Navigation path

Left navigation

Additional tools

Agenda Digital: Novas regras específicas para os consumidores nos casos de perda ou roubo de dados pessoais de telecomunicações na UE

European Commission - IP/13/591   24/06/2013

Other available languages: EN FR DE DA ES NL IT SV FI EL CS ET HU LT LV MT PL SK SL BG RO

Comissão Europeia

Comunicado de imprensa

Bruxelas, 24 de junho de 2013

Agenda Digital: Novas regras específicas para os consumidores nos casos de perda ou roubo de dados pessoais de telecomunicações na UE

A Comissão Europeia está a estabelecer novas regras sobre os procedimentos a seguir pelos operadores de telecomunicações e fornecedores de serviços Internet (FSI) caso os dados pessoais dos seus clientes sejam perdidos, roubados ou de alguma forma violados. O objetivo destas «medidas técnicas de execução» é garantir que todos os clientes recebem um tratamento equivalente em toda a UE em caso de violação de dados e que as empresas podem adotar uma estratégia pan-europeia para estes problemas caso exerçam atividades em mais de um país.

Os operadores de telecomunicações e os FSI possuem uma série de dados sobre os seus clientes, designadamente o nome, o endereço e dados sobre as contas bancárias, além de informações sobre as chamadas telefónicas e os sítios Web visitados. Desde 2011, estas empresas estão genericamente obrigadas a informar as autoridades nacionais e os assinantes dos casos de violação de dados pessoais (IP/11/622).

Graças a um regulamento da Comissão, as empresas saberão mais claramente como cumprir aquelas obrigações e os clientes obterão maiores garantias quanto ao modo como os seus problemas são tratados. Por exemplo, as empresas devem:

  • Informar do incidente, no prazo de 24 horas após a deteção da violação, a autoridade nacional competente, por forma a reduzir ao mínimo as suas consequências. Se a divulgação de todos os elementos não for possível durante esse período, devem fornecer um conjunto inicial de informações no prazo de 24 horas, seguindo-se as restantes no prazo de três dias.

  • Indicar os elementos de informação que foram afetados e as medidas que foram ou serão aplicadas pela empresa.

  • Ao determinarem se é necessário notificar os assinantes (ou seja, ao aplicarem o teste que indica se a violação é suscetível de afetar negativamente os dados pessoais ou a privacidade), prestar atenção ao tipo de dados afetados, nomeadamente, no contexto do setor das telecomunicações, informações financeiras, dados de localização, ficheiros com os dados de acesso à Internet, o histórico da navegação na Internet, dados de correio eletrónico e listas discriminadas de chamadas.

  • Utilizar um formato normalizado (por exemplo, um formulário em linha que é o mesmo em todos os Estados-Membros da UE) para a notificação à autoridade nacional competente.

A Comissão deseja ainda incentivar as empresas a cifrarem os dados pessoais. Assim, e em colaboração com a ENISA, a Comissão publicará também uma lista indicativa de medidas tecnológicas de proteção, nomeadamente técnicas de cifragem, que tornam os dados incompreensíveis para qualquer pessoa não autorizada a obtê-los. Se ocorrer uma violação de dados numa empresa que aplique essas técnicas, esta não será obrigada a notificar os assinantes, já que essa violação não permite revelar os dados pessoais dos assinantes.

Neelie Kroes, Vice-Presidente da Comissão Europeia, afirmou a este respeito: «Os consumidores necessitam de ser informados dos casos em que os seus dados pessoais foram violados para poderem tomar medidas corretivas, se for caso disso, e as empresas necessitam de regras simples. Estas novas medidas práticas satisfazem ambas as partes.».

A Comissão está a estabelecer estas regras na sequência da consulta pública que efetuou em 2011 e que revelou um amplo apoio das partes interessadas a uma estratégia harmonizada neste domínio. As regras foram aprovadas por um comité de representantes dos Estados-Membros e submetidas à apreciação do Parlamento Europeu e do Conselho. São adotadas sob a forma de regulamento da Comissão, que tem um efeito direto e não requer transposição a nível nacional, e entrarão em vigor dois meses após a sua publicação no Jornal Oficial da UE.

Contexto

A Diretiva Privacidade e Comunicações Eletrónicas, de 2002, exige que os operadores de telecomunicações e os fornecedores de serviços Internet mantenham confidenciais e seguros os dados pessoais. No entanto, por vezes, esses dados são roubados ou perdidos, ou ainda consultados por pessoas não autorizadas. Estes casos são conhecidos como «violações de dados pessoais». Nos termos da Diretiva Privacidade e Comunicações Eletrónicas revista (2009/136/CE), quando ocorre uma violação de dados pessoais, o operador tem de comunicar o facto a uma autoridade nacional específica, normalmente a autoridade nacional responsável pela proteção de dados ou o regulador das comunicações. Além disso, o operador deve informar diretamente o assinante em causa sempre que a violação possa afetar negativamente os dados pessoais ou a privacidade. Para garantir a aplicação coerente em todos os Estados-Membros das regras sobre violação de dados, a Diretiva Privacidade e Comunicações Eletrónicas autoriza a Comissão a propor «medidas técnicas de execução» – regras práticas que complementam a legislação em vigor – relativas às circunstâncias, aos formatos e aos procedimentos de notificação.

Nos termos da referida diretiva, «a Comissão deve envolver todos os interessados» na preparação das medidas. Nesse sentido, foi efetuada uma consulta pública em 2011. A Comissão recebeu respostas de um vasto leque de inquiridos, designadamente autoridades nacionais, fornecedores de serviços e membros da sociedade civil. Os resultados revelaram um amplo apoio das partes interessadas ao estabelecimento de regras harmonizadas e algumas divergências nas estratégias nacionais. No processo de preparação das medidas, a Comissão consultou também a Agência Europeia para a Segurança das Redes e da Informação (ENISA), o grupo de trabalho do artigo 29.º para a proteção de dados e a Autoridade Europeia para a Proteção de Dados (AEPD).

As medidas são autónomas e distintas da revisão do quadro jurídico da UE para a proteção de dados, proposta pela Comissão, e da proposta de diretiva relativa à segurança das redes e da informação, apresentada pela Comissão.

Ligações úteis

Regulamento da Comissão relativo às medidas aplicáveis à notificação da violação de dados pessoais em conformidade com a Diretiva Privacidade e Comunicações Eletrónicas

Diretiva Privacidade e Comunicações Eletrónicas.

A proteção da privacidade em linha na Agenda Digital

Diretiva Dados Pessoais da UE

Hash Tags: #eprivacy

Dê a sua opinião:

Agenda Digital

Neelie Kroes Acompanhe Neelie no Twitter

Contactos:

Ryan Heath (+32 2 296 17 16), Twitter: @RyanHeathEU

Linda Cain (+32 2 299 90 19)


Side Bar

My account

Manage your searches and email notifications


Help us improve our website