o regulamento geral de proteção de dados e a psd2 ... · 4 potenciais conflitos 5 desafios e...
TRANSCRIPT
O Regulamento Geral de Proteção de Dados e a PSD2: existem conflitos entre os 2 regulamentos?
Maria de Lurdes GonçalvesAssociada Sénior
ÍNDICE
2
1 Introdução 2 Overview do RGPD 3 RGPD e PSD2: aspetos comuns
4 Potenciais conflitos 5 Desafios e próximos passos
Este documento foi preparado para fins meramente informativos no contexto do SmartPayments Congress 2018, para apresentação no Lagoas Park Hotel no dia 23 demaio de 2018. A apresentação não deverá ser facultada, total ou parcialmente, incluindo texto e/ou imagem, a qualquer pessoa que não tenha estado presente nomencionado dia sem o nosso prévio consentimento por escrito. A apresentação não deverá também ser reproduzida ou disponibilizada em qualquer contexto, incluindoa sua disponibilização online, sem o nosso prévio consentimento por escrito.
1. INTRODUÇÃO
3
Cada vez mais exigente
Regulação do setor bancário
Alterações profundas no tratamento da informação
PSD2
Regulação transversal
RGPDRegulamento ePrivacy
Diretiva SRIConsumidor
1. INTRODUÇÃO
4
RGPD
Diretiva SRI
Diretiva PSD2
O RGPD e a PSD2 devem ser vistos em 2 perspetivas
e nacional
Proposta de LeiExecução do RGPD em Portugal
Proposta de LeiRegime Jurídico da Cibersegurança em Portugal
europeia
Proposta de LeiRegime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica
Regulamentos Delegados da CE (requisitos técnicos de autenticação
e segurança das comunicações)
1. INTRODUÇÃO
5
implementar a PSD2 em conformidade com o RGPD
POSS IBLE ?
1. INTRODUÇÃO
6
implementar as novas regras PSD2 e RGPD implica:
pesar
pesar
pesarobrigações
riscoscustos
2. OVERVIEW DO RGPD
7
Autorresponsabilização
Privacy by design e by default, DPO,data protection impact assessment,
registos de tratamento de dados,
Poder Sancionatório
Sanções e fiscalização das autoridades nacionais de proteção de dados
Novos direitos dos titulares
Direito de informação e de acesso, de apagamento, limitação do tratamento, portabilidade e oposição
Consentimento
Validade do consentimento do titular dos dados
Segurança
Notificações de data breaches e reforço das medidas de segurança dos dados
Aumento significativo do valor das coimas
Punidas com coimas até €20.000 000 ou 4% do volume anual mundial de negócios (empresas)
2. OVERVIEW DO RGPD – IMPACTO NA PSD2
8
Autorresponsabilização
Poder Sancionatório
Sanções e fiscalização das autoridades nacionais de proteção de dados
Novos direitos dos titulares
Direito de informação e de acesso, de apagamento, limitação do tratamento, portabilidade e oposição
Consentimento
Validade do consentimento do titular dos dados
Segurança
Notificações de data breaches e reforço das medidas de segurança dos dados
Aumento significativo do valor das coimas
Punidas com coimas até €20.000 000 ou 4% do volume anual mundial de negócios (empresas)
Privacy by design e by default, DPO,data protection impact assessment,
registos de tratamento de dados,
3. RGPD E PSD2: ASPETOS COMUNS
9
Objetivo comum: proteção da informação e segurança dos clientes/utilizadores
auditability
transparency
accountability
Princípios comuns
3. RGPD E PSD2: ASPETOS COMUNS
10
Preocupação com os riscos associados à utilização de meios digitais
Manutenção de evidências do cumprimento (registos das atividades,
serviços e operações que permitam a verificação do cumprimento das suas obrigações)
Necessidade de obtenção do consentimento dos titulares da informação/utilizador dos serviços de pagamento
Garantia da segurança e transparência na prestação de serviços (serviços de pagamento e emissão de
moeda eletrónica)
4. POTENCIAIS CONFLITOS
11
4. POTENCIAIS CONFLITOS
12
definição de dados de pagamento sensíveis da PSD2
dados, incluindo credenciais de segurançapersonalizadas, que podem ser utilizados para cometer
fraudes, não constituindo dadosde pagamento sensíveis o
nome do titular da conta e o número da conta
definição de dados pessoais do RGPD
informação relativa a uma pessoa singular identificada ou identificável, direta ou indiretamente, por referência a um identificador (ex. nome, número de identificação, IP) ou a elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social
Falta de clareza na compatibilização dos dois conceitos cria desafios na implementação e pode aumentar o risco de não compliance
categorias especiais de dados
dados que revelem origem racial/étnica, opiniões políticas, convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos, dados relativos à saúde, à vida sexual ou orientação sexual e ainda dados relativos a condenações penais e infrações
4. POTENCIAIS CONFLITOS
13
“Manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato inequívoco, que os seus dados pessoais sejam objeto de tratamento”
O consentimento não se presume Responsáveis pelo tratamento devem poder provar o consentimento
Titulares dos dados podem retirar o consentimento
informação(para que finalidades vão os
dados ser tratados e quem tem acesso a eles)
consentimento para partilhar/comunicar dados
Open banking / sharing data(mediante autorização dos clientes os bancos são obrigados a
fornecer a terceiros acesso às contas dos clientes que detém as contas, logo acesso aos seus dados pessoais)
4. POTENCIAIS CONFLITOS
14
notificação de incidentes operacionais ou de segurança de carácter severo
• ao Banco de Portugal• aos utilizadores de serviços de pagamento
(se o incidente tiver ou for suscetível de ter repercussões nos interesses financeiros)
Prestadores de serviços de pagamento
Notificação de violações de dados pessoais
• à CNPD• aos titulares dos dados (se a violação for
suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares)
Diretiva SRI
organizações devem estar preparadas para ser capazes de identificar/detetar com rapidez a ocorrência de um incidente de segurança
4. POTENCIAIS CONFLITOS
15
responsáveis pelo tratamento dos dados?
definem os meios e as finalidades do tratamento
subcontratante)s?
tratam os dados em nome e por conta do responsável
Com o RGPD passam a ter mais responsabilidades!
Terceiros?
Consoante a qualificação jurídica dos vários intervenientes, são apuradas as obrigações de cada um face ao RGPD
Qual o papel dos PISP e dos PSIC?
4. POTENCIAIS CONFLITOS
16
Qual é o ecossistema de responsabilidades?
Entidades que recolhem os dados Entidades que usam os dados
Prestadores de serviços de iniciação do pagamento
Titulares dos dados
Prestadores de serviços de informação sobre contas
Bancos e instituições de crédito
Prestadores de serviços de pagamento
4. POTENCIAIS CONFLITOS: INCERTEZAS
17
Estará a implementação dos novos modelos de pagamento dos TPP’s sujeita a um DataProtection Impact Assessment (DPIA) prévio?
Será a implementação de regras sólidas de autenticação dos clientes e de segurança dainformação suficiente para satisfazer os requisitos do privacy by design e privacy by defaultdo RGPD?
5. DESAFIOS E PRÓXIMOS PASSOS
18
Operacionalizar a prestação do consentimento (e a quem) e avaliar se para todas as situações seránecessária a obtenção de um consentimento de acordo com os (exigentes) requisitos do RGPD, já quenem todos os dados de pagamento são necessariamente dados pessoais
Mapeamento de todas as obrigações de notificação de incidentes de segurança e desenho de processosque integrem os vários requisitos
O setor bancário e as FinTech deverão repensar o approach e a forma como tratam os dados dos seus clientes, para evitar riscos de non compliance, mantendo negócios lucrativos
Equilibrar o Compliance com o RGPD e a PSD2 de forma a evitar limitações severas no acesso pelos TPP’saos dados bem como interpretações restritivas do consentimento (o que tornará os serviços dos TPP’smenos úteis e benéficos para os consumidores)
5. DESAFIOS E PRÓXIMOS PASSOS
19
necessária a intervenção dos reguladores europeus Alinhamento das posições face aos 2 diplomas (evitar silos e coordenar regras)
PSD2
RGPD
