A Comissão Europeia está a estabelecer novas regras sobre os procedimentos a seguir pelos operadores de telecomunicações e fornecedores de serviços Internet (FSI) caso os dados pessoais dos seus clientes sejam perdidos, roubados ou de alguma forma violados. O objetivo destas «medidas técnicas de execução» é garantir que todos os clientes recebem um tratamento equivalente em toda a UE em caso de violação de dados e que as empresas podem adotar uma estratégia pan-europeia para estes problemas caso exerçam atividades em mais de um país.
Os operadores de telecomunicações e os FSI possuem uma série de dados sobre os seus clientes, designadamente o nome, o endereço e dados sobre as contas bancárias, além de informações sobre as chamadas telefónicas e os sítios Web visitados. Desde 2011, estas empresas estão genericamente obrigadas a informar as autoridades nacionais e os assinantes dos casos de violação de dados pessoais (IP/11/622).
Graças a um regulamento da Comissão, as empresas saberão mais claramente como cumprir aquelas obrigações e os clientes obterão maiores garantias quanto ao modo como os seus problemas são tratados. Por exemplo, as empresas devem:
· Informar do incidente, no prazo de 24 horas após a deteção da violação, a autoridade nacional competente, por forma a reduzir ao mínimo as suas consequências. Se a divulgação de todos os elementos não for possível durante esse período, devem fornecer um conjunto inicial de informações no prazo de 24 horas, seguindo-se as restantes no prazo de três dias.
· Indicar os elementos de informação que foram afetados e as medidas que foram ou serão aplicadas pela empresa.
· Ao determinarem se é necessário notificar os assinantes (ou seja, ao aplicarem o teste que indica se a violação é suscetível de afetar negativamente os dados pessoais ou a privacidade), prestar atenção ao tipo de dados afetados, nomeadamente, no contexto do setor das telecomunicações, informações financeiras, dados de localização, ficheiros com os dados de acesso à Internet, o histórico da navegação na Internet, dados de correio eletrónico e listas discriminadas de chamadas.
· Utilizar um formato normalizado (por exemplo, um formulário em linha que é o mesmo em todos os Estados-Membros da UE) para a notificação à autoridade nacional competente.
Ligações úteis
Regulamento da Comissão relativo às medidas aplicáveis à notificação da violação de dados pessoais em conformidade com a Diretiva Privacidade e Comunicações Eletrónicas
Diretiva Privacidade e Comunicações Eletrónicas.
A proteção da privacidade em linha na Agenda Digital