O FUTURO DA PRIVACIDADE

O FUTURO DA
PRIVACIDADE
Colóquio
Protecção de Dados Pessoais e o Marketing
13 de Dezembro de 2011 – Fundação Calouste Gulbenkian
Número Electrónico – Identificador Único
“…the privacy of ENUM subscribers would be compromised if an individual requesting information on a
randomly chosen telephone number succeeded in accessing all the communications services associated
with that telephone number (such as email address, fax number, mobile number, voicemail number etc.).
The information may then be used for spamming or to assume someone else´s identity for commercial or
criminal purposes. (…) other data available could additionally include home pages and even location
information.
Introduction of ENUM in Australia, http://www.aca.gov.au/committee/nsg2/ENUM.pdf
“ENUM is a globally-unique number. Because of the convenience of using a single number to contact
another person, ENUM may be assigned to all humans at some point in the future. ENUM may become a
globally-unique identifier (GUID) used to label humans."
http://www.epic.org/privacy/enum/default.html
Convergência para
a melhoria do desempenho do ser humano

Synergistic combination of four major
NBIC (Nano-Bio-Info-Cogno) provinces
of science and technology, each of which
is currently progressing at a rapid rate:
(a) nanoscience and nanotechnology;
(b) biotechnology and biomedicine,
including genetic engineering;
(c) information technology, including
advanced computing and
communications;
(d) cognitive science, including
cognitive neuroscience.
Converging Technologies for Improving Human Performance
NANOTECHNOLOGY, BIOTECHNOLOGY, INFORMATION
TECHNOLOGY AND COGNITIVE SCIENCE
NSF/DOC-sponsored report, edited by Mihail C. Roco and William
Sims Bainbridge, National Science Foundation – June 2002,
Arlington, Virginia
O AMANHÃ DA
PRIVACIDADE
Colóquio
Protecção de Dados Pessoais e o Marketing
13 de Dezembro de 2011 – Fundação Calouste Gulbenkian
Dezasseis anos passados…
A Directiva 95/46/EC (Directiva da Protecção de Dados) foi aprovada em 1995.
Dois objectivos principais:
garantir o direito fundamental da protecção dos dados pessoais;
garantir a livre circulação de dados pessoais entre os Estados-Membros.
Desenvolvimento tecnológico criou novos desafios à protecção de dados
pessoais.
Empresas privadas e autoridades públicas utilizam dados pessoais na sua
actividade rotineira numa escala nunca antes vista;
Cidadãos disponibilizam cada vez mais os seus dados pessoais de forma
pública ou mesmo global.
A tecnologia transformou a vida económica e a vida social.
Construir a confiança no ambiente online é uma chave para o desenvolvimento
económico
A protecção de dados pessoais assume um papel fundamental na criação de
um ambiente de confiança entre empresa/autoridade pública e cidadão
(consumidor/utente).
Euro Barómetro (Junho 2011)
Para 74% dos europeus a divulgação de
informações pessoais é uma realidade crescente
da vida moderna
Informações consideradas pessoais: informações
financeiras (75%), informações médicas (74%) e
números ou cartões de identidade e passaportes
(73%)
43% dos internautas considera que é pedida mais
informação do que a necessária para obter o
acesso ou usar um serviço on-line
A maioria dos europeus está preocupada
com a gravação dos seus
comportamentos através do uso de
cartões de pagamento (54% vs.38%),
telemóveis (49% vs.43%) ou Internet
móvel (40% vs.35%)
Alguns Números
Autoridades e instituições (55%)
oferecem mais confiança do que as
empresas comerciais
Menos de 1/3 dos eurpeus confia nas
operadoras telefónicas e ISP (32%); e
apenas pouco mais de 1/5 confia nas
empresas que operam na internet –
motores de busca, redes sociais e
serviços de correio electrónico (22%)
70% dos europeus estão preocupados
por os seus dados pessoais na posse de
empresas poderem ser usados para um
propósito diferente daquele para o qual
foram colectados
Relativamente ao "direito a ser
esquecido", uma clara maioria de
europeus (75%) quer poder eliminar
informações que lhe digam respeito, num
sítio da internet, sempre que o pretenda
A quase totalidade dos utilizadores da
Internet (90%) deseja direitos de
protecção de dados iguais em toda a EU
Mais do que 4 em cada 10 europeus
prefeririam legislação da UE (44%); um
pouco menor número preferiria legislação
nacional (40%)
À pergunta sobre que sanções devem
ser introduzidas para impedir que as
empresas usem dados pessoais sem
conhecimento dos titulares, a maioria
considerou que estas devem ser
multadas (51%), proibidas de usar tais
dados no futuro (40%), ou obrigadas a
indemnizar as vítimas (39%)
Uma maioria acredita que os seus dados
pessoais seriam melhor protegidos nas
grandes empresas se estas fossem
obrigadas a ter um oficial da protecção
de dados (88%)
Alguns Números sobre a Internet
Utilizadores de redes sociais e de sítios de
partilha de ficheiros são mais propensos a
divulgar o nome (79%), fotografia (51%) e
nacionalidade (47%). Os dados pessoais
divulgados por compradores on-line
incluem principalmente os nomes (90%),
endereços residenciais (89%) e números
de telemóvel (46%)
A principal razão para divulgação é o
acesso a um serviço on-line: redes sociais
e partilha de ficheiros (61%) e
compradores on-line (79%)
Quase 6 em cada 10 utilizadores tomam
conhecimento das declarações de
privacidade (58%) e a maioria de quem as
lê adapta o seu comportamento na Internet
(70%)
34% dos entrevistados possui pelo menos
uma conta na Internet, tal como e-mail,
para redes sociais ou serviços comerciais
Mais de metade dos utilizadores de
Internet está informada sobre as
condições de recolha e de utilização dos
seus dados quando entra numa rede
social ou quando se regista num serviço
on-line (54%)
Pouco mais de 1/4 dos utilizadores das
redes sociais (26%) e ainda menos
compradores on-line (18%) sentem ter
um completo controlo sobre os seus
dados
Para proteger a sua identidade na
Internet, as estratégias mais habituais
são técnicas ou procedimentais, por
exemplo ferramentas e estratégias para
limitar as mensagens de correio
eletrónico indesejadas, como spam
(42%), verificando se a transação é
segura ou o sítio tem um selo ou etiqueta
de segurança (40%) e utilizando software
específico (39%)
Protecção de dados na Idade da Internet
(…) the underlying principles of the current EU data protection
legislation are still very much valid and have stood the test of time.
However, it became equally clear that the EU needs a more
comprehensive and more coherent approach in its policy for the
fundamental right to personal data protection.
This reform will greatly simplify the regulatory environment and will
substantially reduce the administrative burden. We need to drastically
cut red tape, do away with all the notification obligations and
requirements that are excessively bureaucratic, unnecessary and
ineffective. Instead, we will focus on those requirements which really
enhance legal certainty.
“Assuring data protection in the age of the internet”
BBA Data Protection and Privacy Conference, Brussels, 28 November 2011
Viviane Reding
Vice-President of the European Commission, EU Justice Commissioner
Segurança – Privacidade – Confiança
O que pensam
os responsáveis dos tratamentos
Favoured actions to improve and simplify the implementation of
the legal framework on data protection
Would favour
Would not favour
DK/NA
84
More harmonised rules on security measures
More uniformity between the national laws across the EU
as regards the information to be provided to data subjects
9
7
80
9
11
Aim at a better balance between the right to data
protection and freedom of expression and information
78
13
9
Further clarification on the practical application of some
of the key definitions and concepts of the European
Directive and national data protection laws
76
Data protection legislation specific to each sector of
activity
Other
56
17
13
36
32
11
8
50
Q16. Please indicate which of the following actions would you favour to improve and simplify the
implementation of the legal framework on data protection?
%, Base: all respondents
Confiança
To flourish, the digital economy needs
trust. And trust is about the confidence
consumers have when giving personal
information online.
What are the challenges, then, that
companies face under the current legal
framework for data protection? What is
hindering growth in the Digital Single
Market? How can new European
legislation overcome the current
hurdles?
“Building trust in the Digital Single Market:
Reforming the EU’s data protection rules”
Conference organised by the Industry Coalition for Data
Protection - American Chamber of Commerce to the
European Union, Brussels, 28 November 2011
Viviane Reding
Vice-President of the European Commission, EU Justice
Commissioner
NOVO
QUADRO EUROPEU DE
PROTECÇÃO DE DADOS
Necessidade de um
novo quadro legal da protecção de dados
O actual quadro Europeu de protecção de dados embora mantenha a pertinência
dos objectivos (assegurar um adequado nível de protecção dos dados pessoais e
a sua livre circulação no território da EU) não impediu, nomeadamente:
a aplicação fragmentada da política de proteção de dados pessoais;
a existência de uma incerteza jurídica;
a percepção pública generalizada de que existem riscos significativos
particularmente associados à actividade on-line.
Num mundo de crescente conectividade, o direito fundamental à protecção de
dados pessoais está sendo contante e seriamente testado.
Como resposta, pretende-se construir um mais forte e mais coerente quadro de
protecção de dados com o objetivo de:
permitir o desenvolvimento da economia digital em todo o mercado interno;
dar aos cidadãos o controlo dos seus próprios dados;
reforçar a certeza (jurídica e prática) para os operadores económicos e as
autoridades públicas.
Fundamentos
TRATADO SOBRE O FUNCIONAMENTO DA UNIÃO EUROPEIA (Art.º 16)
1. Todas as pessoas têm direito à protecção dos dados de carácter pessoal que
lhes digam respeito.
CARTA DOS DIREITOS FUNDAMENTAIS DA UNIÃO EUROPEIA
Artigo 8.º - Protecção de dados pessoais
1. Todas as pessoas têm direito à protecção dos dados de carácter pessoal que lhes
digam respeito.
2. Esses dados devem ser objecto de um tratamento leal, para fins específicos e com
o consentimento da pessoa interessada ou com outro fundamento legítimo previsto
por lei. Todas as pessoas têm o direito de aceder aos dados coligidos que lhes
digam respeito e de obter a respectiva rectificação.
3. O cumprimento destas regras fica sujeito a fiscalização por parte de uma
autoridade independente.
Building trust in the Digital Single Market:
Reforming the EU’s data protection rules
Everyone expects a strong, consistent and future-proof framework for data protection,
with consistent rules across all Member States and across all Union policies. (…) To
help businesses, I want to provide consistency and coherence. We need legal
certainty and a level-playing field for all businesses that handle personal data of our
citizens.
They need – the same as consumers – to have a 'one-stop-shop' when it comes to
data protection matters – one law and one single data protection authority for each
business; that of the Member State in which they have their main establishment. (…)
At the same time, we must strengthen coordination and cooperation between national
data protection authorities to make sure that the rules are enforced consistently. As a
result, companies will be able to sell goods and services under the same data
protection rules to 500 million people – a fantastic business opportunity!
“”
Conference organised by the Industry Coalition for Data Protection - American Chamber of Commerce to the
European Union, Brussels, 28 November 2011
Viviane Reding
Vice-President of the European Commission, EU Justice Commissioner
Regulamento Geral de Protecção de Dados
CLARIFICAÇÃO DE CONCEITOS
TITULAR DOS DADOS, DADO PESSOAL, SISTEMA DE
FICHEIROS, CONSENTIMENTO, VIOLAÇÃO DE DADOS
PESSOAIS, DADO GENÉTICO, DADO BIOMÉTRICO, DADO
RELATIVO À SAÚDE, …
SUBSIDIARIEDADE E PROPORCIONALIDADE
CONDIÇÕES DE LEGITIMIDADE DO TRATAMENTO
O PROCESSAMENTO DE DADOS PESSOAIS PARA MARKETING
DIRECTO COM FINS COMERCIAIS SÓ É LEGÍTIMO QUANDO O
TITULAR DOS DADOS DÁ O CONSENTIMENTO PARA O
TRATAMENTO DOS SEUS DADOS PESSOAIS PARA UMA
DETERMINADA ACÇÃO DE MARKETING.
DIREITOS DO TITULAR DOS DADOS
DIREITO A SER ESQUECIDO
DIREITO À PORTABILIDADE DOS DADOS
Obrigações do Responsável
REALIZAR UM ESTUDO PRÉVIO SOBRE O IMPACTO DO PROCESSAMENTO
NA PROTECÇÃO DOS DADOS
CUMPRIR OS REQUISITOS DE AUTORIZAÇÃO (FLUXOS DE DADOS, …) OU
CONSULTA PRÉVIAS (DE ACORDO COM LISTA DE TRATAMENTOS A
APROVAR PELA AUTORIDADE DE SUPERVISÃO)
DESIGNAR UM OFICIAL DE PROTECÇÃO DE DADOS (ENTIDADE PÚBLICA,
EMPRESA COM MAIS DE 250 TRABALHADORES, …)
FOMENTAR A DATA PROTECTION BY DESIGN AND BY DEFAULT
CRIAR E MANTER A DOCUMENTAÇÃO DO TRATAMENTO
NOTIFICAR À AUTORIDADE DE SUPERVISÃO E AO TITULAR DOS DADOS
EVENTUAIS VIOLAÇÕES DE DADOS PESSOAIS
CRIAR (E APLICAR) CÓDIGOS DE CONDUTA E CERTIFICAÇÃO
Novos Conceitos e Mecanismos
AUTORIDADE NACIONAL DE SUPERVISÃO
FLUXOS DE DADOS PODEM REALIZAR-SE SE UM PAÍS TERCEIRO,
UM TERRITÓRIO OU UM SECTOR ESPECÍFICO DE
PROCESSAMENTO DESSE PAÍS, OU UMA ORGANIZAÇÃO
INTERNACIONAL GARANTIR UM NÍVEL DE PROTECÇÃO
ADEQUADO
BINDING CORPORATE RULES
CLÁUSULAS-TIPO DE PROTECÇÃO DE DADOS ADOPTADAS PELA
CE OU POR UMA AUTORIDADE DE SUPERVISÃO NACIONAL (DE
ACORDO COM O PRINCÍPIO DA CONSISTÊNCIA)
AUTORIDADE DE SUPERVISÃO HOSPEDEIRA (“ONE SHOP STOP”)
AUTORIDADE EUROPEIA PARA A PROTECÇÃO DE DADOS
…These are the ways
in which the new rules will help businesses
In the internet age, data protection laws that apply only within a given territory do not
reflect reality. Personal data is often collected in one place and processed in another.
I want to improve the current system of binding corporate rules to make this type of
exchange simpler and less burdensome and to cut down on the time and money
invested by companies. I intend to propose a consistent and streamlined approval
process with a single point of contact for companies amongst the data protection
authorities. And once the binding corporate rules are approved by one data protection
authority, I want them to be recognised by all the data protection authorities in the
European Union. And there should be no need for additional national authorisation in
case of further transfers.
Industry self-regulation has an important, complementary role to play in this reform.
But let me be clear: self-regulation is not a fig leaf for non-compliance; self-regulation
only works if there is strong, legally binding regulation in the first place. This is why I
encourage codes of conduct for businesses in Europe provided that they are fully in
line with European data protection law.
IDEIAS-CHAVE
A PROTECÇÃO DE DADOS PESSOAIS É UM DIREITO
FUNDAMENTAL
A HARMONIZAÇÃO (UNIFICAÇÃO) DAS REGRAS DE
PROTECÇÃO DE DADOS
A LIVRE CIRCULAÇÃO DE INFORMAÇÃO E DE DADOS
PESSOAIS
UMA RELAÇÃO DE CONFIANÇA ENTRE RESPONSÁVEL
DO TRATAMENTO E TITULAR DOS DADOS:
POLÍTICAS DE PRIVACIDADE CREDÍVEIS
POLÍTICAS DE PROTECÇÃO DE DADOS
TRANSPARENTES
E POLÍTICAS DE SEGURANÇA FIÁVEIS
“The optimist proclaims that we
live in the best of all possible
worlds…
…the pessimist fears this is true.”
James Branch Cabell, in The Silver Stallion
(1926)
CNPD
COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS

Rua de São Bento, 148, 3º
1200-821 LISBOA

Tel.: +351 213 928 400

Fax : +351 213 976 832

E-mail : [email protected]

Web: http://www.cnpd.pt