Obrigações das empresas que prestam serviços de comunicações eletrónicas

1. Dever de adotar medidas de segurança técnicas e organizacionais eficazes para garantir a segurança dos seus serviços e a segurança da rede, adequadas à prevenção dos riscos existentes, pelo menos, o controlo do acesso a dados pessoais - art. 3º,n.º 1, 3, 9 - controlo das medidas através de auditorias realizadas pelo ICP- ANACOM.

2. Dever de notificar a CNPD e o assinante ou utilizador da ocorrência de violação de dados pessoais tratados no contexto da prestação do serviço de comunicações eletrónicas, isto é, falha de segurança que provoque, de modo acidental ou ilícito, a destruição, perda, alteração, divulgação, acesso não autorizado a dados pessoais dos utilizadores - art. 3º- A e art. 2 º, n.º 1, al. g).

3. Dever de garantir a inviolabilidade do conteúdo das comunicações eletrónicas e respetivos dados de tráfego realizadas através de redes e serviços de comunicações eletrónicas acessíveis ao público - art. 4º, n.º 1 - proibição de escutas ou armazenamento de dados das comunicações, com exceção das gravações legalmente autorizadas de comunicações e dados de tráfego realizadas, no âmbito de práticas comerciais lícitas, para prova de uma transação ou no âmbito de uma relação contratual, se o titular tiver sido informado e tiver dado o seu consentimento prévio e expresso – art. 4º, n.º 2 e 3 – cfr. DL 134/2009 (regime dos cal centres).

4. Dever de não armazenar e aceder à informação armazenada no equipamento terminal de um assinante ou utilizador (exceto aquele armazenamento que for tecnicamente necessário para transmitir as comunicações eletrónicas pela rede ou para prestar um serviço expressamente solicitado pelo assinante ou utilizador, e desde que este tenha dado o seu consentimento prévio, livre e esclarecido sobre as finalidades do processamento) – art. 5º.

5. Dever de eliminar os dados de tráfego dos assinantes e utilizadores depois de deixarem de ser necessários para a transmissão da comunicação, (ou torná-los anónimos)- art. 6º, n.º 1 - dados de tráfego são quaisquer dados tratados para efeitos de envio de uma comunicação através da rede de comunicações eletrónicas ou para efeitos de faturação da mesma- art- 2º, n.º 1, al. d); com exceção dos tratamentos de dados de tráfego permitidos:

   1. Para efeitos de faturação dos assinantes e pagamentos de interligações, podem ser tratados os seguintes dados de tráfego: identificação, endereço e tipo de posto do assinante; número total de unidades a cobrar, tipo, hora de início e duração e volume de dados transmitidos; data do serviço e número chamado; pagamentos e avisos- art. 6º, n.º 2 - estes dados só podem ser tratados enquanto forem necessários para os fins a que se destinam, ou seja, enquanto a fatura puder ser contestada ou o pagamento reclamado - art. 6º, n.º 3 - e, antes do tratamento, as empresas devem informar os assinantes e utilizadores acerca dos dados a tratar, finalidades e duração do tratamento, e eventual comunicação a terceiros - art. 6º, n.º 4.

   2. Para comercialização e fornecimento de serviços de comunicações eletrónicas ou para prestação de serviços de valor acrescentado, desde que o assinante ou utilizador tenha dado o seu prévio e expresso consentimento, com respeito pelos princípios da proporcionalidade e adequação do tratamento às finalidades visadas (o consentimento do utilizador ou assinante para este efeito é livremente revogável, em qualquer altura) - art. 6º, n.º 4.

   3. Para efeitos judiciais - art. 6º, n.º 7 - para prevenção, investigação, detecção e repressão de infracções penais graves como terrorismo e criminalidade organizada (aplica-se aos dados de tráfego, dados de localização, dados de identificação do assinante e utilizador registado, mas já não ao conteúdo das comunicações).

6. Dever de não proceder ao tratamento de dados de localização que identifiquem o utilizador - art. 7º, n.º 1 - dados de localização são quaisquer dados que indicam a posição geográfica do equipamento terminal do utilizador do serviço de comunicações eletrónicas - art. 2º, n.º 1, al. e) – o tratamento destes dados só é permitido nos seguintes casos:

   1. Chamadas de emergência médica (112) - art. 7º, n.º 2. Esta disposição foi alterada pela Lei16/2022 passando a ter a seguinte redação «2 - É permitido o registo, o tratamento e a disponibilização de dados de localização, nomeadamente da informação sobre a localização do chamador, às organizações com competência legal para receber ou tratar comunicações de emergência, para efeitos de resposta a essas comunicações.

   2. Para prestação de serviços de valor acrescentado, desde que o assinante ou utilizador tenha dado o seu consentimento prévio e expresso - art. 7º, n.º 3 - o consentimento deve ser precedido da informação sobre os dados a tratar, fins e duração do tratamento, e eventuais transmissões - art. 7º, n.º 4 - o consentimento é livremente revogável e o utilizador deve ter ao seu alcance um meio simples de recusar o tratamento dos dados de localização em cada comunicação eletrónica que efetua - art. 7º, n.º 5

7. Dever de emitir faturas não detalhadas, exceto se o assinante o solicitar; porém, devem ter em consideração o direito à privacidade dos utilizadores, que deve ser devidamente conciliado com o direito do assinante a receber uma fatura detalhada - art. 8º, n.º 1 e 2.

8. Dever de disponibilizar aos utilizadores e assinantes um meio simples e gratuito que garanta a confidencialidade do número da linha chamadora, linha a linha e chamada a chamada (a pedido do chamador ou do chamado), e rejeitar chamadas de entrada não identificadas - art. 9º, n.º 1 , 2 e 3 - exceto nos casos do art. 10º:

   1. A pedido escrito, devidamente fundamentado, de um assinante que pretenda determinar a origem de chamadas perturbadoras da paz familiar ou intimidade da vida privada – art. 10º, n.º 1.

   2. Chamadas de emergência médica – art. 10º, n.º 2. Os n.ºs 3 e n.º 4 deste artigo foi alterado pela Lei 16/2022 «3 - As empresas referidas no n.º 1 devem igualmente anular, numa base linha a linha, a eliminação da apresentação da linha chamadora, bem como registar e tratar os dados de localização de um assinante ou utilizador, nomeadamentea informação sobre a localização do chamador, no caso previsto no n.º 2 do artigo 7.º, por forma a disponibilizar esses dados às organizações com competência legal para receber ou tratar comunicações de emergência, para efeitos de resposta a essas comunicações. «4 - Nos casos dos números anteriores deve ser obrigatoriamente transmitida informação prévia ao titular dos referidos dados sobre a transmissão dos mesmos, ao assinante que os requereu nos termos do n.º 1 ou às organizações com competência legal para receber ou tratar comunicações de emergência, nos termos do n.º 3.

9. Dever de disponibilizar um meio simples e gratuito que permita aos assinantes impedir o reencaminhamento de chamadas efetuado para o seu equipamento terminal – art. 11º.

10. Dever de não incluir os dados pessoais dos assinantes em listas (eletrónicas ou impressas)– a não ser que os assinantes deem previamente o seu consentimento, depois de informados dos fins a que se destinam e das possibilidades de utilização das listas, decidindo sobre os dados a incluir – art. 13º, n.º 1 e 2 – além de garantir que os assinantes podem exercer os seus direitos de acesso, retificação, atualização e eliminação a todo o tempo – art. 13º, n.º 3.