Defesa de dados para os EAU

Nos Emirados Árabes Unidos (EAU), existem leis federais de proteção de dados para operações onshore, bem como leis específicas para centros financeiros offshore designados por "zonas francas". Estas zonas, como o Dubai International Financial Centre (DIFC) e o Abu Dhabi Global Market (ADGM), são regidas pelos respectivos quadros jurídicos. Além disso, a Dubai Healthcare City (DHCC), uma zona franca de cuidados de saúde no Dubai, também tem o seu próprio conjunto de regulamentos. Para além destas, os EAU têm várias outras leis e regulamentos que incluem disposições relativas à proteção de dados. Estas leis e regulamentos são específicos para diferentes emirados e sectores. No entanto, os EAU não assinaram quaisquer acordos internacionais relativos à proteção de dados.

Em 28 de novembro de 2021, o Conselho de Ministros dos EAU anunciou que tinha promulgado o Decreto-Lei Federal n.º 45/2021 sobre a Proteção de Dados Pessoais (PDPL 2021), que foi emitido em 20 de setembro de 2021. O PDPL 2021 entrou em vigor em 2 de janeiro de 2022. Até então, os EAU não dispunham de uma lei federal autónoma em matéria de proteção de dados.

A PDPL 2021 prevê a promulgação de outros regulamentos executivos para dar mais pormenores sobre os requisitos de proteção de dados que as empresas devem cumprir. Os regulamentos executivos ainda não foram publicados e não há indicação de quando o serão.

A PDPL aplica-se a:

  • Tratamento de dados pessoais de pessoas que residem nos EAU ou que têm uma atividade comercial nos EAU;
  • cada responsável pelo tratamento ou subcontratante nos EAU, independentemente de os dados pessoais que tratam serem de indivíduos dentro ou fora dos EAU
  • cada responsável pelo tratamento ou subcontratante situado fora dos EAU, que realize actividades de tratamento de titulares de dados que se encontrem nos EAU.

A LDP mantém intactas as leis existentes em matéria de proteção de dados e privacidade nas zonas francas financeiras dos EAU, DIFC e ADGM, bem como as regras da Dubai Health Care City (os links para os nossos resumos estão acima), bem como as leis onshore aplicáveis que regulam os dados de saúde e os dados bancários e de crédito. Por este motivo, o panorama da proteção de dados nos EAU (e em toda a região do CCG) continua a ser complexo e algo fragmentado, o que significa que a aplicação da LDPD terá de ser cuidadosamente ponderada.

Existem várias leis dos EAU a nível federal que contêm várias disposições relativas à privacidade e à proteção dos dados pessoais:

Constituição dos EAU (Lei Federal 1 de 1971)

Lei dos Crimes e das Penas (Lei Federal 31 de 2021, que revoga a Lei Federal 3 de 1987)

Decreto-Lei Federal n.º 34 de 2021 sobre o combate a boatos e crimes cibernéticos

Regulamentação das Telecomunicações (Lei Federal pelo Decreto 3 de 2003, com as alterações que lhe foram introduzidas), que inclui vários regulamentos/políticas de execução adoptados pela Autoridade Reguladora das Telecomunicações e do Governo Digital ("TDRA") no que respeita à proteção dos dados dos consumidores de telecomunicações nos EAU.

Existem também alguns regulamentos sectoriais a nível federal nos sectores bancário e financeiro e da saúde, que devem ser considerados.

DIFC

O quadro geral de proteção de dados relevante no DIFC é a Lei de Proteção de Dados, Lei DIFC n.º 5 de 2020 (Lei DIFC DP), e os Regulamentos de Proteção de Dados actualizados. O quadro foi promulgado em 21 de maio de 2020 e entrou em vigor em 1 de julho de 2020.

A Lei de DP do DIFC aplica-se a empresas constituídas no DIFC que processam dados pessoais, independentemente de o processamento ocorrer no DIFC ou no estrangeiro e, em determinadas circunstâncias, também se aplica a empresas estrangeiras que processam dados pessoais no DIFC. A Lei de DP do DIFC alinha-se estreitamente com o RGPD e prescreve regras e regulamentos pormenorizados relativos à recolha, tratamento, divulgação e utilização de dados pessoais no DIFC. Existem algumas pequenas diferenças entre a Lei de Proteção de Dados do DIFC e o RGPD, incluindo os requisitos e prazos para a comunicação de violações de dados pessoais e as estruturas de sanções.

O Office of the Commissioner of Data Protection (Gabinete do Comissário para a Proteção de Dados) é a entidade reguladora independente criada para defender os direitos de informação no interesse público e a privacidade dos dados para as pessoas no DIFC ou a partir dele.

Embora o DIFC seja uma jurisdição de direito comum com as suas próprias leis civis e comerciais, as leis penais dos EAU continuam a aplicar-se no DIFC.

ADGM

A lei de proteção de dados relevante na zona franca ADGM é o Regulamento de Proteção de Dados ADGM 2021 (ADGM DPR). Os regulamentos foram emitidos em 11 de fevereiro de 2021 e publicados em 14 de fevereiro de 2021. Foi aplicado um período de transição para a aplicação de 12 meses para as empresas existentes - ou seja, 14 de fevereiro de 2022 - e de seis meses para as novas empresas - ou seja, 14 de agosto de 2021. O RPD do ADGM aplica-se ao tratamento de dados pessoais no ADGM. À semelhança da Lei DP do DIFC, o ADGM DPR baseia-se em normas e melhores práticas internacionais, nomeadamente o GDPR.

O ADGM DPR criou o Gabinete de Proteção de Dados (ODP) independente, dirigido pelo recém-criado Comissário para a Proteção de Dados.

Tal como no DIFC, embora o ADGM seja uma jurisdição de direito comum com as suas próprias leis civis e comerciais, as leis penais dos EAU continuam a aplicar-se no ADGM.

Não existem requisitos de registo de proteção de dados na LDPD.

Sim, terá de nomear um DPO. O DPO pode ser um membro do pessoal ou alguém que trabalhe num contrato de prestação de serviços e não tem necessariamente de estar localizado nos EAU.

Nos termos da LDPD, os dados pessoais devem ser tratados de acordo com os seguintes controlos:

  • O tratamento deve ser efectuado de forma justa, transparente e legal;
  • Os dados pessoais devem ser recolhidos para uma finalidade específica e clara e não podem ser tratados posteriormente de forma incompatível com essa finalidade. No entanto, os dados pessoais podem ser processados se a finalidade do processamento for semelhante ou próxima da finalidade para a qual esses dados foram recolhidos;
  • Os dados pessoais devem ser suficientes e limitados à finalidade para a qual o processamento é efectuado;
  • Os dados pessoais devem ser exactos e correctos e devem ser actualizados sempre que necessário;
  • Devem ser implementadas medidas e procedimentos adequados para garantir o apagamento ou a correção de dados pessoais incorrectos;
  • Os Dados Pessoais devem ser mantidos em segurança e protegidos contra qualquer violação, infração ou processamento ilegal ou não autorizado, estabelecendo e aplicando medidas e procedimentos técnicos e organizacionais adequados, em conformidade com as leis e a legislação em vigor nesta matéria;
  • Os Dados Pessoais não podem ser conservados depois de cumprida a finalidade do seu tratamento. Só podem ser conservados no caso de a identidade do Titular dos Dados ser anonimizada utilizando a funcionalidade "Anonimização";
  • Quaisquer outros controlos previstos no regulamento de execução do presente decreto-lei.

 

Bases legais para o processamento

A LDPD proíbe o tratamento de dados pessoais sem o consentimento do titular dos dados, exceto nos seguintes casos:

  • Se o tratamento for necessário para que o responsável pelo tratamento ou o titular dos dados cumpra as suas obrigações e exerça os seus direitos legalmente estabelecidos no domínio do emprego, da segurança social ou das leis relativas à proteção social, na medida em que tal seja permitido por essas leis;
  • se o tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte ou para adotar, a pedido do titular dos dados, procedimentos para a celebração, alteração ou rescisão de um contrato;
  • se o tratamento for necessário para proteger os interesses do titular dos dados;
  • se o tratamento se referir a dados pessoais que se tornaram disponíveis e conhecidos do público por um ato do titular dos dados;
  • se o tratamento for necessário para proteger o interesse público;
  • se o tratamento for necessário para iniciar ou defender-se de quaisquer acções para reivindicar direitos ou procedimentos legais ou relacionados com procedimentos judiciais ou de segurança;
  • se o tratamento for necessário para efeitos de medicina do trabalho ou preventiva, para avaliação da capacidade de trabalho de um trabalhador, diagnóstico médico, prestação de cuidados de saúde ou sociais, tratamento ou serviços de seguros de saúde, ou gestão de sistemas e serviços de saúde ou sociais, em conformidade com a legislação em vigor no Estado;
  • se o tratamento for necessário para proteger a saúde pública, incluindo a proteção contra doenças transmissíveis e epidemias, ou para garantir a segurança e a qualidade dos cuidados de saúde, medicamentos, drogas e dispositivos médicos, em conformidade com a legislação em vigor no Estado;
  • se o tratamento for necessário para fins de arquivo ou para estudos científicos, históricos e estatísticos, em conformidade com a legislação em vigor no Estado;
  • se o tratamento for necessário para cumprir obrigações impostas por outras leis do Estado aos responsáveis pelo tratamento;
  • quaisquer outros casos previstos nos regulamentos de execução.

Os titulares dos dados gozam de uma série de direitos para controlar o tratamento dos seus dados pessoais, que reproduzem os previstos no RGPD da UE. Os responsáveis pelo tratamento devem fornecer informações sobre as medidas tomadas em resposta aos pedidos no prazo de um mês civil, por defeito, com um direito limitado para o responsável pelo tratamento prorrogar este período, ou seja, mais dois meses, se o pedido for oneroso.

Direito de obter informações ("acesso aos dados")

O titular dos dados tem o direito de solicitar o acesso às seguintes informações e de as obter gratuitamente:

  • os tipos de dados pessoais que são tratados;
  • objectivos do processamento;
  • decisões tomadas com base no tratamento automatizado, incluindo a definição de perfis;
  • sectores ou estabelecimentos visados com os quais os seus dados pessoais devem ser partilhados, dentro ou fora do Estado;
  • controlos e normas para os períodos de armazenamento e conservação dos seus dados pessoais;
  • procedimentos de correção, apagamento ou limitação do tratamento e objeção aos seus dados pessoais;
  • medidas de proteção para o tratamento transfronteiriço;
  • procedimentos a tomar em caso de violação ou infração dos seus dados pessoais, especialmente se a violação ou infração representar uma ameaça direta e grave à privacidade e confidencialidade dos seus dados pessoais;
  • o processo de apresentação de queixas junto do Gabinete de Dados.

Direito de solicitar a transferência de dados pessoais ("portabilidade dos dados")

O Titular dos Dados tem o direito de obter os seus Dados Pessoais fornecidos ao Responsável pelo Tratamento para serem processados de forma estruturada e legível por máquina, desde que o processamento se baseie no consentimento do Titular dos Dados ou seja necessário para o cumprimento de uma obrigação contratual e seja efectuado por meios automatizados.

O titular dos dados tem o direito de solicitar a transferência dos seus dados pessoais para outro responsável pelo tratamento, sempre que tal seja tecnicamente viável.

Direito de correção ou apagamento ("direito a ser esquecido")

O Titular dos Dados tem o direito de solicitar a correção ou o completamento dos seus Dados Pessoais inexactos conservados junto do Responsável pelo Tratamento e tem o direito de solicitar o apagamento dos seus Dados Pessoais conservados junto do Responsável pelo Tratamento em qualquer dos seguintes casos:

  • se os seus dados pessoais já não forem necessários para os fins para os quais foram recolhidos ou tratados;
  • se o titular dos dados retirar o seu consentimento no qual se baseia o tratamento;
  • se o Titular dos Dados se opuser ao Processamento ou se não existirem razões legítimas para o Controlador continuar o Processamento;
  • se os seus Dados Pessoais forem tratados em violação das disposições do presente documento e da legislação em vigor, e o processo de apagamento for necessário para cumprir a legislação aplicável e as normas aprovadas nesta matéria.

Direito à limitação do tratamento

O Titular dos Dados tem o direito de obrigar o Responsável pelo Tratamento a restringir e a interromper o processamento em qualquer um dos seguintes casos:

  • se o titular dos dados se opuser à exatidão dos seus dados pessoais, caso em que o tratamento será limitado a um período específico que permita ao responsável pelo tratamento verificar a exatidão dos dados;
  • se o titular dos dados se opuser ao tratamento dos seus dados pessoais em violação das finalidades acordadas;
  • se o Processamento for efectuado em violação das disposições do presente documento e da legislação em vigor.

O Titular dos Dados tem o direito de solicitar ao Responsável pelo Tratamento que continue a conservar os seus Dados Pessoais após o cumprimento das finalidades do Tratamento, se esses dados forem necessários para concluir procedimentos relacionados com a reivindicação ou defesa de direitos e processos judiciais.

Direito de interromper o processamento.

O Titular dos Dados tem o direito de se opor e de interromper o processamento dos seus dados pessoais em qualquer um dos seguintes casos:

  • Se o tratamento se destinar a fins de comercialização direta, incluindo a definição de perfis relacionada com a comercialização direta;
  • se o tratamento se destinar à realização de inquéritos estatísticos, exceto se o tratamento for necessário para atingir o interesse público;
  • se o tratamento violar os controlos referidos no artigo 5º (acima referido)

 

O direito de não estar sujeito a decisões automatizadas, incluindo a definição de perfis (artigo 18.º)

O Titular dos Dados tem o direito de se opor às decisões emitidas relativamente ao Processamento Automatizado que tenham consequências legais ou que afectem seriamente o Titular dos Dados, incluindo a Definição de Perfis. No entanto, o Titular dos Dados não pode opor-se às decisões emitidas relativamente ao Processamento Automatizado nos seguintes casos:

  • se o tratamento automatizado estiver incluído nos termos do contrato celebrado entre a pessoa em causa e o responsável pelo tratamento;
  • se o tratamento automatizado for necessário nos termos de outra legislação em vigor no Estado;
  • se o titular dos dados tiver dado o seu consentimento prévio para o tratamento automatizado.

Ao contrário do RGPD, a LPDP não impõe controlos mais rigorosos em relação ao tratamento de dados pessoais sensíveis; no entanto, se um responsável pelo tratamento ou um subcontratante estiver a efetuar um tratamento que envolva uma avaliação sistemática e exaustiva dos dados pessoais sensíveis, incluindo a definição de perfis e o tratamento automatizado, ou se o tratamento for efectuado com base numa grande quantidade de dados pessoais sensíveis, o responsável pelo tratamento ou o subcontratante deve nomear um responsável pela proteção de dados

A AIPD deve ser efectuada antes do tratamento que utilizará qualquer uma das tecnologias modernas que possam representar um risco elevado para a privacidade e a confidencialidade dos dados pessoais do titular dos dados, se o tratamento for efectuado sobre uma grande quantidade de dados pessoais sensíveis (artigo 21.º)

A PDPL impõe limitações à transferência internacional de dados pessoais para fora dos EAU. À semelhança do conceito de "jurisdições adequadas" na UE, espera-se que o Gabinete de Dados aprove determinados territórios como tendo disposições, medidas, controlos, requisitos e regras suficientes para proteger a privacidade e a confidencialidade dos dados pessoais. Existem também várias outras excepções a que os exportadores podem recorrer, embora se aguardem mais pormenores por parte do Gabinete de Dados.

O Regulamento SVF exige que os dados dos clientes (incluindo a identificação dos clientes e os registos de transacções) sejam armazenados e mantidos nos EAU.

A lei relativa às TIC nos domínios da saúde exige que as informações e os dados relativos aos serviços de saúde prestados nos EAU não possam ser armazenados, tratados, gerados ou transferidos para fora dos EAU, exceto nos casos definidos por uma decisão emitida pela autoridade sanitária do emirado em causa, em coordenação com o Ministério Federal da Saúde

A LDP exige que o Responsável pelo Tratamento, imediatamente após ter conhecimento de qualquer infração ou violação dos Dados Pessoais do Titular dos Dados que possa prejudicar a privacidade, confidencialidade e segurança desses dados, comunique essa infração ou violação e os resultados da investigação ao Gabinete, no prazo e de acordo com os procedimentos e condições estabelecidos no Regulamento Executivo. data da redação da presente atualização, os regulamentos de execução ainda não tinham sido publicados.

Não existe legislação geral nos EAU que abranja o marketing eletrónico,

A PDPL não abrange expressamente a privacidade em linha; no entanto, a PDPL aplicar-se-á ao processamento em linha.

A PDPL não prevê sanções.

Até à data da redação desta atualização, ainda não foi criado o gabinete de dados responsável pela administração e aplicação da PDPL.

O Banco Central dos EAU é responsável pelo seu regulamento e normas de proteção dos consumidores e pelo regulamento SVF.

O Ministério da Saúde e da Prevenção é responsável pela lei relativa às TIC nos domínios da saúde.

A Autoridade Reguladora das Telecomunicações e do Governo Digital é responsável pela regulamentação dos seus regulamentos de proteção dos consumidores.