DIRETRIZ SOBRE MEDIDAS DE SEGURANÇA
A CNPD emitiu orientações para as organizações sobre medidas de segurança que devem ser adotadas para minimizar as consequências para os direitos das pessoas quando há ataques a sistemas de informação.
A CNPD aprovou a Diretriz/2023/1, de 10 de janeiro, sobre medidas organizativas e de segurança aplicáveis aos tratamentos de dados pessoais, destinadas aos responsáveis pelos tratamentos e aos subcontratantes, pretendendo sensibilizá-los para as suas obrigações legais no domínio da segurança dos tratamentos e para a necessidade de realizarem um maior investimento nesta área.
Os crescentes ataques a sistemas de informação, verificados no último ano, afetaram na sua grande maioria dados pessoais. Tais incidentes de segurança revelaram que se as organizações estivessem dotadas de medidas de segurança adequadas, os riscos teriam sido menores e o impacto nos direitos dos titulares dos dados mais reduzidos.
A CNPD elenca um conjunto de medidas organizativas e de medidas técnicas que devem ser consideradas pelas
organizações nos seus planos de prevenção e de minimização dos riscos.
LEI NACIONAL DO ‘PNR’ TEM DE SER REVISTA
A CNPD recomendou ao legislador nacional a revisão da lei nacional que regula a transferência, pelas transportadoras aéreas, dos dados dos registos de passageiros para fins de prevenção e investigação de infrações terroristas e outra criminalidade grave.
Na sequência do acórdão do Tribunal de Justiça da União Europeia (TJUE) sobre a interpretação da Diretiva (UE) 2016/681 que aquela lei transpõe («Diretiva PNR»), a CNPD remeteu à Assembleia da República e ao Governo o seu Parecer 114/2022, de 21 de dezembro, no qual indica as normas que têm de ser alteradas na Lei n.º 21/2019, de 30 de janeiro, para que a lei nacional fique em conformidade com a Carta dos Direitos Fundamentais da UE e com a Constituição.
Desde logo, a lei não se pode aplicar genericamente aos voos dentro da União Europeia nem, neste contexto, à criminalidade grave que não seja apenas a relativa à prevenção e repressão de infrações terroristas. Também os dados dos passageiros aéreos não podem ter um prazo geral de conservação de cinco anos, se não for estabelecido um nexo objetivo entre o risco de infração penal grave e o transporte aéreo de passageiros.
A CNPD pronuncia-se também sobre a especificação taxativa das bases de dados objeto de comparação, sobre a reutilização dos dados PNR para outras finalidades, sobre a autorização prévia para divulgação dos dados pseudonimizados, sobre o elenco de dados pessoais objeto de tratamento e, por último sobre a integração do Gabinete de Informação de Passageiros no Ponto Único de Contacto para a Cooperação Internacional (PUC-CPI).
Recorde-se que o TJUE considerou que a Diretiva PNR, transposta para a lei nacional, comporta ingerências de efetiva gravidade nos direitos fundamentais à proteção dos dados pessoais e ao respeito pela vida privada e familiar, na medida em que visa instaurar um regime de vigilância contínuo, não direcionado e sistemático, que inclui a avaliação automatizada de dados pessoais de todas as pessoas que utilizam serviços de transporte aéreo (cf. ponto 111 do acórdão).
*PNR – Passenger Name Record.
CELEBRA-SE A 28 DE JANEIRO O DIA DA PROTEÇÃO DE DADOS
A CNPD junta-se às comemorações, encorajando os cidadãos a olhar para as alternativas que existem no digital e a escolher quem valoriza mais a sua privacidade.
Foi há 42 anos que foi assinado, em 28 de janeiro, no seio do Conselho da Europa o primeiro instrumento jurídico internacional sobre proteção de dados – a Convenção 108. O simbolismo da data, que esteve na origem da criação do dia europeu de proteção de dados, alcançou agora uma dimensão internacional que transpôs fronteiras, assinalando-se a data em todos os continentes.
O Comité Europeu para a Proteção de Dados também se juntou à celebração deste dia com um vídeo que poderá ver legendado em Língua Portuguesa, e que mostra como as autoridades de proteção de dados do Espaço Económico Europeu, incluindo a CNPD, cooperam entre si na defesa dos direitos fundamentais à proteção de dados e à privacidade.
Fonte: CNPD – 27.01.2023