Embed Size (px)
Citation preview
Colóquio Protecção de Dados Pessoais e o Marketing
13 de Dezembro de 2011 – Fundação Calouste Gulbenkian
O FUTURO DA PRIVACIDADE
Número Electrónico – Identificador Único
“…the privacy of ENUM subscribers would be compromised if an individual requesting information on a randomly chosen telephone number succeeded in accessing all the communications services associated with that telephone number (such as email address, fax number, mobile number, voicemail number etc.). The information may then be used for spamming or to assume someone else´s identity for commercial or criminal purposes. (…) other data available could additionally include home pages and even location information.
Introduction of ENUM in Australia, http://www.aca.gov.au/committee/nsg2/ENUM.pdf “ENUM is a globally-unique number. Because of the convenience of using a single number to contact another person, ENUM may be assigned to all humans at some point in the future. ENUM may become a globally-unique identifier (GUID) used to label humans."
http://www.epic.org/privacy/enum/default.html
Convergência para a melhoria do desempenho do ser humano
Synergistic combination of four major NBIC (Nano-Bio-Info-Cogno) provinces of science and technology, each of which is currently progressing at a rapid rate:
(a) nanoscience and nanotechnology; (b) biotechnology and biomedicine,
including genetic engineering; (c) information technology, including
advanced computing and communications;
(d) cognitive science, including cognitive neuroscience.
Converging Technologies for Improving Human Performance NANOTECHNOLOGY, BIOTECHNOLOGY, INFORMATION TECHNOLOGY AND COGNITIVE SCIENCE NSF/DOC-sponsored report, edited by Mihail C. Roco and William Sims Bainbridge, National Science Foundation – June 2002, Arlington, Virginia
Colóquio Protecção de Dados Pessoais e o Marketing
13 de Dezembro de 2011 – Fundação Calouste Gulbenkian
O AMANHÃ DA PRIVACIDADE
Dezasseis anos passados… A Directiva 95/46/EC (Directiva da Protecção de Dados) foi aprovada em 1995. Dois objectivos principais:
garantir o direito fundamental da protecção dos dados pessoais; garantir a livre circulação de dados pessoais entre os Estados-Membros.
Desenvolvimento tecnológico criou novos desafios à protecção de dados pessoais.
Empresas privadas e autoridades públicas utilizam dados pessoais na sua actividade rotineira numa escala nunca antes vista; Cidadãos disponibilizam cada vez mais os seus dados pessoais de forma pública ou mesmo global.
A tecnologia transformou a vida económica e a vida social. Construir a confiança no ambiente online é uma chave para o desenvolvimento económico A protecção de dados pessoais assume um papel fundamental na criação de um ambiente de confiança entre empresa/autoridade pública e cidadão (consumidor/utente).
Euro Barómetro (Junho 2011)
Para 74% dos europeus a divulgação de informações pessoais é uma realidade crescente da vida moderna Informações consideradas pessoais: informações financeiras (75%), informações médicas (74%) e números ou cartões de identidade e passaportes (73%) 43% dos internautas considera que é pedida mais informação do que a necessária para obter o acesso ou usar um serviço on-line
A maioria dos europeus está preocupada com a gravação dos seus comportamentos através do uso de cartões de pagamento (54% vs.38%), telemóveis (49% vs.43%) ou Internet móvel (40% vs.35%)
Alguns Números Autoridades e instituições (55%) oferecem mais confiança do que as empresas comerciais Menos de 1/3 dos eurpeus confia nas operadoras telefónicas e ISP (32%); e apenas pouco mais de 1/5 confia nas empresas que operam na internet – motores de busca, redes sociais e serviços de correio electrónico (22%) 70% dos europeus estão preocupados por os seus dados pessoais na posse de empresas poderem ser usados para um propósito diferente daquele para o qual foram colectados Relativamente ao "direito a ser esquecido", uma clara maioria de europeus (75%) quer poder eliminar informações que lhe digam respeito, num sítio da internet, sempre que o pretenda
A quase totalidade dos utilizadores da Internet (90%) deseja direitos de protecção de dados iguais em toda a EU Mais do que 4 em cada 10 europeus prefeririam legislação da UE (44%); um pouco menor número preferiria legislação nacional (40%) À pergunta sobre que sanções devem ser introduzidas para impedir que as empresas usem dados pessoais sem conhecimento dos titulares, a maioria considerou que estas devem ser multadas (51%), proibidas de usar tais dados no futuro (40%), ou obrigadas a indemnizar as vítimas (39%) Uma maioria acredita que os seus dados pessoais seriam melhor protegidos nas grandes empresas se estas fossem obrigadas a ter um oficial da protecção de dados (88%)
Alguns Números sobre a Internet Utilizadores de redes sociais e de sítios de partilha de ficheiros são mais propensos a divulgar o nome (79%), fotografia (51%) e nacionalidade (47%). Os dados pessoais divulgados por compradores on-line incluem principalmente os nomes (90%), endereços residenciais (89%) e números de telemóvel (46%) A principal razão para divulgação é o acesso a um serviço on-line: redes sociais e partilha de ficheiros (61%) e compradores on-line (79%) Quase 6 em cada 10 utilizadores tomam conhecimento das declarações de privacidade (58%) e a maioria de quem as lê adapta o seu comportamento na Internet (70%) 34% dos entrevistados possui pelo menos uma conta na Internet, tal como e-mail, para redes sociais ou serviços comerciais
Mais de metade dos utilizadores de Internet está informada sobre as condições de recolha e de utilização dos seus dados quando entra numa rede social ou quando se regista num serviço on-line (54%) Pouco mais de 1/4 dos utilizadores das redes sociais (26%) e ainda menos compradores on-line (18%) sentem ter um completo controlo sobre os seus dados Para proteger a sua identidade na Internet, as estratégias mais habituais são técnicas ou procedimentais, por exemplo ferramentas e estratégias para limitar as mensagens de correio eletrónico indesejadas, como spam (42%), verificando se a transação é segura ou o sítio tem um selo ou etiqueta de segurança (40%) e utilizando software específico (39%)
Protecção de dados na Idade da Internet (…) the underlying principles of the current EU data protection legislation are still very much valid and have stood the test of time. However, it became equally clear that the EU needs a more comprehensive and more coherent approach in its policy for the fundamental right to personal data protection. This reform will greatly simplify the regulatory environment and will substantially reduce the administrative burden. We need to drastically cut red tape, do away with all the notification obligations and requirements that are excessively bureaucratic, unnecessary and ineffective. Instead, we will focus on those requirements which really enhance legal certainty.
“Assuring data protection in the age of the internet” BBA Data Protection and Privacy Conference, Brussels, 28 November 2011
Viviane Reding Vice-President of the European Commission, EU Justice Commissioner
Segurança – Privacidade – Confiança
O que pensam os responsáveis dos tratamentos
84
80
78
76
56
17
9
9
13
13
36
32
7
11
9
11
8
50
More harmonised rules on security measures
More uniformity between the national laws across the EUas regards the information to be provided to data subjects
Aim at a better balance between the right to dataprotection and freedom of expression and information
Further clarification on the practical application of someof the key definitions and concepts of the European
Directive and national data protection laws
Data protection legislation specific to each sector ofactivity
Other
Would favour Would not favour DK/NA
Favoured actions to improve and simplify the implementation of the legal framework on data protection
Q16. Please indicate which of the following actions would you favour to improve and simplify the implementation of the legal framework on data protection?
%, Base: all respondents
Confiança
To flourish, the digital economy needs trust. And trust is about the confidence consumers have when giving personal information online.
What are the challenges, then, that companies face under the current legal framework for data protection? What is hindering growth in the Digital Single Market? How can new European legislation overcome the current hurdles?
“Building trust in the Digital Single Market: Reforming the EU’s data protection rules”
Conference organised by the Industry Coalition for Data Protection - American Chamber of Commerce to the
European Union, Brussels, 28 November 2011 Viviane Reding
Vice-President of the European Commission, EU Justice Commissioner
NOVO QUADRO EUROPEU DE
PROTECÇÃO DE DADOS
Necessidade de um novo quadro legal da protecção de dados
O actual quadro Europeu de protecção de dados embora mantenha a pertinência dos objectivos (assegurar um adequado nível de protecção dos dados pessoais e a sua livre circulação no território da EU) não impediu, nomeadamente:
a aplicação fragmentada da política de proteção de dados pessoais; a existência de uma incerteza jurídica; a percepção pública generalizada de que existem riscos significativos particularmente associados à actividade on-line.
Num mundo de crescente conectividade, o direito fundamental à protecção de dados pessoais está sendo contante e seriamente testado. Como resposta, pretende-se construir um mais forte e mais coerente quadro de protecção de dados com o objetivo de:
permitir o desenvolvimento da economia digital em todo o mercado interno; dar aos cidadãos o controlo dos seus próprios dados; reforçar a certeza (jurídica e prática) para os operadores económicos e as autoridades públicas.
Fundamentos
TRATADO SOBRE O FUNCIONAMENTO DA UNIÃO EUROPEIA (Art.º 16) 1. Todas as pessoas têm direito à protecção dos dados de carácter pessoal que
lhes digam respeito.
CARTA DOS DIREITOS FUNDAMENTAIS DA UNIÃO EUROPEIA Artigo 8.º - Protecção de dados pessoais
1. Todas as pessoas têm direito à protecção dos dados de carácter pessoal que lhes digam respeito.
2. Esses dados devem ser objecto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei. Todas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a respectiva rectificação.
3. O cumprimento destas regras fica sujeito a fiscalização por parte de uma autoridade independente.
Building trust in the Digital Single Market: Reforming the EU’s data protection rules
Everyone expects a strong, consistent and future-proof framework for data protection, with consistent rules across all Member States and across all Union policies. (…) To help businesses, I want to provide consistency and coherence. We need legal certainty and a level-playing field for all businesses that handle personal data of our citizens. They need – the same as consumers – to have a 'one-stop-shop' when it comes to data protection matters – one law and one single data protection authority for each business; that of the Member State in which they have their main establishment. (…) At the same time, we must strengthen coordination and cooperation between national data protection authorities to make sure that the rules are enforced consistently. As a result, companies will be able to sell goods and services under the same data protection rules to 500 million people – a fantastic business opportunity!
“” Conference organised by the Industry Coalition for Data Protection - American Chamber of Commerce to the
European Union, Brussels, 28 November 2011 Viviane Reding
Vice-President of the European Commission, EU Justice Commissioner
Regulamento Geral de Protecção de Dados CLARIFICAÇÃO DE CONCEITOS
TITULAR DOS DADOS, DADO PESSOAL, SISTEMA DE FICHEIROS, CONSENTIMENTO, VIOLAÇÃO DE DADOS PESSOAIS, DADO GENÉTICO, DADO BIOMÉTRICO, DADO RELATIVO À SAÚDE, …
SUBSIDIARIEDADE E PROPORCIONALIDADE CONDIÇÕES DE LEGITIMIDADE DO TRATAMENTO
O PROCESSAMENTO DE DADOS PESSOAIS PARA MARKETING DIRECTO COM FINS COMERCIAIS SÓ É LEGÍTIMO QUANDO O TITULAR DOS DADOS DÁ O CONSENTIMENTO PARA O TRATAMENTO DOS SEUS DADOS PESSOAIS PARA UMA DETERMINADA ACÇÃO DE MARKETING.
DIREITOS DO TITULAR DOS DADOS DIREITO A SER ESQUECIDO DIREITO À PORTABILIDADE DOS DADOS
Obrigações do Responsável REALIZAR UM ESTUDO PRÉVIO SOBRE O IMPACTO DO PROCESSAMENTO
NA PROTECÇÃO DOS DADOS
CUMPRIR OS REQUISITOS DE AUTORIZAÇÃO (FLUXOS DE DADOS, …) OU
CONSULTA PRÉVIAS (DE ACORDO COM LISTA DE TRATAMENTOS A
APROVAR PELA AUTORIDADE DE SUPERVISÃO)
DESIGNAR UM OFICIAL DE PROTECÇÃO DE DADOS (ENTIDADE PÚBLICA,
EMPRESA COM MAIS DE 250 TRABALHADORES, …)
FOMENTAR A DATA PROTECTION BY DESIGN AND BY DEFAULT
CRIAR E MANTER A DOCUMENTAÇÃO DO TRATAMENTO
NOTIFICAR À AUTORIDADE DE SUPERVISÃO E AO TITULAR DOS DADOS
EVENTUAIS VIOLAÇÕES DE DADOS PESSOAIS
CRIAR (E APLICAR) CÓDIGOS DE CONDUTA E CERTIFICAÇÃO
Novos Conceitos e Mecanismos AUTORIDADE NACIONAL DE SUPERVISÃO
FLUXOS DE DADOS PODEM REALIZAR-SE SE UM PAÍS TERCEIRO, UM TERRITÓRIO OU UM SECTOR ESPECÍFICO DE PROCESSAMENTO DESSE PAÍS, OU UMA ORGANIZAÇÃO INTERNACIONAL GARANTIR UM NÍVEL DE PROTECÇÃO ADEQUADO
BINDING CORPORATE RULES
CLÁUSULAS-TIPO DE PROTECÇÃO DE DADOS ADOPTADAS PELA CE OU POR UMA AUTORIDADE DE SUPERVISÃO NACIONAL (DE ACORDO COM O PRINCÍPIO DA CONSISTÊNCIA)
AUTORIDADE DE SUPERVISÃO HOSPEDEIRA (“ONE SHOP STOP”)
AUTORIDADE EUROPEIA PARA A PROTECÇÃO DE DADOS
…These are the ways in which the new rules will help businesses In the internet age, data protection laws that apply only within a given territory do not reflect reality. Personal data is often collected in one place and processed in another.
I want to improve the current system of binding corporate rules to make this type of exchange simpler and less burdensome and to cut down on the time and money invested by companies. I intend to propose a consistent and streamlined approval process with a single point of contact for companies amongst the data protection authorities. And once the binding corporate rules are approved by one data protection authority, I want them to be recognised by all the data protection authorities in the European Union. And there should be no need for additional national authorisation in case of further transfers.
Industry self-regulation has an important, complementary role to play in this reform. But let me be clear: self-regulation is not a fig leaf for non-compliance; self-regulation only works if there is strong, legally binding regulation in the first place. This is why I encourage codes of conduct for businesses in Europe provided that they are fully in line with European data protection law.
IDEIAS-CHAVE
A PROTECÇÃO DE DADOS PESSOAIS É UM DIREITO FUNDAMENTAL A HARMONIZAÇÃO (UNIFICAÇÃO) DAS REGRAS DE PROTECÇÃO DE DADOS A LIVRE CIRCULAÇÃO DE INFORMAÇÃO E DE DADOS PESSOAIS UMA RELAÇÃO DE CONFIANÇA ENTRE RESPONSÁVEL DO TRATAMENTO E TITULAR DOS DADOS:
POLÍTICAS DE PRIVACIDADE CREDÍVEIS POLÍTICAS DE PROTECÇÃO DE DADOS TRANSPARENTES E POLÍTICAS DE SEGURANÇA FIÁVEIS
“The optimist proclaims that we live in the best of all possible worlds… …the pessimist fears this is true.”
James Branch Cabell, in The Silver Stallion
(1926)
CNPD COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS
Rua de São Bento, 148, 3º
1200-821 LISBOA
Tel.: +351 213 928 400
Fax : +351 213 976 832
E-mail : [email protected]
Web: http://www.cnpd.pt
