Leis de proteção de dados «Atualizado»

O presente conteúdo foi atualizado a 03 de fevereiro de 2020 e refere-se à publicação anterior ‘Consonância com os requisitos do RGPD’ de 16 de maio de 2018.

_________________________________

Leis de proteção de dados

Legislação nacional

Âmbito de aplicação

Dados pessoais

Dados Pessoais Sensíveis

Responsáveis pela proteção de dados

Avaliações de responsabilidade e impacto na privacidade

Direitos dos titulares dos dados

Segurança

Transferência de dados pessoais para países terceiros

Execução

ePrivacidade Legislação nacional

Cookies

Marketing por Telefone e /ou por E-mail

Cibersegurança

Dados protegidos  - Glossário

Legislação nacional

Leis gerais de proteção de dados

O Regulamento Geral de Proteção de Dados (UE) (2016/679) (“RGPD”).

Lei n. 58/2019, de 8 de agosto de 2019, que adapta a lei portuguesa ao RGPD ("Lei Portuguesa de Proteção de Dados"). A Lei Portuguesa de Proteção de Dados revogou a lei anterior de proteção de dados, Lei no. 67/98, de 26 de outubro de 1998.

Após a publicação da Lei Portuguesa de Proteção de Dados, o CNPD emitiu a Resolução no. 2019/494 em setembro de 2019 (“Resolução CNPD nº 2019/494”). Afirma que o CNPD desconsiderará as seguintes partes da Lei Portuguesa de Proteção de Dados, por não cumprirem o RGPD:

1. aspectos do âmbito territorial da Lei Portuguesa de Proteção de Dados;
2. isenções dos direitos dos titulares de dados em caso de dever de confiança;
3. tratamento de dados pessoais por entidades públicas para outros fins que não os que justifiquem a coleta de dados;
4. restrições à validade do consentimento fornecido pelos funcionários;
5. condições gerais para aplicação de multas administrativas;
6. vinculação do consentimento à execução do contrato; e
7. a anulação de autorizações existentes.

Além disso, a Lei nº. 59/2019, de 8 de agosto de 2019, relativa à proteção das pessoas singulares no tratamento de dados pessoais relacionados com infrações penais ou na execução de sanções penais, e na livre circulação desses dados, implementa a diretiva de aplicação da lei.

O RGPD é aplicável a partir de 25 de maio de 2018.

A Lei Portuguesa de Proteção de Dados e a Lei 59/2019 são aplicáveis ​​a partir de 9 de agosto de 2019.

Âmbito de aplicação

Qual é o escopo territorial de aplicação?

O RGPD aplica o processamento de dados pessoais no contexto do estabelecimento de um controlador ou processador na UE.

Também contém disposições extraterritoriais expressas e será aplicável a controladores ou processadores estabelecidos fora da UE que:

1. ofereçam bens ou serviços a indivíduos na UE; ou
2. monitorar indivíduos na UE.

Os controladores e processadores capturados por essas disposições precisarão nomear um representante na UE, sujeito a certas isenções limitadas.

A lei portuguesa de proteção de dados esclarece como essas disposições extraterritoriais se aplicam. Em particular, a Lei Portuguesa de Proteção de Dados aplica-se ao processamento realizado fora de Portugal, quando:

1. esse processamento faz parte de um estabelecimento situado em Portugal;
2. afeta os titulares dos dados que estão no território português e se aplicam os testes de oferta ou monitoramento no RGPD; ou
3. afetar dados pessoais de residentes portugueses ocupados por postos consulares portugueses no exterior.

No entanto, a CNPD considera que esta extensão pode não estar em conformidade com a legislação da UE, consulte a Resolução CNPD nº 2019/494.

Existe um conceito de controlador e processador?

Sim. O RGPD contém o conceito de um controlador, que determina a finalidade e os meios de processamento, e um processador, que apenas processa dados pessoais em nome do controlador.

Controladores e processadores estão sujeitos às regras do RGPD, mas as obrigações impostas aos processadores são mais limitadas.

Os registos manuais e eletrónicos estão sujeitos à legislação de proteção de dados?

Sim. O RGPD aplica-se aos registos eletrónicos e aos documentos estruturados em papel.

Existem derrogações nacionais?

O RGPD não se aplica a atividades de aplicação da lei que estão sujeitas à Diretiva de Aplicação da Lei. O RGPD também não se aplica a áreas de direito que estão fora do escopo da legislação da União, como segurança nacional, e não se aplica a atividades puramente pessoais ou domésticas.

A Lei Portuguesa de Proteção de Dados não se aplica aos dados pessoais coletados e mantidos sob a responsabilidade do Sistema de Informação da República Portuguesa (relacionado à segurança nacional).

Além disso, a Lei Portuguesa de Proteção de Dados contém várias especificidades nacionais adicionais, incluindo, por exemplo, emprego, fins de arquivamento de interesse público, fins de pesquisa científica ou histórica ou propósitos estatísticos e obrigações de sigilo.

Dados pessoais

O que são dados pessoais?

Dados pessoais são informações relacionadas a uma pessoa física identificada ou identificável.

Este é um termo amplo e inclui uma ampla gama de informações. O RGPD afirma expressamente que inclui identificadores online, como endereços IP e identificadores de cookies

.

As informações sobre as pessoas jurídicas são dados pessoais?

Não. No entanto, as informações sobre comerciantes únicos e parcerias provavelmente são dados pessoais.

Quais são as regras para o processamento de dados pessoais?

Todo o processamento de dados pessoais deve cumprir todos os seis princípios gerais de qualidade de dados. Os dados pessoais devem ser:

1. processados ​​de forma justa e legal;
2. coletados para fins específicos, explícitos e legítimos e não processados ​​de forma incompatível com esses fins;
3. adequado, relevante e não excessivo;
4. precisas e, quando necessário, atualizadas;
5. mantidos sob a forma identificável por não mais que o necessário; e
6. mantidos em segurança.

O processamento de dados pessoais também deve atender a pelo menos uma condição para o processamento de dados pessoais. Essas condições são que o processamento é:

1. realizado com o consentimento do titular dos dados;
2. necessário para a execução de um contrato com o titular dos dados;
3. necessário para o cumprimento de uma obrigação legal;
4. necessário para proteger os interesses vitais do titular dos dados;
5. necessário para o interesse público ou no exercício da autoridade oficial; ou
6. necessário para os interesses legítimos do responsável pelo tratamento ou do destinatário, exceto quando substituído pelos interesses do titular dos dados.

Essas regras são muito semelhantes aos principais requisitos para o processamento de dados pessoais na Diretiva de proteção de dados.

Existem regras específicas na Lei Portuguesa de Proteção de Dados sobre o processamento de dados pessoais sobre funcionários, particularmente em relação a Sistemas de Videovigilância e biometria. Também existem restrições gerais ao uso de sistemas de sistemas de videovigilância, que podem exigir autorização do CNPD para fins de gravação de áudio. Consulte os, princípios sobre o tratamento de videovigilância - CNPD

Existem formalidades para obter consentimento para processar dados pessoais?

A obtenção do consentimento é mais difícil sob o RGPD.

Para ser válido, o consentimento deve estar em linguagem precisa e clara e, quando solicitado por escrito, separado de outros assuntos. O consentimento deve ser baseado em ação afirmativa, para que caixas pré-selecionadas não sejam aceitáveis. O consentimento pode não ser válido se:

1. existir algum prejuízo para o titular dos dados por se recusar;
2. há um desequilíbrio de poder;
3. consentimento para múltiplos propósitos é agrupado; ou
4. consentimento é uma condição para a celebração de um contrato.

Finalmente, o consentimento pode ser retirado a qualquer momento.

Na prática, outras condições de processamento devem ser consideradas sempre que possível. O consentimento será apenas uma condição de processamento apropriada se o indivíduo tiver uma escolha genuína sobre o assunto, por exemplo, se deve ser enviado material de marketing.

O Grupo de Trabalho do Artigo 29 emitiu Diretrizes sobre Consentimento (WP259).

A Lei Portuguesa de Proteção de Dados esclarece que o consentimento fornecido pelos funcionários não deve constituir uma base legal legítima para o processamento de seus dados pessoais se o processamento resultar numa vantagem legal ou económica para o funcionário, a menos que especificado de outra forma por lei. No entanto, a CNPD considera que esta disposição não está em conformidade com a legislação da UE, consulte a Resolução CNPD nº 2019/494.

Existem regras especiais ao processar dados pessoais sobre crianças?

O consentimento de uma criança em relação aos serviços on-line só será válido se autorizado pelos pais. Uma criança é menor de 16 anos, embora os Estados-Membros possam reduzir essa idade para 13 anos.

De acordo com a Lei de Proteção de Dados de Portugal, o consentimento da criança em relação aos serviços da sociedade da informação é legal quando a criança tiver pelo menos 13 anos de idade.

Dados Pessoais Sensíveis

O que são dados pessoais sensíveis?

Dados pessoais sensíveis são dados pessoais que consistem em origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou associação a sindicatos, dados genéticos, dados biométricos, dados de saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa natural.

A inclusão de dados genéticos e biométricos é uma nova extensão aos tipos de dados pessoais sensíveis na Diretiva Proteção de Dados.

As informações sobre ofensas criminais são tratadas separadamente e estão sujeitas a controles ainda mais rigorosos.

A Lei Portuguesa de Proteção de Dados também é aplicável ao tratamento de dados pessoais sensíveis de pessoas falecidas.

Existem regras adicionais para o processamento de dados pessoais sensíveis?

Os dados pessoais sensíveis apenas podem ser processados ​​se uma condição para o processamento de dados pessoais sensíveis for atendida. Uma condição poderá surgir quando o tratamento:

1. é realizado com o consentimento explícito do titular dos dados;
2. é necessário para uma obrigação legal no campo do direito do trabalho;
3. é necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa quando o titular dos dados não puder dar consentimento;
4. seja realizada por um órgão sem fins lucrativos e se relacione com membros desse órgão ou pessoas que tenham contato regular;
5. refere-se a dados tornados públicos pelo titular dos dados;
6. é necessário para reivindicações legais;
7. seja por razões de interesse público substancial nos termos da legislação da UE ou dos Estados-Membros;
8. é necessário por razões de saúde;
1. é necessário por razões de saúde pública; ou
10. seja necessário para fins de arquivamento, pesquisa científica ou histórica ou para fins estatísticos e se baseie na legislação da UE ou dos Estados-Membros.

A Lei Portuguesa de Proteção de Dados fornece mais detalhes sobre as condições de processamento aplicáveis ​​aos dados genéticos e de saúde.

Por exemplo, o acesso aos dados processados ​​nas condições (h) (assistência médica) e (i) (saúde pública) acima só pode ser feito por meio eletrónico e proibição de divulgação ou transmissão adicional. Além disso, todas as pessoas que têm acesso a dados genéticos e de saúde estão sujeitas a um dever de confidencialidade, que, além de suas obrigações estatutárias, se previsto pela Lei Portuguesa de Proteção de Dados.

Existem regras adicionais para o processamento de informações sobre ofensas criminais?

Só é possível processar informações sobre condenações ou ofensas criminais se:

1. forem realizadas sob o controle da autoridade oficial; ou
2. quando o processamento for autorizado pela legislação da UE ou do Estado-Membro.

Existem formalidades para obter consentimento para processar dados pessoais sensíveis?

O consentimento para processar dados pessoais sensíveis deve ser explícito. As restrições gerais de consentimento, descritas acima, também serão aplicadas. Isso sugere um certo grau de formalidade, como marcar uma caixa contendo as palavras expressas "Eu concordo". É improvável que o consentimento explícito possa ser obtido através de uma linha de conduta.

Responsáveis ​​pela proteção de dados

Quando um oficial de proteção de dados deve ser nomeado?

Tanto os controladores quanto os processadores devem nomear um responsável pela proteção de dados se:

1. são uma autoridade pública;
2. suas atividades principais consistem no monitoramento regular e sistemático dos titulares dos dados em larga escala; ou
3. suas atividades principais consistem no processamento de dados pessoais sensíveis em larga escala (incluindo o processamento de informações sobre ofensas criminais).

Não há regras de nomeação obrigatória sob a lei nacional.

Quais são as funções do responsável pela proteção de dados?

O responsável pela proteção de dados deve estar envolvido em todos os problemas de proteção de dados e não pode ser demitido ou penalizado por desempenhar a sua função. O responsável pela proteção de dados deve se reportar diretamente ao mais alto nível de gestão.

O Grupo de Trabalho do Artigo 29 emitiu Diretrizes sobre Responsáveis ​​pela Proteção de Dados (WP243).

De acordo com a Lei Portuguesa de Proteção de Dados, além dos deveres estabelecidos no RGPD, os responsáveis ​​pela proteção de dados devem:

1. garantir que sejam realizadas auditorias periódicas e / ou não planeadas;
2. alertar os utilizadores sobre a importância da detecção oportuna de incidentes de segurança e a necessidade de informar imediatamente o responsável pela segurança sempre que um código malicioso for detectado; e
3. gerir as relações com os titulares de dados sobre assuntos cobertos pelo RGPD e pela legislação nacional de proteção de dados.

Avaliações de responsabilidade e impacto na privacidade

Existe uma obrigação geral de prestação de contas?

O RGPD adiciona uma nova obrigação geral de responsabilidade sob a qual você deve não apenas cumprir essas novas regras, mas também demonstrar que você as cumpre. Isso significa garantir que políticas adequadas sejam implementadas, apoiadas por auditoria e treino.

As avaliações de impacto na privacidade são obrigatórias?

Uma avaliação de impacto na privacidade deve ser realizada onde o processamento de "alto risco" é realizado. Isso inclui:

1. criação de perfil sistemático e abrangente que produz efeitos legais ou afeta significativamente indivíduos;
2. processamento de dados pessoais sensíveis em larga escala; e
3. monitoramento sistemático de uma área acessível ao público em larga escala (por exemplo, Sistemas de videovigilância CCTV).

O Grupo de Trabalho do Artigo 29 emitiu posteriormente Diretrizes sobre Avaliações de Impacto na Proteção de Dados (WP 248). Ele sugere que há nove critérios a serem considerados para determinar se deve ser realizada uma avaliação de impacto na privacidade e que uma avaliação deve ser feita se dois ou mais desses critérios forem atendidos. Isso é sem dúvida mais amplo que os critérios estabelecidos no parágrafo acima.

Em Portugal, o CNPD elaborou uma lista de atividades de “processamento de alto risco”, disponível aqui.

Direitos dos titulares dos dados

Avisos de privacidade

Um controlador deve fornecer aos titulares dos dados um aviso de privacidade, definindo como os dados pessoais do indivíduo serão processados. O aviso de privacidade deve conter as informações de transparência aprimoradas.

O Grupo de Trabalho do Artigo 29 emitiu Diretrizes sobre Transparência (WP260).

Não há obrigação explícita de fornecer essas informações em português. No entanto, existe o risco de as informações em inglês não serem consideradas inteligíveis.

Além disso, nos termos da Lei Portuguesa de Proteção de Dados, esse direito não se aplica quando a lei impõe ao responsável pelo tratamento um dever de sigilo que justifique que essas informações não sejam fornecidas ao titular dos dados. No entanto, a CNPD considera que esta isenção não está em conformidade com a legislação da UE, consulte a Resolução CNPD no. 2019/494.

Direitos de acesso à informação

Os titulares dos dados terão o direito de aceder a cópias dos seus dados pessoais, fazendo uma solicitação por escrito ao controlador. A solicitação inicial é gratuita, embora possa ser cobrada uma taxa pelas solicitações subsequentes. Os controladores podem recusar a solicitação se ela for manifestamente infundada ou excessiva. A resposta deve ser fornecida dentro de um mês, embora isso possa ser estendido por dois meses se a solicitação for complexa.

De acordo com a Lei Portuguesa de Proteção de Dados, este direito não se aplica quando a lei impõe ao responsável pelo tratamento um dever de sigilo que justifique que essas informações não sejam fornecidas ao titular dos dados. No entanto, a CNPD considera que esta isenção não está em conformidade com a legislação da UE, consulte a Resolução CNPD no. 2019/494.

Direitos à portabilidade de dados

Os titulares de dados também terão direito à portabilidade de dados quando a condição para o processamento de dados pessoais for o consentimento ou a execução de um contrato. Ele autoriza as pessoas a obterem os dados pessoais que "forneceram" ao controlador num formato legível por máquina. Os indivíduos também podem solicitar que os dados sejam transferidos diretamente de um controlador para outro. Não há o direito de cobrar taxas por este serviço.

O Grupo de Trabalho do Artigo 29 emitiu Diretrizes sobre portabilidade de dados (WP242).

Direito de ser esquecido

Um titular dos dados pode solicitar que os seus dados sejam excluídos em determinadas circunstâncias. No entanto, essas circunstâncias são relativamente limitadas, por exemplo, quando o processamento é baseado no consentimento, esse consentimento é retirado e não há outros motivos para o processamento. Mesmo onde o direito surge, há várias isenções, por exemplo, quando há uma obrigação legal de manter os dados.

Objeção ao marketing direto

Um titular de dados pode se opor a que os seus dados pessoais sejam processados ​​para fins de marketing direto a qualquer momento. Isso inclui o processamento dos seus dados pessoais para fins de criação de perfil.

Outros direitos

O RGPD contém uma série de outros direitos, incluindo o direito de corrigir dados imprecisos. Também existe o direito de se opor ao processamento, no desempenho de uma tarefa pública ou sob a condição de interesses legítimos.

Por fim, há controles sobre a tomada de decisões com base apenas na tomada de decisão automatizada que produz efeitos legais ou afeta de forma semelhante o titular dos dados. O Grupo do Artigo 29 emitiu Diretrizes sobre Tomada de Decisão e Criação de Perfil Automatizadas (WP251).

Segurança

Requisitos de segurança para proteger dados pessoais

O RGPD contém uma obrigação geral de implementar medidas técnicas e organizacionais apropriadas para proteger dados pessoais.

Além disso, os controladores e processadores devem garantir, quando apropriado:

1. a pseudonimização e criptografia de dados pessoais;
2. a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas de seus sistemas de tecnologia da informação;
3. a capacidade de restaurar a disponibilidade e o acesso a dados pessoais em tempo hábil no caso de um incidente físico ou técnico; e
4. um processo para testar regularmente e avaliar a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.

Regras específicas que governam o processamento por agentes de terceiros (processadores)

Um controlador deve garantir que qualquer processador instruído garanta segurança adequada aos dados pessoais e atenda aos requisitos do RGPD.

O controlador deve ter contratos escritos com o seu processador contendo as cláusulas aprimoradas do processador.

Aviso de violação de leis

Uma violação de dados pessoais deve ser notificada à autoridade supervisora ​​relevante, a menos que seja improvável que resulte em risco para os titulares de dados. A notificação deve, sempre que possível, ser feita dentro de 72 horas. Se a violação de dados pessoais for um alto risco para os titulares, esses titulares também deverão ser notificados.

O Grupo de Trabalho do Artigo 29 emitiu Diretrizes sobre Notificação de Violação de Dados Pessoais (WP250).

A notificação específica de leis de violação aplica-se ao setor de comunicações eletrónicas de acordo com a Diretiva de Privacidade e Comunicações Eletrônicas.

Transferência de dados pessoais para países terceiros

Restrições às transferências para países terceiros

O RGPD contém uma restrição nos fluxos de dados transfronteiriços. As transferências podem ocorrer se:

1. for para um país na lista de permissões;
2. é feita de acordo com um conjunto de contratos-modelo;
3. é feita de acordo com regras corporativas vinculativas;
4. é feito para um importador que se inscreveu num código aprovado ou obteve uma certificação aprovada; ou
5. seja de outra forma aprovado pela autoridade supervisora ​​relevante.

Transferências também são possíveis se uma derrogação individual se aplicar. Essas derrogações permitem uma transferência se:

1. for feita com o consentimento explícito do titular dos dados;
2. é necessário para a execução de um contrato com ou no interesse do titular dos dados;
3. for necessário ou legalmente exigido por motivos importantes de interesse público ou por ações judiciais;
4. é necessário para proteger os interesses vitais do titular dos dados;
5. é feita a partir de um registo público; ou
6. seja feita sob a chamada isenção de transferência menor.

A posição é basicamente a mesma da Diretiva de proteção de dados. Uma mudança notável é a introdução da chamada isenção menor de transferência, embora seja muito difícil confiar na isenção na prática.

O Conselho Europeu de Proteção de Dados emitiu diretrizes sobre derrogações aplicáveis ​​às transferências internacionais (2/2018).

Notificação e aprovação do regulador nacional (incluindo notificação de uso dos contratos-modelo)

Em geral, não há necessidade de aprovação prévia de uma autoridade supervisora. No entanto, isso depende da justificativa para a transferência.

Por exemplo, não haverá obrigação de obter aprovação para o uso de contratos-modelo (embora seja possível que algumas autoridades de supervisão possam querer ser notificadas sobre seu uso). Por outro lado, será necessário obter aprovação para se basear em regras corporativas vinculativas, e a autoridade supervisora ​​deve ser informada das transferências efetuadas com a isenção de transferências menores.

Uso de regras corporativas vinculativas

O RGPD coloca regras corporativas vinculativas em pé de igualdade. Será possível obter autorização de uma autoridade supervisora ​​que cobrirá as transferências de qualquer lugar da UE.

Em Portugal, a prática do CNPD é aceitar regras corporativas vinculativas.

Execução

Multas

O RGPD tem como objetivo tornar a proteção de dados uma questão na sala de reuniões. Ele introduz um regime de sanções antitruste com multas de até 4% da faturação anual ou 20 milhões de euros, o que for maior. Essas multas aplicam-se a violações de muitas das disposições do RGPD, incluindo o não cumprimento dos seis princípios gerais de qualidade de dados ou a realização do processamento sem atender a uma condição para o processamento de dados pessoais.

Um número limitado de violações cai para um nível inferior e, portanto, está sujeito a multas de até 2% da faturação anual ou 10 milhões de euros, o que for maior. Não notificar uma violação de dados pessoais ou não estabelecer um contrato adequado com um processador enquadra-se nessa camada inferior.

O Grupo do Artigo 29 emitiu Diretrizes sobre multas administrativas (WP253).

De acordo com a Lei Portuguesa de Proteção de Dados, as infrações previstas no RGPD que estão sujeitas a multas administrativas de até 4% da faturação anual ou 20 milhões de euros, o que for maior, as infrações são classificadas como muito graves. Além disso, estabelece montantes mínimos para as multas aplicáveis ​​às violações muito graves, dependendo do tamanho das empresas, como segue:

1. entre 5.000 e 20.000.000 de euros ou até 4% do total da faturação anual (mundial) do ano financeiro anterior, o que for maior, no caso de uma grande empresa;
2. entre 2.000 e 20.000.000 de euros ou até 4% do total da faturação anual (mundial) do ano financeiro anterior, o que for maior, no caso de pequenas e médias empresas; e
3. entre 1.000 e 500.000 euros no caso de pessoas físicas.

As infrações previstas no RGPD que estão sujeitas a multas administrativas de até 2% da faturação anual (mundial) ou 10 milhões de euros, o que for maior, são classificadas como graves, de acordo com a Lei de Proteção de Dados. Além disso, estabelece montantes mínimos para as multas aplicáveis ​​às violações graves, dependendo do tamanho da empresa, como segue:

1. entre € 2.500 e € 10.000.000 ou até 2% da faturação anual global do exercício financeiro anterior, o que for maior, no caso de uma grande empresa;
2. entre € 1.000 e € 10.000.000 ou até 2% da faturação anual global do exercício financeiro anterior, o que for maior, no caso de pequenas e médias empresas; e
3. entre € 500 e € 250.000 no caso de pessoas físicas.

No entanto, o CNPD considera que o RGPD não distingue a natureza negligente ou intencional da conduta, nem o tamanho das empresas ou a natureza jurídica dos agentes; portanto, decidiu não aplicar as regras estabelecidas acima, consulte a Resolução CNPD nº 2019/494.

Prisão

Na Lei Portuguesa de Proteção de Dados constitui uma ofensa criminal o seguinte:

1. uso dos dados pessoais de forma incompatível com a finalidade da coleta;
2. acesso inadequado a dados pessoais;
3. divulgação não autorizada de dados pessoais;
4. violação ou destruição de dados pessoais;
5. inserção de dados falsos;
6. violação do dever de confidencialidade;
7. não cumprimento das instruções do CNPD.

Essas ofensas são puníveis com multa ou prisão de até quatro anos.

Compensação

Os titulares dos dados têm direito a compensação em relação a danos materiais e não materiais.

Outros poderes

Os reguladores terão uma variedade de outros poderes e sanções à sua disposição. Isso inclui poderes de investigação, como a capacidade de exigir informações de controladores e processadores e realizar auditorias. Eles também terão poderes corretivos que lhes permitirão emitir avisos ou repreensões, fazer valer os direitos de um indivíduo e emitir uma proibição temporária ou permanente do processamento.

Prática

Em Portugal, o número de investigações e ações judiciais realizadas pelo CNPD não é divulgado oficialmente. Assim, a informação disponível é essencialmente fornecida através da mídia.

De acordo com a Lei Portuguesa de Proteção de Dados, ainda não foram aplicadas multas, uma vez que entraram em vigor apenas em 9 de agosto de 2019. No entanto, e de acordo com informações publicamente disponíveis, entre 25 de maio de 2018 e o final do primeiro trimestre de 2019, o CNPD impôs quatro multas por violações do RGPD.

Em 17 de julho de 2018, a CNPD aplicou uma multa de € 400.000 a um hospital público devido a três violações do RGPD. As violações identificadas estavam relacionadas a:

1. acesso indiscriminado de um número excessivo de utilizadores aos dados pessoais dos pacientes do hospital;
2. falha na aplicação de medidas técnicas e organizacionais para impedir o acesso ilegal a dados pessoais e garantir um nível adequado de segurança; e
3. a incapacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de processamento.

As outras três multas foram aplicadas a empresas privadas. A identidade de tais empresas e as violações não foram divulgadas. No entanto, o CNPD revelou que os problemas frequentemente diziam respeito ao não cumprimento dos direitos dos titulares de dados por essas entidades. Por exemplo, um dos casos foi por violação do direito de acesso a dados pessoais.

O CNPD também divulgou que, durante os primeiros nove meses de execução do RGPD, foram abertos 768 processos de investigação, originados em denúncias, em participações de autoridades e por iniciativa do próprio CNPD. O CNPD declarou que existem várias investigações em andamento que podem resultar na imposição de uma multa.

ePrivacidade Legislação nacional

Legislação nacional

Leis de ePrivacy

O artigo 13 da Diretiva Privacidade e Comunicações Eletrónicas foi implementado pelo Decreto-Lei nº. 7/2004, de 7 de janeiro de 2004. Atualmente, as disposições relativas a comunicações não solicitadas e marketing direto são estabelecidas pela Lei nº. 41/2004, conforme alterada pela Lei no. 46/2012 (“Lei 41/2004”).

Cookies

Condições de uso de cookies

De acordo com a Lei no. 46/2012, o uso de cookies é permitido apenas desde que o assinante ou utilizador em questão tenha dado o seu consentimento, tendo recebido informações claras e abrangentes, de acordo com a DPD, inter alia, sobre os objetivos do processamento. Isso não impedirá nenhum armazenamento ou acesso técnico se for para o único objetivo de transmitir a comunicação numa rede de comunicações eletrónicas ou estritamente necessário para o prestador de um serviço da sociedade da informação solicitado explicitamente pelo assinante ou utilizador, para fornecer o serviço.

Diretrizes regulamentares sobre o uso de cookies

Nenhuma.

Marketing por Telefone e /ou por E-mail

Marketing por telefone

Condições de marketing direto por telefone para assinantes individuais (excluindo chamadas automatizadas).

O marketing direto por telefone para assinantes individuais é permitido sem o seu consentimento prévio, mas eles devem ter o direito de se opor a esse marketing a qualquer momento.

Condições de marketing direto por telefone para assinantes corporativos (exclui chamadas automatizadas).

O marketing direto por telefone para assinantes corporativos é permitido sem o seu consentimento prévio, mas eles devem ter o direito de se opor a esse marketing a qualquer momento.

Isenções e outras questões

Nenhuma.

Marketing por E-mail

Condições de marketing direto por e-mail para assinantes individuais.

O marketing direto por e-mail para assinantes individuais é autorizado, desde que o destinatário dê o seu consentimento prévio.

Condições de marketing direto por e-mail para assinantes corporativos

O marketing direto por e-mail para assinantes corporativos é permitido sem o seu consentimento prévio, mas eles devem ter o direito de se opor a esse marketing a qualquer momento.

Isenções e outras questões

É permitido enviar e-mail para fins de marketing direto se a isenção de produtos e serviços similares se aplicar. A Lei nº. 41/2004 também proíbe o envio de e-mails de marketing direto se:

1. a identidade do remetente for disfarçada ou oculta;
2. um endereço de opt-out não é fornecido ou;
3. e-mail incentiva os destinatários a visitar sites que não identificam claramente a natureza promocional da mensagem, o anunciante; e ofertas promocionais, como descontos, prémios e competições ou jogos promocionais de presentes, e seus respectivos termos e condições.

Cibersegurança

Leis e regulamentos

Lei no. 46/2018, de 13 de agosto, que transpõe a Diretiva 2016/1148 de 6 de julho, relativa a medidas para um alto nível comum de segurança das redes e sistemas de informação em toda a União Europeia.

Lei no. 16/2019, de 22 de agosto, que transpõe a Diretiva 2017/541, de 15 de março, sobre o combate ao terrorismo e substitui a Decisão-Quadro 2002/475/ JAI do Conselho e altera a Decisão 2005/671/ JAI do Conselho.

Decreto-Lei nº. 62/2011, de 9 de maio, sobre os processos de identificação e proteção de infra-estruturas essenciais (Diretiva 2008/114 / CE, de 8 de dezembro de 2008, relativa à identificação e designação de infra-estruturas críticas europeias e avaliação da necessidade de melhorar a sua proteção).

Decreto-Lei nº. 116-A / 2006, de 16 de julho, alterada pelo Decreto-Lei nº. 161/2012, de 31 de julho, sobre a certificação de sistemas eletrónicos de informação sobre as infra-estruturas públicas essenciais.

Decreto-Lei nº. 69/2014, de 9 de maio, que aprova a constituição do Centro Nacional de Cibersegurança (CNCS), estabelecendo os termos de suas operações institucionais, alterada pelo Decreto-Lei nº. 136/2017, de 6 de novembro.

Resoluções e decisões sobre políticas e estratégias nacionais de cibersegurança (ou seja, a Resolução do Conselho de Ministros nº 12/2012, de 16 de janeiro, nº 19/2013, de 5 de abril, nº 36/2015, nº 7-A / 2015, de 20 de fevereiro, nº 41/2018 e nº 92/2019 e decisão do Ministro da Defesa nº 13692/2013, de 28 de outubro).

Inscrição

Lei no. O 46/2018 estabelece o quadro jurídico da segurança do ciberespaço, ao transpor a Diretiva 2016/1148 de 6 de julho, relativa a medidas para um elevado nível comum de segurança das redes e sistemas de informação em toda a União.

A presente lei aplica-se a organizações dentro dos seguintes setores / infra-estruturas:

• água potável
• energia (eletricidade e gás)
• nuclear
• finanças
• telecomunicações
• transporte e
• controle de água.

• Lei no. 16/2019 modifica formalmente a Lei no. 52/2003 (antiterrorismo), transpondo a Diretiva 2017/541, de 15 de março, relativa ao combate ao terrorismo e substituindo a Decisão-Quadro 2002/475 / JAI do Conselho e alterando a Decisão 2005/671/ JAI do Conselho.
• Decreto-Lei nº. 62/2011 apresenta os principais procedimentos para a identificação e proteção (segurança) de infraestruturas essenciais, particularmente saúde, segurança e saúde económica e social da sociedade nos setores de energia e transporte.
• Decreto-Lei nº. 116-A / 2006, de 16 de julho, alterada pelo Decreto-Lei nº. 161/2012, de 31 de julho, sobre a certificação de sistemas eletrónicos de informação sobre as infra-estruturas públicas essenciais.
• Resolução do Conselho de Ministros n. 12/2012, que procede à revisão da estrutura da Segurança Nacional da Informação e, entre outras, estabelece a necessidade de formação do CNCS.
• Decreto-Lei nº. 69/2014, de 9 de maio, aprovando a constituição do CNCS e estabelecendo os termos de suas operações institucionais.
• Resolução do Conselho de Ministros n. 19/2013, de 5 de abril, estabelece o conceito estratégico de defesa nacional, levando em consideração os riscos de ciberterrorismo e cibercrime.
• Resolução do Conselho de Ministros n. 41/2018, de 28 de maio, aprova os requisitos mínimos para sistemas de informação utilizados pela administração do Estado.
• Resolução do Conselho de Ministros n. A 92/2019, de 5 de junho, define a primeira estratégia nacional de segurança de redes e sistemas de informação (2019-2023).
• A decisão do Ministro da Defesa n. 13692/2013, de 28 de outubro, que, tendo em vista a estratégia de defesa nacional, estabelecem as principais linhas das políticas de defesa cibernética.
• Resolução do Conselho de Ministros n. 36/2015 fornece as estratégias de segurança nacional em relação ao ciberespaço.
• Resolução do Conselho de Ministros n. 7-A / 2015, de 20 de fevereiro, sobre segurança nacional na luta contra o terrorismo, em particular a implementação do Plano Nacional de Ação contra Ameaças Cibernéticas.

Principais obrigações

Lei no. 46/2018:

• A obrigação de garantir medidas de segurança técnica e organizacional apropriadas e proporcionais adotadas em resposta ao nível de risco avaliado de segurança da rede e dos sistemas de informação para as administrações públicas.
• A obrigação de comunicar qualquer incidente com impacto substancial ao Conselho Superior de Segurança do Ciberespaço para provedores de serviços digitais, operadoras de serviços essenciais e administrações públicas.

Decreto-Lei nº. 62/2011:

• A obrigação de elaborar um plano de segurança e rever o plano anualmente (a revisão deve ser conduzida pelas autoridades nacionais competentes);
• A necessidade de designar um agente para ser um ponto de contato em questões relacionadas à segurança das infra-estruturas críticas europeias (TIC), particularmente no intercâmbio de informações com as autoridades competentes sobre riscos e ameaças relacionados.

Decreto-Lei nº. 116-A / 2006:

• A lei estabelece a obrigação de certificação de sistemas eletrónicos de informação em relação a infra-estruturas públicas essenciais.

O Gabinete Nacional de Segurança GNS é a entidade pública responsável pelas credenciações de pessoas físicas e jurídicas pelo acesso e manuseio de informações classificadas, bem como as autoridades pela credenciação e supervisão de entidades que operam no escopo do Sistema Eletrónico de Estado - Chave Pública Infraestrutura (SCEE).

Sanções / execução

• Lei no. 109/2009, seguindo seus artigos, estabelece múltiplas disposições processuais em relação aos crimes cometidos por meios informatizados ou em relação aos quais é necessária a coleta de evidências em suporte eletrónico. A esse respeito, estão previstas as seguintes penas penais: prisão de até 10 anos ou 600 dias - multa, considerando situações especiais e agravadas.
• Lei no. 46/2018, estabeleça várias disposições processuais em relação às obrigações de comunicar qualquer incidente com impacto substancial. A este respeito, estão previstas as seguintes sanções: multa de 1000,00 a 9000,00 euros, considerando situações especiais e agravadas.
• Lei no. 16/2019, seguindo seus artigos, estabelecer vários crimes terroristas. A esse respeito, estão previstas as seguintes penalidades criminais: prisão de até 20 anos ou 480 dias - multa, considerando situações especiais e agravadas.

Existe uma equipa nacional de resposta a emergências de computadores (CERT) ou uma equipa de resposta a incidentes de segurança de computadores (CSIRT)?

Sim. O CERT.PT é um serviço integrado no CNCS que coordena a resposta a incidentes envolvendo entidades do estado, infraestruturas críticas, operadores de serviços essenciais, provedores de serviços digitais e, em geral, o ciberespaço nacional, incluindo qualquer dispositivo pertencente a uma rede ou bloco de endereços, atribuído a um operador de comunicações eletrónicas, instituição, pessoa coletiva ou singular com base ou localizada fisicamente em território português.

Além disso, existe uma rede nacional CSIRT que fornece um conjunto de serviços aos seus membros, coordenando uma possível situação com o CNCS.

Existe uma estrutura nacional de gestão de incidentes para responder a incidentes de segurança cibernética?

Sim. O CNCS fornece uma estrutura de resposta para lidar com crises e incidentes de segurança cibernética que exigem coordenação e / ou gestão a nível nacional.

Outras iniciativas de segurança cibernética

O CNCS coopera com várias entidades internacionais relacionadas a questões de segurança cibernética (ou seja, Comissão Europeia, ENISA, ISAC, OTAN, OSCE e Projeto “No more Ransom”).

__________________________________________

Links úteis

Lei n. 58/2019, de 8 de agosto de 2019

Lei nº. 59/2019

Princípios sobre o tratamento de videovigilância - CNPD

Diretrizes sobre Consentimento (WP259)

Diretrizes sobre Responsáveis ​​pela Proteção de Dados (WP243)

Diretrizes sobre Avaliações de Impacto na Proteção de Dados (WP 248)

Diretrizes sobre Transparência (WP260)

Diretrizes sobre portabilidade de dados (WP242)

Diretrizes sobre Tomada de Decisão e Criação de Perfil Automatizadas (WP251)

Diretrizes sobre Notificação de Violação de Dados Pessoais (WP250)

Diretiva de Privacidade e Comunicações Eletrónicas

Diretrizes sobre derrogações aplicáveis ​​às transferências internacionais (2/2018)

Diretrizes sobre multas administrativas (WP253)

Resolução CNPD nº 2019/494

Decreto-Lei nº. 7/2004, de 7 de janeiro de 2004

Lei no. 46/2012

Lei nº. 41/2004

Lei no. 46/2018, de 13 de agosto

Lei no. 16/2019, de 22 de agosto

Diretiva 2017/541, de 15 de março

Decisão-Quadro 2002/475/ JAI do Conselho

Decisão 2005/671/ JAI do Conselho

Decreto-Lei nº. 62/2011, de 9 de maio

Diretiva 2008/114 / CE, de 8 de dezembro de 2008

Decreto-Lei nº. 116-A / 2006, de 16 de julho

Decreto-Lei nº. 161/2012, de 31 de julho

Decreto-Lei nº. 69/2014, de 9 de maio

Decreto-Lei nº. 136/2017, de 6 de novembro

Lei no. O 46/2018

Diretiva 2016/1148 de 6 de julho

Lei no. 16/2019

Lei no. 52/2003 (antiterrorismo)

Diretiva 2017/541, de 15 de março

Decisão-Quadro 2002/475 / JAI do Conselho

Decisão 2005/671/ JAI do Conselho

Decreto-Lei nº. 62/2011

Decreto-Lei nº. 116-A / 2006, de 16 de julho

Decreto-Lei nº. 161/2012, de 31 de julho

Resolução do Conselho de Ministros n. 12/2012

Resolução do Conselho de Ministros n. 19/2013, de 5 de abril

Resolução do Conselho de Ministros n. 41/2018, de 28 de maio

Resolução do Conselho de Ministros n. A 92/2019, de 5 de junho

Resolução do Conselho de Ministros n. 36/2015

Resolução do Conselho de Ministros n. 7-A / 2015

Lei no. 46/2018

Decreto-Lei nº. 62/2011

Decreto-Lei nº. 116-A / 2006

Lei no. 109/2009

Lei no. 46/2018

Lei no. 16/2019

SCEE

GNS GOV

CERT.PT

CSIRT

CNCS

COMISSÃO EUROPEIA

ENISA

ISAC

OTAN

OSCE

REDECSIRT

PROJETO “No more Ransom”