Data Breach

MASTER CLASS
Revisão do Pacote Regulamentar das Comunicações Electrónicas
(“Revisão 2006”)
ePrivacidade: A Directiva ePrivacy o novo regime dos data breaches e o
impacto económico e legal das novas obrigações de retenção de dados
impostas aos operadores
• Enquadramento
ÍNDICE
• Notificação de Data Breaches
•
•
•
Obrigação de notificação
Data breach
Impacto nos operadores
• Retenção de dados
•
•
Obrigações
Impacto económico e legal
• Outras novidades da Directiva ePrivacy
2
ENQUADRAMENT
O
Data limite transposição
da Directiva ePrivacy
Aprovação
da
Directiva Retenção
CE adopta proposta
Directiva ePrivacy
03.06
09.07
Data
limite
transposição
da
Directiva Retenção
(sem extensão)
11.07
07.08
05.09
Aprovação da Lei
32/2008
de
10.09
11.09
Entrada em vigor da
Lei 32/2008
Aprovação da Portaria
469/2009
05.11
Aprovação
da Directiva
ePrivacy
NOTIFICAÇÃO DE
DATA BREACH
• Quantas empresas não perderam já laptops que contêm dados?
• Quantas empresas têm políticas de controlo apertadas quanto à comunicação,
interna e externa, de dados?
• Quantas empresas fazem testes regulares para aferir da segurança dos seus
sistemas de informação?
• Quantas empresas auditam a actividade dos seus outsourcers quanto às medidas
de protecção dos dados?
• Quantas empresas têm uma política de data breach?
4
NOTIFICAÇÃO DE
DATA BREACH
PONTO DE
VIRAGEM NO
SECTOR DAS
TELECOMUNICA
ÇÕES
5
NOTIFICAÇÃO DE
DATA BREACH
Notificação de data breaches
• Consagração da obrigação de notificação imediata, pelos operadores, da
ocorrência de data breaches (violações de segurança)
• Esta obrigação vai implicar necessariamente uma alteração profunda na
forma como os operadores encaram as matérias da privacidade e protecção
de dados
Alguns EMs adiantaram-se e já aprovaram leis que impõem a notificação de
data breaches (Alemanha). Noutros casos (UK), constitui uma boa conduta a
notificação da ocorrência destas violações, ainda que não exista uma obrigação
legal
6
NOTIFICAÇÃO DE
DATA BREACH
O que é considerado um “data breach”?
7
violação da segurança, que provoque
de modo acidental ou ilegal
destruição, perda, alteração, divulgação ou acesso não autorizado a dados
pessoais
tratados no contexto da prestação de serviços de
comunicações electrónicas acessíveis ao público
na Comunidade
8
NOTIFICAÇÃO DE
DATA BREACH
Violação de segurança
• Devem ser notificadas todas e quaisquer violações, desde que provoquem a
destruição, perda, alteração, divulgação ou acesso não autorizado a dados
pessoais
• Não foi adoptada a proposta do Conselho, segundo a qual apenas seriam
notificadas as violações graves (tal como a actual recomendação da ICO)
9
NOTIFICAÇÃO DE
DATA BREACH
Modo acidental ou ilegal
• Não é necessário demonstrar que existiu dolo na violação
• Negligência leve
• Qualquer violação de segurança, ainda que provocada acidentalmente,
deverá ser notificada
10
NOTIFICAÇÃO DE
DATA BREACH
Destruição, perda, alteração, divulgação ou acesso não autorizado a
dados pessoais
•Formulação muito genérica, pelo que inclui diferentes formas de violação:
•
•
•
•
•
Acesso não autorizado
Perda/divulgação de dados, ainda que não tenha sido demonstrada a existência
de acesso não autorizado
Roubo de identidade
Corrupção de dados
…
11
NOTIFICAÇÃO DE
DATA BREACH
Dados tratados no contexto da prestação
comunicações electrónicas acessíveis ao público
de
serviços
de
•
Âmbito de aplicação limitado
•
Não adopção da proposta da EDPS de incluir prestadores de serviços da
sociedade da informação (bancos on-line, prestadores de cuidados de saúde
on-line) no âmbito da obrigação de notificar violações de segurança
•
Efeito dominó: possibilidade de extensão a todos os sectores da economia
(Considerando 59)
12
NOTIFICAÇÃO DE
DATA BREACH
Destinatários das notificações
• Autoridade nacional competente (no nosso caso será o ICP-ANACOM e a
CNPD)
• Assinantes/pessoas afectadas (no caso em que a violação de dados
pessoais possa afectar negativamente a protecção dos dados pessoais e a
privacidade)
Extensão da obrigação de notificação às pessoas
afectadas
13
Notificação de data breaches ao assinante/
pessoa afectada
NOTIFICAÇÃO DE
DATA BREACH
Como determinar se existe risco da violação afectar negativamente a
privacidade?
•Grupo do Artigo 29: O risco deve ser avaliado tendo em conta elementos
como a (i) quantidade de dados afectados pela violação, (ii) a sua natureza,
(iii) o impacto da violação para uma pessoa
Os operadores fazem esta
avaliação
14
NOTIFICAÇÃO DE
DATA BREACH
• De acordo com a Directiva, considera-se que uma violação afecta
negativamente os dados ou a privacidade do assinante ou indivíduo
sempre que possa resultar, por exemplo, em:
• Roubo ou usurpação de identidade
• Danos físicos
• Humilhações ou danos significativos à reputação
no contexto do fornecimento de serviços de comunicações acessíveis ao público
15
NOTIFICAÇÃO DE
DATA BREACH
• Mas as Autoridades Nacionais podem exigir a
notificação, sempre que considerem que a
violação de segurança pode acarretar efeitos
adversos prováveis
• As Autoridades Nacionais podem decidir não
exigir a notificação quando considerem que o
prestador provou ter adoptado as medidas
tecnológicas de protecção adequadas e que tais
medidas foram aplicadas aos dados a que diz
respeito essa notificação
Isenções de
Notificação
16
NOTIFICAÇÃO DE
DATA BREACH
Data Breach
Notificação ICPANACOM e CNPD
Impacto negativo nos
assinantes/ pessoas afectadas?
Sim
Notificação aos
assinantes/pessoas
afectadas
Não
Autoridades
concordam
Não notificação
aos
assinantes/pessoa
s afectadas
Autoridades não
concordam
Adopção de
medidas
tecnológicas
Notificação
17
Conteúdo mínimo da notificação
assinantes/pessoas afectadas
aos
NOTIFICAÇÃO DE
DATA BREACH
• Natureza da violação de dados pessoais
• Pontos de contacto onde podem ser obtidas informações
• Recomendação de medidas destinadas a limitar eventuais efeitos adversos
da violação
18
Conteúdo mínimo da notificação à autoridade
nacional competente
NOTIFICAÇÃO DE
DATA BREACH
• Natureza da violação de dados pessoais
• Pontos de contacto onde podem ser obtidas informações
• Recomendação de medidas destinadas a limitar eventuais efeitos adversos
da violação
• Consequências da violação de dados pessoais
• Medidas propostas ou tomadas pelo prestador para fazer face à violação
19
NOTIFICAÇÃO DE
DATA BREACH
Registo
• Os operadores devem manter um registo das violações de dados pessoais
com as seguintes indicações:
• Factos subjacentes à violação
• Efeitos
• Medidas de reparação tomadas
• Não foi adoptada a proposta do PE segundo o qual os registos deveriam
ser sempre tornados públicos – cadastros de data breaches
20
NOTIFICAÇÃO DE
DATA BREACH
Sanções
• A Directiva prevê que as autoridades nacionais possam auditar o
cumprimento da obrigação de notificação pelos operadores e aplicar
sanções em caso de não cumprimento desta obrigação
• Não é especificado o tipo de sanções
• Grupo do Artigo 29 defendeu a aplicação de sanções pecuniárias pesadas
21
NOTIFICAÇÃO DE
DATA BREACH
• Estas sanções aplicam-se sem prejuízo das sanções já previstas na lei de
protecção de dados pessoais
• Se, a par da não notificação do data breach, a violação tiver ocorrido por
violação de disposições da lei (desde logo as medidas de segurança), a
CNPD poderá aplicar coimas ou sanções acessórias
• Mas as consequências do data breach não se resumem às sanções
22
NOTIFICAÇÃO DE
DATA BREACH
“Data breaches” não se
enquadram apenas na
categoria
de
riscos
jurídicos…
Gestão de
risco
Risco jurídico
Risco de negócio
Risco reputacional
Risco financeiro
Risco operacional
23
NOTIFICAÇÃO DE
DATA BREACH
• Estes impactos explicam as medidas drásticas adoptadas pela Deutsche
Telekom, na sequência de dois escândalos recentes que afectaram
fortemente a reputação do operador
• Extravio de dados relativos a 17 milhões de clientes
• Acesso ilegítimo a dados de tráfego de colaboradores da empresa
Privacidade no topo das prioridades
24
RETENÇÃO DE
DADOS
Obrigação de retenção de dados
• Obrigação de conservação e transmissão dos dados de tráfego e de
localização, bem como dos dados conexos para identificar o assinante ou o
utilizador registado, gerados ou tratados no contexto da oferta de serviços
de comunicações electrónicas publicamente disponíveis ou de redes
públicas de comunicações
Para fins de investigação, detecção e
repressão de crimes graves
25
RETENÇÃO DE
DADOS
Dados de tráfego e de localização
Dados conexos para identificar o
assinante ou o utilizador registado
gerados ou tratados
no contexto da oferta de serviços de
comunicações electrónicas publicamente
disponíveis ou de redes públicas de
comunicações
26
RETENÇÃO DE
DADOS
•
Os operadores devem conservar os dados 1 ano a contar da data da conclusão
da comunicação
São conservados
Dados telefónicos e da Internet relativos
a chamadas telefónicas falhadas
quando sejam gerados ou tratados e
armazenados pelos operadores, no
contexto de oferta de serviços de
comunicações
Não são conservados
•Dados relativos
estabelecidas
a
chamadas
não
•Dados que relevem o conteúdo das
comunicações (excepto nos casos na Lei
41/2004 e Código do Processo Penal –
intercepção e gravação de chamadas)
27
RETENÇÃO DE
DADOS
Categorias de dados a conservar
•
•
•
•
•
•
Fonte de uma comunicação
Destinatário de uma comunicação
Data, hora e duração de uma comunicação
Tipo de comunicação
Equipamento de telecomunicações dos utilizadores
Localização do equipamento de comunicação móvel
28
RETENÇÃO DE
DADOS
• Separação de ficheiros
Ficheiro com pacote de
dados para efeitos da Lei
32/2008
Ficheiro com pacote
dados para outros fins
Os dados (excepto o
nome e endereço dos
assinantes) devem ficar
bloqueados, só sendo
desbloqueados em caso
de
transmissão
às
entidades competentes
de
29
RETENÇÃO DE
DADOS
Impacto da obrigação de retenção
•
Aprovação e implementação da obrigação de retenção envolta em grande
contestação
•
dos operadores
Elevados custos de implementação
•
dos cidadãos
Intromissão na vida privada e violação da
privacidade
30
RETENÇÃO DE
DADOS
Impacto nos operadores
•
Obrigação de retenção como potenciador de distorções do mercado
•
Desde logo entre EMs, face aos diferentes requisitos técnicos e diferentes
regimes de reembolso de custos
31
RETENÇÃO DE
DADOS
•
Não previsão do reembolso dos custos pelo Estado (apesar de previsto na
versão original da Directiva e ter sido defendido por várias entidades,
incluindo a CE e o Grupo do Artigo 29)
•
Não obstante, alguns EMs previram nas leis nacionais o reembolso dos custos
•
Lei 32/2008 não prevê o reembolso dos custos dos operadores
32
RETENÇÃO DE
DADOS
• Aumento dos custos dos operadores
• Necessidade de investimento
• Complexidade na gestão dos ficheiros
• Necessidade de adopção de políticas internas claras de conservação,
transmissão e destruição de dados
33
RETENÇÃO DE
DADOS
Impacto nos cidadãos
•
Risco de intromissão na vida privada
•
Na Alemanha, a lei da retenção de dados foi declarada inconstitucional:
•
•
•
não garante um uso restritivo dos dados de tráfego por parte das autoridades
permite uma intromissão na vida privada
o armazenamento indiscriminado de dados põe em causa os direitos
fundamentais dos cidadãos
•
•
Dados serão imediatamente apagados
Pedidos dos operadores de compensação pelos
gastos incorridos contra o Estado
34
Outras novidades da Directiva
OUTRAS
NOVIDADES DA
DIRECTIVA EPRIVACY
• Cookies
• Inclusão explícita do RFID
• Combate contra o spam
35
Cookies
OUTRAS
NOVIDADES DA
DIRECTIVA EPRIVACY
• Os utilizadores passarão a ter de dar o seu consentimento prévio ao uso de
cookies
• Excepção: situações em que o armazenamento técnico ou o acesso seja
estrita e tecnicamente necessário para o objectivo legítimo de permitir a
utilização de um serviço especificamente solicitado pelo assinante ou
utilizador (v.g. session cookies)
• Margem ao legislador nacional para fixar a forma de obter consentimento
• Opt-in?
• Opt-out?
• Browser settings?
36
OUTRAS
NOVIDADES DA
DIRECTIVA EPRIVACY
• Considerando 66: “o consentimento pode ser demonstrado através do uso
dos parâmetros adequados do programa de navegação ou de outra
aplicação”
• EMs defendem que é possível obter o consentimento através das settings
do browser – Grupo do Artigo 29 opôs-se veementemente a esta
interpretação
• Seja qual for a interpretação que o nosso legislador irá fazer, esta medida
terá um forte impacto, em especial ao nível da publicidade on-line, que
utiliza os cookies para determinar as preferências dos utilizadores e ajustar
a publicidade aos seus gostos
37
OUTRAS
NOVIDADES DA
DIRECTIVA EPRIVACY
• RFID
• Clarificação que algumas aplicações RFID são abrangidas pelo âmbito
da Directiva (“dispositivos de recolha de dados e de identificação”)
• Spam
• Associações de consumidores e ISPs passam a poder intentar acções
judiciais contra spammers
38
AGRADECIMENT
O
MUITO OBRIGADA!