Bom dia   ,

Bem-vindo(a) à newsletter n.º 3 da DPO Consulting, o nosso meio informativo sobre o mundo da Privacidade, Proteção de Dados e Segurança da Informação.

• Na época em que celebramos os dois anos da aplicabilidade do RGPD no nosso ordenamento jurídico, a CNPD revelou os números de processos averiguados e de notificações de violação de dados recebidas nestes dois anos, os quais partilhamos consigo nesta newsletter.
  
  
• Ainda que parte dos cidadãos esteja de volta a uma quase normalidade, os alunos do ensino superior permanecem sem aulas presenciais. Neste sentido, a Comissão Nacional de Proteção de Dados emitiu importantes orientações relativas à avaliação à distância, no âmbito das quais efetuou diversas recomendações que devem ser seguidas pelos estabelecimentos de ensino superior, a fim de garantirem o respeito pela privacidade de professores e alunos. A sua leitura prévia é, pois, essencial, antes de se tomarem quaisquer decisões, particularmente no que diz respeito à utilização de plataformas ou serviços disponibilizados online
  
  
• Um tema sempre atual e que aqui partilhamos é aquele que tem a ver com a publicação de fotografias de filhos ou netos em redes sociais. Trazemos o caso de uma avó que, em litígio com a sua filha por motivo da publicação em redes sociais de fotos dos netos, foi condenada por um tribunal britânico a pagar a quantia de 50,00€ diários, até um máximo de 1.000,00€, por cada dia em que as fotos continuassem online.
  
  
• Uma chamada de atenção para uma relevantíssima decisão proferida por um tribunal alemão, relativa ao tratamento de dados de cidadãos estrangeiros por parte da agência de inteligência alemã e que estende os direitos relativos à Privacidade previstos na Constituição alemã a estes titulares de dados, mesmo que não se encontrem em território alemão.
  
  
• Por fim, partilhamos nesta edição uma declaração emitida pelo Comité Europeu para a Proteção de Dados na qual aborda os critérios de admissibilidade das restrições aos direitos dos titulares de dados devido ao estado de emergência nos Estados-Membros.

• Volvidos dois anos desde a aplicação direta do RGPD no ordenamento jurídico nacional, é possível observar um exponencial crescimento da consciencialização dos cidadãos quanto à privacidade e proteção de dados.
  
  
• Segundo os números partilhados pela CNPD, nestes últimos dois anos a autoridade de controlo nacional averiguou já mais de 2.030 processos, incluindo queixas de titulares de dados e participações de outras autoridades e 557 notificações de violação de dados.
  
  
• Até ao momento são conhecidas apenas quatro coimas aplicadas, sendo a mais significativa aplicada ao centro hospitalar do Barreiro, perfazendo o valor total das coimas mais de 420 mil euros.
  
  
• Filipa Calvão, presidente da CNPD, afirmou que há ainda um caminho a percorrer para uma maior sensibilização dos responsáveis pelo tratamento de dados em relação às suas obrigações, e em especial na análise prévia dos riscos.

Estando as instituições de ensino superior a adotar soluções tecnológicas para garantir a avaliação dos estudantes, devido à atual situação de pandemia, a CNPD publicou algumas orientações que visam garantir que as escolas o fazem garantindo o respeito pelos princípios de proteção dos dados.

Entre as recomendações publicadas destacamos:

• Ainda que seja admissível invocar o legítimo interesse como fundamento de licitude para este tratamento de dados, será necessário que o responsável pelo tratamento avalie e demonstre que o tratamento é, de facto, necessário, por não existirem, ou não serem efetivamente exequíveis, outros processos de avaliação menos intrusivos da privacidade dos titulares dos dados e avalie se os direitos e interesses dos titulares dos dados não devem, em concreto, prevalecer.
  
  
• Embora se possa ter por adequada a utilização de câmara de vídeo para verificar a identidade do estudante (com o fim de garantir que quem está ser avaliado é de facto o estudante identificado e não outra pessoa), a sua utilização para a finalidade de vigilância do estudante durante o exame de avaliação já se afigura desadequada.
  
  
• As soluções tecnológicas que bloqueiem o acesso, por parte do estudante, a documentos no seu computador ou a outros ambientes online pode ser tida como desnecessária (por existirem soluções menos intrusivas) ou mesmo excessiva. Este tipo de soluções só poderá ter-se por admissível se for assegurada ao estudante a possibilidade de optar por fazer o exame num computador da instituição de ensino, portanto, porventura, presencialmente nas instalações desta.
  
  
• Tem-se por desnecessária, ou pelo menos excessiva, a gravação de imagens e de som durante a prova.
  
  
• Em função das soluções tecnológicas empregues, o tratamento pode ter de ser precedido de uma avaliação do impacto sobre a proteção de dados.
  
  
• Não sendo exequível a realização de todos os exames em modelo presencial, o impacto sobre a vida privada pode ser mitigado se se garantir aos estudantes a opção, livre, de realizar a avaliação nas instalações da instituição.

• Uma disputa entre mãe e filha resultou numa decisão por parte de um tribunal dos Países Baixos, no sentido de impor a uma cidadã o apagamento das fotografias dos seus netos que havia publicado nas suas páginas de Facebook e Pinterest, sem o consentimento dos pais das crianças.
  
  
• O tribunal decidiu que a questão se inseria no âmbito de aplicação do RGPD, algo que os especialistas referem que reflete a "posição que o Tribunal de Justiça da UE tem vindo a tomar ao longo dos anos".
  
  
• Ainda que o RGPD não seja aplicável ao tratamento de dados no exercício de atividades exclusivamente pessoais ou domésticas, a decisão afirma que tal não seria o caso, uma vez que a publicação de fotografias nas redes sociais as torna disponíveis a um público mais vasto, afirmando inclusivamente que “com o Facebook, não se pode excluir que as fotos colocadas possam ser distribuídas e acabem nas mãos de terceiros".
  
  
• A avó das crianças foi, assim, condenada ao apagamento das fotografias ou ao pagamento de uma multa de 50 euros por cada dia de incumprimento da ordem, até um máximo de 1.000 euros.

• O Tribunal Constitucional Alemão emitiu uma decisão inédita, defendendo que os direitos à privacidade consagrados na Constituição alemã são extensíveis aos estrangeiros que vivem fora do país e abrangem os seus dados online.
  
  
• A decisão do Tribunal Constitucional considerou que partes de uma lei de 2016 que regula a agência de inteligência alemã, (a BDN), violavam em parte o direito universal à privacidade das comunicações, por considerar que as medidas preventivas estipuladas na lei não eram fundamentos suficientemente claros para violar a privacidade de um indivíduo.
  
  
• Na sua atual redação, a lei permite à BDN recolher, avaliar e até partilhar dados gerados pelas comunicações entre cidadãos não alemães fora do país, para combater potenciais ataques ou ameaças. O grupo de organizações de jornalistas e de liberdades civis que levou o caso ao Tribunal Constitucional argumenta que a lei de 2016 deu demasiado poder ao Estado e não conseguiu defender os direitos humanos universais à privacidade garantidos pela Constituição alemã.
  
  
• Consequentemente, o mais alto tribunal do país ordenou o governo da chanceler Angela Merkel a rever a legislação em causa, tornando-se esta decisão a primeira em que o tribunal estende os direitos garantidos na Constituição a não alemães no exterior do país.

• Tendo o Comité Europeu para a Proteção de Dados (EDPB) sido informado da adoção pelo Governo húngaro de legislação que derroga determinadas disposições em matéria de proteção de dados e acesso à informação durante o estado de emergência, decidiu o EDPB publicar uma declaração sobre a matéria.
  
  
• O decreto publicado pelo governo húngaro prevê que, no que respeita ao tratamento de dados pessoais com o objetivo de prevenir, detetar a doença COVID-19 e impedir a sua propagação, todas as medidas subsequentes ao pedido do titular de dados que exerça os seus direitos estão suspensas até ao final do estado de emergência promulgado, devendo tais medidas ser retomadas após o termo do estado de emergência. O decreto em causa estende essa suspensão também a todos os pedidos de exercício de direitos já pendentes à data de entrada em vigor do decreto.
  
  
• O EDPB vem, deste modo, reiterar o que já tem vindo a afirmar, isto é, que a proteção de dados não impede a luta contra a pandemia da COVID-19. O RGPD continua a ser aplicável e permite uma resposta eficaz à pandemia e simultaneamente protege os direitos e liberdades fundamentais.
  
  
• O EDPB recorda que, mesmo nestes tempos excecionais, a proteção dos dados pessoais deve ser mantida em todas as medidas de emergência adotadas, contribuindo assim para o respeito dos valores fundamentais da democracia, do Estado de direito e dos direitos fundamentais em que assenta a União: por um lado, qualquer medida adotada pelos Estados-Membros deve respeitar os princípios gerais do direito, a essência dos direitos e liberdades fundamentais e não deve ser irreversível e, por outro lado, os responsáveis pelo tratamento e os subcontratantes devem continuar a respeitar as regras de proteção de dados.
  
  
• O EDPB faz, ainda, notar que a Comissão Europeia, enquanto guardiã dos Tratados, tem o dever de controlar a aplicação do direito primário e derivado da UE e de assegurar a sua aplicação uniforme em toda a UE, nomeadamente tomando medidas sempre que as medidas nacionais não cumpram o direito comunitário.
  
  
• Por fim, o EDPB deixa-nos a promessa de que emitirá orientações mais completas sobre a aplicação do artigo 23.º do RGPD nos próximos meses.

Elsa Veloso
CEO da DPO Consulting

Siga-nos nas redes sociais:

DPO Consulting

Contacte-nos

A DPO Consulting tratará os seus dados pessoais,
nos termos da sua Política de Privacidade,
cuja leitura recomendamos.