiação, números de cartão de cidadão e de passaporte de cidadãos portugueses residentes no estrangeiro caso o Posto Consular possua ou detenha tais dados, salvo se estiverem classificados como confidenciais ou o titular tiver manifestado vontade de que os mesmos sejam mantidos sob sigilo”, explicou ao Observador fonte oficial da Secretaria de Estado das Comunidades.

A Secção Consular da Embaixada de Madrid informou os seus emigrantes, a 20 de julho, por carta, destas alterações. E, segundo a Secretaria de Estado das Comunidades, todos os outros postos consulares estão a fazer o mesmo. “Os Postos Consulares portugueses estão a divulgar o parecer em questão junto dos cidadãos portugueses residentes no estrangeiro, através dos meios de comunicação ao seu dispor, de modo a que possam declarar expressamente que os seus dados devem ser mantidos sob sigilo, caso seja essa a sua vontade”, diz fonte oficial. Mas alguns emigrantes contactados pelo Observador dizem não terem sido informados. Outros vieram entretanto a Portugal e aguardam o regresso para espreitar a caixa de correio.

IMG_5935

O que diz o parecer

O parecer da CADA, uma entidade independente que funciona junto da Assembleia da República, foi a resposta a um pedido da própria Direção-Geral dos Assuntos Consulares e das Comunidades Portuguesas (DGACCP). Dizia a DGACCP que os serviços e postos consulares recebem muitos pedidos de paradeiro de cidadãos portugueses residentes no estrangeiro, a maioria de familiares e amigos. Há quem os procure para poder “intentar uma ação judicial”, para “enviar um convite” ou mesmo “para estabelecerem um contacto”. No seu parecer, a CADA refere que “desde que não haja oposição expressa ao conhecimento por terceiros da parte das moradas, nada obsta à sua disponibilização”.

Este pedido em nada está relacionado com os pedidos das autoridades judiciais, já contemplado pela lei, cujo acesso aos dados é permitido, desde que haja uma ordem emitida por um tribunal.

Normalmente, a CADA disponibiliza os seus pareceres na internet, mas um problema informático impede-os de publicar os pareceres, segundo informação dada por telefone. O Observador aguarda ainda o envio do documento via e-mail.

“Não se pode presumir que uma pessoa pelo seu silêncio autorize”

Para o constitucionalista Paulo Otero, é essencial olhar para o tipo de pedido de acesso aos dados pessoais de forma a não violar os direitos, liberdades e garantias do visado. Na sua perspetiva, não se justifica que os emigrantes tenham que autorizar a disponibilização de dados sobre si quando os pedidos são feitos por entidades públicas portuguesas, em matéria fiscal por exemplo.

Num outro cenário, diz ao Observador, o das entidades privadas, é necessário saber qual o fim do pedido. Paulo Otero considera que se for para um fim estatístico ou para efeitos de investigação, pode não ser necessário pedir autorização. “Para um estudo sobre quantos elementos estão a residir na área de um consulado, ou se um emigrante viajou sozinho ou em família”, exemplifica.

Em todas as outras situações “em que se vise a individualização ou a identificação concreta do visado eu diria que o princípio é de consentimento expresso”, afirma. Mais, “não se pode presumir que uma pessoa pelo seu silêncio autoriza”. Há pessoas que não querem ser localizadas por opção e têm esse direito. “Em nome do respeito da privacidade, é necessário o consentimento do visado para que sejam transmitidos os dados. Caso contrário poderá ter um efeito perverso: imagine para publicidade comercial ou partidária ou, mesmo, para associações de malfeitores, que querem saber se a pessoa está ausente de casa”, refere.

Os emigrantes que vejam os seus dados serem disponibilizados sem autorização prévia podem recorrer à Justiça e pedir a responsabilização do Estado Português, ou podem recorrer ao Provedor de Justiça na tentativa de que o Ministério dos Negócios Estrangeiros adote outras medidas, lembra Paulo Otero.

Social Media

0FãsGosto
108SeguidoresSeguir

EMPRESAS

Tecnologia