Data Breach
Transcrição
Data Breach
MASTER CLASS Revisão do Pacote Regulamentar das Comunicações Electrónicas (“Revisão 2006”) ePrivacidade: A Directiva ePrivacy o novo regime dos data breaches e o impacto económico e legal das novas obrigações de retenção de dados impostas aos operadores • Enquadramento ÍNDICE • Notificação de Data Breaches • • • Obrigação de notificação Data breach Impacto nos operadores • Retenção de dados • • Obrigações Impacto económico e legal • Outras novidades da Directiva ePrivacy 2 ENQUADRAMENT O Data limite transposição da Directiva ePrivacy Aprovação da Directiva Retenção CE adopta proposta Directiva ePrivacy 03.06 09.07 Data limite transposição da Directiva Retenção (sem extensão) 11.07 07.08 05.09 Aprovação da Lei 32/2008 de 10.09 11.09 Entrada em vigor da Lei 32/2008 Aprovação da Portaria 469/2009 05.11 Aprovação da Directiva ePrivacy NOTIFICAÇÃO DE DATA BREACH • Quantas empresas não perderam já laptops que contêm dados? • Quantas empresas têm políticas de controlo apertadas quanto à comunicação, interna e externa, de dados? • Quantas empresas fazem testes regulares para aferir da segurança dos seus sistemas de informação? • Quantas empresas auditam a actividade dos seus outsourcers quanto às medidas de protecção dos dados? • Quantas empresas têm uma política de data breach? 4 NOTIFICAÇÃO DE DATA BREACH PONTO DE VIRAGEM NO SECTOR DAS TELECOMUNICA ÇÕES 5 NOTIFICAÇÃO DE DATA BREACH Notificação de data breaches • Consagração da obrigação de notificação imediata, pelos operadores, da ocorrência de data breaches (violações de segurança) • Esta obrigação vai implicar necessariamente uma alteração profunda na forma como os operadores encaram as matérias da privacidade e protecção de dados Alguns EMs adiantaram-se e já aprovaram leis que impõem a notificação de data breaches (Alemanha). Noutros casos (UK), constitui uma boa conduta a notificação da ocorrência destas violações, ainda que não exista uma obrigação legal 6 NOTIFICAÇÃO DE DATA BREACH O que é considerado um “data breach”? 7 violação da segurança, que provoque de modo acidental ou ilegal destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais tratados no contexto da prestação de serviços de comunicações electrónicas acessíveis ao público na Comunidade 8 NOTIFICAÇÃO DE DATA BREACH Violação de segurança • Devem ser notificadas todas e quaisquer violações, desde que provoquem a destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais • Não foi adoptada a proposta do Conselho, segundo a qual apenas seriam notificadas as violações graves (tal como a actual recomendação da ICO) 9 NOTIFICAÇÃO DE DATA BREACH Modo acidental ou ilegal • Não é necessário demonstrar que existiu dolo na violação • Negligência leve • Qualquer violação de segurança, ainda que provocada acidentalmente, deverá ser notificada 10 NOTIFICAÇÃO DE DATA BREACH Destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais •Formulação muito genérica, pelo que inclui diferentes formas de violação: • • • • • Acesso não autorizado Perda/divulgação de dados, ainda que não tenha sido demonstrada a existência de acesso não autorizado Roubo de identidade Corrupção de dados … 11 NOTIFICAÇÃO DE DATA BREACH Dados tratados no contexto da prestação comunicações electrónicas acessíveis ao público de serviços de • Âmbito de aplicação limitado • Não adopção da proposta da EDPS de incluir prestadores de serviços da sociedade da informação (bancos on-line, prestadores de cuidados de saúde on-line) no âmbito da obrigação de notificar violações de segurança • Efeito dominó: possibilidade de extensão a todos os sectores da economia (Considerando 59) 12 NOTIFICAÇÃO DE DATA BREACH Destinatários das notificações • Autoridade nacional competente (no nosso caso será o ICP-ANACOM e a CNPD) • Assinantes/pessoas afectadas (no caso em que a violação de dados pessoais possa afectar negativamente a protecção dos dados pessoais e a privacidade) Extensão da obrigação de notificação às pessoas afectadas 13 Notificação de data breaches ao assinante/ pessoa afectada NOTIFICAÇÃO DE DATA BREACH Como determinar se existe risco da violação afectar negativamente a privacidade? •Grupo do Artigo 29: O risco deve ser avaliado tendo em conta elementos como a (i) quantidade de dados afectados pela violação, (ii) a sua natureza, (iii) o impacto da violação para uma pessoa Os operadores fazem esta avaliação 14 NOTIFICAÇÃO DE DATA BREACH • De acordo com a Directiva, considera-se que uma violação afecta negativamente os dados ou a privacidade do assinante ou indivíduo sempre que possa resultar, por exemplo, em: • Roubo ou usurpação de identidade • Danos físicos • Humilhações ou danos significativos à reputação no contexto do fornecimento de serviços de comunicações acessíveis ao público 15 NOTIFICAÇÃO DE DATA BREACH • Mas as Autoridades Nacionais podem exigir a notificação, sempre que considerem que a violação de segurança pode acarretar efeitos adversos prováveis • As Autoridades Nacionais podem decidir não exigir a notificação quando considerem que o prestador provou ter adoptado as medidas tecnológicas de protecção adequadas e que tais medidas foram aplicadas aos dados a que diz respeito essa notificação Isenções de Notificação 16 NOTIFICAÇÃO DE DATA BREACH Data Breach Notificação ICPANACOM e CNPD Impacto negativo nos assinantes/ pessoas afectadas? Sim Notificação aos assinantes/pessoas afectadas Não Autoridades concordam Não notificação aos assinantes/pessoa s afectadas Autoridades não concordam Adopção de medidas tecnológicas Notificação 17 Conteúdo mínimo da notificação assinantes/pessoas afectadas aos NOTIFICAÇÃO DE DATA BREACH • Natureza da violação de dados pessoais • Pontos de contacto onde podem ser obtidas informações • Recomendação de medidas destinadas a limitar eventuais efeitos adversos da violação 18 Conteúdo mínimo da notificação à autoridade nacional competente NOTIFICAÇÃO DE DATA BREACH • Natureza da violação de dados pessoais • Pontos de contacto onde podem ser obtidas informações • Recomendação de medidas destinadas a limitar eventuais efeitos adversos da violação • Consequências da violação de dados pessoais • Medidas propostas ou tomadas pelo prestador para fazer face à violação 19 NOTIFICAÇÃO DE DATA BREACH Registo • Os operadores devem manter um registo das violações de dados pessoais com as seguintes indicações: • Factos subjacentes à violação • Efeitos • Medidas de reparação tomadas • Não foi adoptada a proposta do PE segundo o qual os registos deveriam ser sempre tornados públicos – cadastros de data breaches 20 NOTIFICAÇÃO DE DATA BREACH Sanções • A Directiva prevê que as autoridades nacionais possam auditar o cumprimento da obrigação de notificação pelos operadores e aplicar sanções em caso de não cumprimento desta obrigação • Não é especificado o tipo de sanções • Grupo do Artigo 29 defendeu a aplicação de sanções pecuniárias pesadas 21 NOTIFICAÇÃO DE DATA BREACH • Estas sanções aplicam-se sem prejuízo das sanções já previstas na lei de protecção de dados pessoais • Se, a par da não notificação do data breach, a violação tiver ocorrido por violação de disposições da lei (desde logo as medidas de segurança), a CNPD poderá aplicar coimas ou sanções acessórias • Mas as consequências do data breach não se resumem às sanções 22 NOTIFICAÇÃO DE DATA BREACH “Data breaches” não se enquadram apenas na categoria de riscos jurídicos… Gestão de risco Risco jurídico Risco de negócio Risco reputacional Risco financeiro Risco operacional 23 NOTIFICAÇÃO DE DATA BREACH • Estes impactos explicam as medidas drásticas adoptadas pela Deutsche Telekom, na sequência de dois escândalos recentes que afectaram fortemente a reputação do operador • Extravio de dados relativos a 17 milhões de clientes • Acesso ilegítimo a dados de tráfego de colaboradores da empresa Privacidade no topo das prioridades 24 RETENÇÃO DE DADOS Obrigação de retenção de dados • Obrigação de conservação e transmissão dos dados de tráfego e de localização, bem como dos dados conexos para identificar o assinante ou o utilizador registado, gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações Para fins de investigação, detecção e repressão de crimes graves 25 RETENÇÃO DE DADOS Dados de tráfego e de localização Dados conexos para identificar o assinante ou o utilizador registado gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações 26 RETENÇÃO DE DADOS • Os operadores devem conservar os dados 1 ano a contar da data da conclusão da comunicação São conservados Dados telefónicos e da Internet relativos a chamadas telefónicas falhadas quando sejam gerados ou tratados e armazenados pelos operadores, no contexto de oferta de serviços de comunicações Não são conservados •Dados relativos estabelecidas a chamadas não •Dados que relevem o conteúdo das comunicações (excepto nos casos na Lei 41/2004 e Código do Processo Penal – intercepção e gravação de chamadas) 27 RETENÇÃO DE DADOS Categorias de dados a conservar • • • • • • Fonte de uma comunicação Destinatário de uma comunicação Data, hora e duração de uma comunicação Tipo de comunicação Equipamento de telecomunicações dos utilizadores Localização do equipamento de comunicação móvel 28 RETENÇÃO DE DADOS • Separação de ficheiros Ficheiro com pacote de dados para efeitos da Lei 32/2008 Ficheiro com pacote dados para outros fins Os dados (excepto o nome e endereço dos assinantes) devem ficar bloqueados, só sendo desbloqueados em caso de transmissão às entidades competentes de 29 RETENÇÃO DE DADOS Impacto da obrigação de retenção • Aprovação e implementação da obrigação de retenção envolta em grande contestação • dos operadores Elevados custos de implementação • dos cidadãos Intromissão na vida privada e violação da privacidade 30 RETENÇÃO DE DADOS Impacto nos operadores • Obrigação de retenção como potenciador de distorções do mercado • Desde logo entre EMs, face aos diferentes requisitos técnicos e diferentes regimes de reembolso de custos 31 RETENÇÃO DE DADOS • Não previsão do reembolso dos custos pelo Estado (apesar de previsto na versão original da Directiva e ter sido defendido por várias entidades, incluindo a CE e o Grupo do Artigo 29) • Não obstante, alguns EMs previram nas leis nacionais o reembolso dos custos • Lei 32/2008 não prevê o reembolso dos custos dos operadores 32 RETENÇÃO DE DADOS • Aumento dos custos dos operadores • Necessidade de investimento • Complexidade na gestão dos ficheiros • Necessidade de adopção de políticas internas claras de conservação, transmissão e destruição de dados 33 RETENÇÃO DE DADOS Impacto nos cidadãos • Risco de intromissão na vida privada • Na Alemanha, a lei da retenção de dados foi declarada inconstitucional: • • • não garante um uso restritivo dos dados de tráfego por parte das autoridades permite uma intromissão na vida privada o armazenamento indiscriminado de dados põe em causa os direitos fundamentais dos cidadãos • • Dados serão imediatamente apagados Pedidos dos operadores de compensação pelos gastos incorridos contra o Estado 34 Outras novidades da Directiva OUTRAS NOVIDADES DA DIRECTIVA EPRIVACY • Cookies • Inclusão explícita do RFID • Combate contra o spam 35 Cookies OUTRAS NOVIDADES DA DIRECTIVA EPRIVACY • Os utilizadores passarão a ter de dar o seu consentimento prévio ao uso de cookies • Excepção: situações em que o armazenamento técnico ou o acesso seja estrita e tecnicamente necessário para o objectivo legítimo de permitir a utilização de um serviço especificamente solicitado pelo assinante ou utilizador (v.g. session cookies) • Margem ao legislador nacional para fixar a forma de obter consentimento • Opt-in? • Opt-out? • Browser settings? 36 OUTRAS NOVIDADES DA DIRECTIVA EPRIVACY • Considerando 66: “o consentimento pode ser demonstrado através do uso dos parâmetros adequados do programa de navegação ou de outra aplicação” • EMs defendem que é possível obter o consentimento através das settings do browser – Grupo do Artigo 29 opôs-se veementemente a esta interpretação • Seja qual for a interpretação que o nosso legislador irá fazer, esta medida terá um forte impacto, em especial ao nível da publicidade on-line, que utiliza os cookies para determinar as preferências dos utilizadores e ajustar a publicidade aos seus gostos 37 OUTRAS NOVIDADES DA DIRECTIVA EPRIVACY • RFID • Clarificação que algumas aplicações RFID são abrangidas pelo âmbito da Directiva (“dispositivos de recolha de dados e de identificação”) • Spam • Associações de consumidores e ISPs passam a poder intentar acções judiciais contra spammers 38 AGRADECIMENT O MUITO OBRIGADA!
Documentos relacionados
Thomilpool Pastilhas Cloro 200
Cumprir a legislação vigente em matéria de prevenção de riscos laborais. Manter os recipientes hermeticamente fechados. Controlar os derrames e resíduos, eliminando-os com métodos seguros (epígrafe...
Leia mais