O Regulamento Geral de Proteção de Dados
e a PSD2: existem conflitos entre os 2
regulamentos?
Maria de Lurdes Gonçalves
ÍNDICE
1
Introdução
2
Overview do RGPD
3
RGPD e PSD2: aspetos
comuns
4
Potenciais conflitos
5
Desafios e próximos passos
Este documento foi preparado para fins meramente informativos no contexto do SmartPayments Congress 2018, para apresentação no Lagoas Park Hotel no dia 23 de maio de 2018. A apresentação não deverá ser facultada, total ou parcialmente, incluindo texto e/ou imagem, a qualquer pessoa que não tenha estado presente no mencionado dia sem o nosso prévio consentimento por escrito. A apresentação não deverá também ser reproduzida ou disponibilizada em qualquer contexto, incluindo a sua disponibilização online, sem o nosso prévio consentimento por escrito.
1. INTRODUÇÃO
Cada vez mais
exigente
Regulação do
setor bancário
Alterações profundas no tratamento da informação
PSD2
Regulação
transversal
RGPD
Regulamento ePrivacy
Diretiva SRI
Consumidor
1. INTRODUÇÃO
RGPD
Diretiva SRI
Diretiva PSD2
O RGPD e a PSD2 devem ser vistos em 2 perspetivas
e nacional
Proposta de Lei
Execução do
RGPD em Portugal
Proposta de Lei
Regime Jurídico da Cibersegurança
em Portugal
europeia
Proposta de Lei
Regime Jurídico dos Serviços de
Pagamento e da Moeda Eletrónica
Regulamentos Delegados da CE(requisitos técnicos de autenticação e segurança das comunicações)
1. INTRODUÇÃO
implementar a PSD2 em conformidade com o RGPD
1. INTRODUÇÃO
implementar as novas regras PSD2 e RGPD implica:
pesar
pesar
pesar
obrigações
2. OVERVIEW DO RGPD
Autorresponsabilização
Privacy by design e by default, DPO,
data protection impact assessment,
registos de tratamento de dados,
Poder Sancionatório
Sanções e fiscalização das autoridades
nacionais de proteção de dados
Novos direitos dos titulares
Direito de informação e de acesso, de
apagamento, limitação do
tratamento, portabilidade e oposição
Consentimento
Validade do consentimento do
titular dos dados
Segurança
Notificações de data breaches e reforço
das medidas de segurança dos dados
Aumento significativo do
valor das coimas
Punidas com coimas até €20.000 000 ou 4% do
2. OVERVIEW DO RGPD – IMPACTO NA PSD2
Autorresponsabilização
Poder Sancionatório
Sanções e fiscalização das autoridades
nacionais de proteção de dados
Novos direitos dos titulares
Direito de informação e de acesso, de
apagamento, limitação do
tratamento, portabilidade e oposição
Consentimento
Validade do consentimento do
titular dos dados
Segurança
Notificações de data breaches e reforço
das medidas de segurança dos dados
Aumento significativo do
valor das coimas
Punidas com coimas até €20.000 000 ou 4% do
volume anual mundial de negócios (empresas)
Privacy by design e by default, DPO,
data protection impact assessment,
3. RGPD E PSD2: ASPETOS COMUNS
Objetivo comum: proteção da informação e segurança dos
clientes/utilizadores
auditability
transparency
accountability
3. RGPD E PSD2: ASPETOS COMUNS
Preocupação com os riscos
associados à utilização de
meios digitais
Manutenção de evidências do
cumprimento
(registos das atividades, serviços e operações que permitam a verificação do cumprimento das suas obrigações)Necessidade de obtenção do
consentimento dos titulares da
informação/utilizador dos serviços
de pagamento
Garantia da segurança e
transparência na prestação de
serviços
(serviços de pagamento e emissão de moeda eletrónica)4. POTENCIAIS CONFLITOS
definição de dados de
pagamento sensíveis da PSD2
dados, incluindo credenciais de segurança personalizadas, que podem ser utilizados para cometer
fraudes, não constituindo dados de pagamento sensíveis o nome do titular da conta e o número da conta
definição de dados pessoais
do RGPD
informação relativa a uma pessoa singular identificada ou identificável, direta ou indiretamente, por referência a um identificador (ex. nome, número de identificação, IP) ou a elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social
Falta de clareza na compatibilização dos dois conceitos cria desafios na implementação e pode aumentar o risco de não compliance
categorias especiais de dados
dados que revelem origem racial/étnica, opiniões políticas, convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos, dados relativos à saúde, à vida sexual ou orientação sexual4. POTENCIAIS CONFLITOS
“Manifestação de vontade, livre, específica,
informada e explícita, pela qual o titular dos
dados aceita, mediante declaração ou ato
inequívoco, que os seus dados pessoais sejam
objeto de tratamento”
O consentimento não se presume Responsáveis pelo tratamento devem poder provar o consentimento
Titulares dos dados podem retirar o consentimento
informação
(para que finalidades vão os
dados ser tratados e quem tem
acesso a eles)
consentimento para
partilhar/comunicar dados
Open banking / sharing data
(mediante autorização dos clientes os bancos são obrigados a fornecer a terceiros acesso às contas dos clientes que detém as
4. POTENCIAIS CONFLITOS
notificação de incidentes
operacionais ou de segurança
de carácter severo
•
ao Banco de Portugal
•
aos utilizadores de serviços de pagamento
(se o incidente tiver ou for suscetível de ter repercussões nos interesses financeiros)
Prestadores de
serviços de pagamento
Notificação de violações de
dados pessoais
•
à CNPD
•
aos titulares dos dados
(se a violação for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares)Diretiva SRI
organizações devem estar preparadas para ser capazes de identificar/detetar com rapidez a ocorrência de um incidente de segurança
4. POTENCIAIS CONFLITOS
responsáveis pelo tratamento
dos dados?
definem os meios e as finalidades do
tratamento
subcontratante)s?
tratam os dados em nome e
por conta do responsável
Com o RGPD passam a ter mais
responsabilidades!
Terceiros?
Consoante a qualificação jurídica dos vários intervenientes, são apuradas as obrigações de cada um face ao RGPD
4. POTENCIAIS CONFLITOS
Qual é o ecossistema
de responsabilidades?
Entidades que recolhem os dados
Entidades que usam os dados
Prestadores de serviços de
iniciação do pagamento
Titulares dos dados
Prestadores de serviços de
informação sobre contas
Bancos e instituições de crédito
Prestadores de serviços
4. POTENCIAIS CONFLITOS: INCERTEZAS
Estará a implementação dos novos modelos de pagamento dos TPP’s sujeita a um Data
Protection Impact Assessment (DPIA) prévio?
Será a implementação de regras sólidas de autenticação dos clientes e de segurança da
informação suficiente para satisfazer os requisitos do privacy by design e privacy by default
do RGPD?
5. DESAFIOS E PRÓXIMOS PASSOS
Operacionalizar a prestação do consentimento (e a quem) e avaliar se para todas as situações será
necessária a obtenção de um consentimento de acordo com os (exigentes) requisitos do RGPD, já que
nem todos os dados de pagamento são necessariamente dados pessoais
Mapeamento de todas as obrigações de notificação de incidentes de segurança e desenho de processos
que integrem os vários requisitos
O setor bancário e as FinTech deverão repensar o approach e a forma como tratam os dados dos seus
clientes, para evitar riscos de non compliance, mantendo negócios lucrativos
Equilibrar o Compliance com o RGPD e a PSD2 de forma a evitar limitações severas no acesso pelos TPP’s
aos dados bem como interpretações restritivas do consentimento (o que tornará os serviços dos TPP’s
menos úteis e benéficos para os consumidores)
5. DESAFIOS E PRÓXIMOS PASSOS
necessária a intervenção dos reguladores europeus
Alinhamento das posições face aos 2
diplomas (evitar silos e coordenar regras)
PSD2
RGPD
www.vda.pt