O Decreto-Lei n.º 73/2018, publicado em Diário da República a 17 de Setembro de 2018 vem alargar o âmbito pessoal do regime especial de acesso antecipado à pensão de velhice para os beneficiários do regime geral de segurança social e do regime de proteção social convergente com muito longas carreiras contributivas aos beneficiários que iniciaram a carreira contributiva com 16 anos ou em idade inferior.
O referido Decreto-Lei procede à quadragésima oitava alteração ao Estatuto da Aposentação, aprovado pelo Decreto -Lei n.º 498/72, de 9 de dezembro, na sua redação atual, e à sétima alteração ao Decreto -Lei n.º 187/2007, de 10 de maio, alterado pela Lei n.º 64 - A/2008, de 31 de dezembro, e pelos Decretos –Leis números 167 -E/2013, de 31 de dezembro, 8/2015, de 14 de janeiro, 10/2016, de 8 de março, 126-B/2017, de 6 de outubro, e 33/2018, de 15 de maio, que define e regulamenta o regime jurídico de proteção nas eventualidades invalidez e velhice do regime geral de segurança social.
Este Decreto-Lei procedeu à alteração de dois artigos, um em cada Decreto supra referido, cujo propósito consiste na valorização dos trabalhadores que iniciaram a sua carreira em idade muito jovem. Neste sentido, alarga-se o âmbito de aplicação pessoal desta medida aos trabalhadores com idade igual ou superior a 60 anos e com, pelo menos, 46 anos de carreira contributiva, que tenham iniciado a sua carreira contributiva aos 16 anos ou em idade
inferior. O presente decreto -lei produz efeitos a partir de 1 de outubro de 2018.
A Lei n.º 46/2018 de 13 de Agosto, publicada na Série I do Diário da República da passada segunda-feira, vem estabelecer o regime jurídico da segurança do ciberespaço, criando um grupo de cooperação de modo a apoiar e facilitar a cooperação estratégica e o intercâmbio de informações entre os Estados-Membros, como também uma rede europeia de equipas de resposta a incidentes de segurança informática (CSIRT).
Na senda da consolidação de um mercado único europeu, capaz de garantir um nível elevado de segurança das redes e dos sistemas de informação na União Europeia, esta lei estabelece à semelhança e na mesma linha de defesa e segurança dos direitos fundamentais estabelecidos no RGPD em consagração da Carta dos Direitos Fundamentais da União Europeia (CDFUE), a necessidade de adoção de requisitos de segurança e de notificação de incidentes.
A Lei n.º 46/2018 especifica a quem recai estas obrigações, sendo estes, os operadores de serviços essenciais e prestadores de serviços digitais, quanto a estes últimos aplica-se aos que atuam no âmbito dos serviços de mercados em linha, motores de pesquisa em linha e serviços de computação em nuvem, ao passo que para os operadores de serviços essenciais são considerados, respetivamente, os seguintes setores e subsetores: setor da energia (eletricidade, petróleo, gás), setor dos transportes (transporte aéreo, transporte ferroviário, transporte marítimo e transporte rodoviário), setor bancário, setor das infraestruturas do mercado financeiro, setor da saúde, setor do fornecimento e distribuição de água potável e setor das infraestruturas digitais.
A Lei entrou em vigor no passado dia 14 de agosto.
Em junho de 2018, a Commission Nationale de l'Informatique et des Libertés - Autoridade francesa de Proteção de Dados (“CNIL”) aplicou uma coima de €250.000 euros à empresa francesa Optical Center por não ter assegurado os dados pessoais dos seus clientes.
Ao que tudo indica, a aplicação elevada do valor da coima deveu-se ao facto da empresa francesa já ter sido sancionada em 2015 por uma falha de segurança.
Passados três anos, a Optical Center, não tinha implementado uma funcionalidade que exigisse que os clientes se conectassem ao seu espaço pessoal através de uma área reservada. Consequentemente, todos os clientes podiam ter acesso a mais de 300 mil documentos de quaisquer outros clientes, principalmente faturas, ao inserir URLs na barra de endereço de internet.
Este data breach foi qualificado como crítico, pois permitia que todos os clientes tivessem acesso a faturas de outros clientes, como por exemplo, o nome e apelido, morada, número de segurança social e data de nascimento e ainda dados de saúde, considerados pelo Regulamento de Proteção de Dados (“RGPD”) como dados pessoais sensíveis e que, por isso necessitam de uma proteção ainda mais reforçada.
A CNIL também explicou que a publicação da sua decisão foi necessária pois o número de data breaches aumentou substancialmente nos últimos anos, o que revela a necessidade de aumentar a consciencialização. Para tal, a lei francesa (Lei n ° 2016-1321 de 7 de outubro de 2016) antecipou-se ao RGPD a esse respeito, aumentando, assim, o valor máximo das coimas de €150.000 para €3.000.000 (três milhões de euros).
Sendo que, a este caso foi aplicada a Lei francesa, para casos futuros em que se aplicará o RGPD, as coimas máximas poderão atingir até 4% do total da faturação anual ou 20 milhões de euros.
A Garante per la protezione dei dati personali - Autoridade italiana para a Proteção de Dados Pessoais - (“Garante”) impôs à Vodafone Itália o pagamento de uma coima de 800 mil euros por ter realizado campanhas de marketing que violavam a legislação anterior ao Regulamento Geral de Proteção de Dados (“RGPD”).
A Garante proibiu a operadora telefónica de enviar mensagens de texto e fazer chamadas para fins de marketing àqueles titulares de dados pessoais que não expressaram um consentimento livre e expresso ou que pediram à operadora para não serem mais contactados com ofertas comerciais.
Recordamos que, à luz das normas ainda vigentes no que respeita ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações electrónicas (Directiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de Julho, a chamada Directiva “e-Privacy”, transposta em Portugal pela Lei n.º 41/2004, de 18 de agosto) as ações de marketing apenas podem ser efectuadas quando o titular dos dados tenha dado o seu consentimento expresso e prévio ou se a entidade que efectua estas ações tenha obtido os dados de contacto no contexto de uma venda ou prestação de serviços, i.e. num contexto de clientela, e tenha informado o cliente da possibilidade de se opor a ações de marketing no momento da recolha dos dados, dando-lhe ainda a possibilidade de se opor (caso não o tenha feito inicialmente) por ocasião de cada comunicação que efectue.
Estando a Directiva “e-Privacy” em processo de revisão, e no intuído de se coordenar com as disposições do RGPD, prevê-se a adopção de um novo Regulamento “e-Privacy”, sendo que o texto proposto e em fase de discussão se prevê que o consentimento exigidos para as ações de marketing tenha as mesma exigências previstas no RGPD, isto é, que deve ser expresso, informado, livre, óbvio e granular, facilmente identificável, resultar de uma ação positiva e explícita, documentado, renovado com a periodicidade possível e, ainda, concedido de forma desagregada de demais termos e condições.
Importa, ainda, salientar que o titular dos dados pessoais tem de ser informado de que tem o direito de retirar o seu consentimento a qualquer momento e este deve ser tão fácil de retirar como de conceder.
Retomando o caso em apreço, a Garante, após várias investigações, deparou-se com o facto de milhões de pessoais terem sido contactadas por telefone ou por mensagens de texto sem o seu consentimento, além de que, as campanhas promocionais foram dirigidas a clientes atuais e potenciais.
Apesar de a Vodafone ter tomado uma série de medidas destinadas a alcançar a conformidade, a Garante considerou que tais violações eram mais graves do que as ocorridas anteriormente em situações da mesma espécie, tendo em conta o tipo de operadora que é e o número extremamente elevado de contactos realizados, em menos de dois anos, que elevaram o nível de invasão das campanhas promocionais.
Quanto à primeira violação, a Vodafone acabou por pagar o valor da coima mínima resolvendo assim a questão. Quanto à segunda violação, a Autoridade quadruplicou o valor da coima prevista para casos de violação de dados pessoais armazenados em banco de dados devido às condições económicas do infrator.
Em virtude de tal circunstância a coima aumentou de €200.000 para €800.000.
Antes da entrada em vigor do novo Regulamento de Proteção de Dados (RGPD), a Comissão Estadual de Proteção de Dados da Bavária (“BayLDA”) anunciou que havia aplicado uma coima a uma organização relacionada com a indicação de um funcionário como Encarregado de Proteção de Dados (“EPD”), que ocupava também o cargo de diretor do departamento de TI.
De acordo com a Lei de Proteção de Dados alemã (BDSG), o EPD deve ser alguém independente no desempenho das suas funções, ou seja, um EPD não poderia cumprir as suas tarefas enquanto tivesse uma responsabilidade operacional significativa em atividades de processamento de dados.
O diretor de TI ao exercer funções como EPD teria de monitorizar o seu próprio trabalho para estar em conformidade com a lei de proteção de dados. Esta auto-monitorização de trabalho contradiz a independência exigida por parte de um EPD, que acaba por não ser viável por se tratar de um conflito de interesses.
Além de que, um EPD deve demonstrar a confiabilidade necessária para o desempenho das suas funções, a qual não pode ser expectável se o EPD tiver outras tarefas e deveres a cumprir incompatíveis com essa posição.
Tal incompatibilidade surge associada a determinadas posições ocupadas, no seio das organizações, por pessoas que, independentemente do seu carácter e atitude, exercem funções de cargos superiores (CEO), de cargos de administração, de direção e de gerência, ou funções que potenciam conflito de interesses, como por exemplo, colaboradores que gerem tarefas em unidades operacionais que lidam com grandes quantidades de dados pessoais sensíveis.
Contudo, antes da imposição de uma coima por parte do BayLDA, a organização comprometeu-se a tomar medidas de forma a garantir a conformidade com o BDSG. No entanto, tal compromisso nunca foi cumprido, pois nunca chegaram a indicar um novo EPD, mantendo-se até então uma situação de conflito de interesses.
A fim de evitar um conflito de interesses, destacam-se duas profissões que serão as mais adequadas para desempenhar as tarefas de um EPD, a saber: advogados com experiência em privacidade e proteção de dados e os auditores de sistemas de informação certificados como revisores de contas ou contabilistas.
Qualquer recurso que preencha a função de EPD deverá possuir competências jurídicas especializadas no domínio do direito e das práticas de proteção de dados e técnicas suficientes para realizar uma avaliação independente das práticas de proteção de dados da organização, sem depender, inicialmente, da opinião do resto dos colaboradores da organização.
Com efeito, o melhor profissional para preencher o papel de EPD sob as indicações do RGPD seria, efetivamente, um advogado experiente em matérias de privacidade e tecnologia permitindo às organizações obter vantagens de sigilo profissional, ética e competência, podendo este trabalhar facilmente com advogados externos e corporativos no procedimento de execução, evitando assim o non-compliance das diretrizes do RGPD.
No entanto, o advogado ao desemprenhar as funções de EPD deve evitar agir como consultor de um controlador ou processador em questões de proteção de dados.
Este caso na Alemanha demonstrou que o papel do gerente de TI é inadequado para o papel de EPD sob a atual lei alemã, dada a necessária independência do EPD das operações de TI.
De acordo com o BDSG, a falta de nomeação de um DPO está sujeita a coimas que podem chegar ao valor de € 50.000. Por outro lado, em conformidade com o RGPD, o valor das coimas pode chegar aos € 10 milhões ou a 2% da faturação anual do ano anterior.
Até há data não sabemos o valor exato da coima aplicada por parte do BayLAD.