Regime de Bens Supletivo – Comunhão de Adquiridos.
Desde a entrada em vigor do atual Código Civil, em 1967, a comunhão de adquiridos passou a ser o regime supletivo de bens no casamento (artigo 1717º Código Civil).
Significa isto que, sendo o casamento celebrado sem convenção antenupcial através da qual as partes indiquem o regime de bens, fica sujeito, por foça da lei, ao regime da comunhão de adquiridos.
Este regime de bens, funciona de forma relativamente simples, distribuindo os bens em dois grandes grupos – os bens próprios e os bens comuns.
Nos bens próprios, de acordo com o artigo 1722.º, são incluídos todos aqueles bens que já se encontravam na esfera patrimonial de cada um dos cônjuges antes do casamento bem como todos quantos nela venham a entrar por via de doação ou sucessão e ainda aqueles que sejam adquiridos na constância do casamento por virtude de direito próprio anterior.
Os bens comuns são aqueles que resultam do produto do trabalho dos cônjuges e os bens adquiridos por estes na constância do matrimónio e que não sejam excetuados por lei.
Para além desta regra existem alguns casos particulares que convém ter em consideração como o previsto no artigo 1726.º Código Civil: os bens adquiridos em parte com dinheiro ou bens próprios de um dos cônjuges e noutra parte com dinheiro ou bens comuns revestem a natureza da mais valiosa das duas prestações. Fica, porém, sempre salva a compensação devida pelo património comum aos patrimónios próprios dos cônjuges, ou por estes àquele, no momento da dissolução e partilha da comunhão. Muitas vezes os problemas surgem aquando da partilha feita na sequência de divórcio. Para os evitar, procure documentar todas as compras realizadas durante o casamento para salvaguarda em caso de litígio.
PCS Advogados
Garantia de Bens de Consumo.
Está em vigor desde 01 de Janeiro de 2022 o Decreto Lei 84/2021 de 18 de outubro, que revogou o DL 67/2003 de 08 Abril e introduziu alterações com algum relevo no que respeita às garantias dos bens de consumo.
Das diversas alterações destacamos as que dizem respeito aos prazos de garantia. O prazo de garantia previsto para os bens móveis até à entrada em vigor deste diploma era de 2 anos, prazo que foi agora alargado para 3 anos embora com uma especificidade que, podendo à primeira vista passar despercebida, assume, na prática, grande relevância: de acordo com o regime atualmente em vigor, o profissional é responsável por qualquer falta de conformidade que se manifeste no prazo de três anos a contar da entrega do bem, porém, apenas nos primeiros dois anos, a falta de conformidade manifestada se presume existente à data da entrega do bem. Decorrido este prazo, inverte-se o ónus da prova e cabe ao consumidor provar que a desconformidade já existia à data da entrega do bem.
Também no que respeita aos bens imóveis o prazo durante o qual o profissional responde perante o consumidor por qualquer falta de conformidade passou a ser de 10 anos em relação a faltas de conformidade relativas a elementos construtivos estruturais e 5 anos em relação às restantes faltas de conformidade.
No que respeita aos bens móveis outra alteração relevante é a introdução de uma hierarquização no que se refere ao exercício dos direitos: nos casos em que a falta de conformidade se manifeste no prazo de 30 dias após a entrega do bem, a lei confere ao consumidor a possibilidade de solicitar a imediata substituição do bem ou a resolução do contrato – Direito de Rejeição.
Depois de decorridos os 30 dias dentro dos quais o consumidor poderá exercer o Direito de Rejeição, deverá, como regra, exigir a reparação ou substituição do bem. No caso de existir incumprimento ou recusa do Profissional quanto ao exercício destes direitos e ainda noutras situações especificamente previstas, o consumidor poderá exigir a redução proporcional do preço ou a resolução do negócio.
Outra grande novidade é a introdução de disposições relativas à falta de conformidade aplicável ao fornecimento de conteúdos e serviços digitais – matéria que, pela novidade e complexidade dos conceitos, será objeto de artigo autónomo a publicar brevemente. De referir ainda que as alterações introduzidas pelo Decreto Lei 84/2021 de 18 de outubro em matéria de contratos de compra e venda de bens móveis e de bens imóveis aplicam-se apenas aos contratos celebrados após a sua entrada em vigor.
PCS Advogados
Irish DPC fines WhatsApp 5.5M euros, fissure with EDPB continues (iapp.org).
META, a empresa que detém o WhatsApp, foi multada novamente agora pela autoridade Irlandesa, por não prestar informação clara e transparente aos utilizadores sobre a necessidade de tratar alguns dados para fins, alegadamente, relacionados com segurança.
A decisão não agradou a empresa nem a organização de defesa de direitos de privacidade “NOYB”. A WhatsApp alega que usa os dados em causa são tratados apenas para prestar o serviço e garantir a segurança dos utilizadores e por isso não precisa de pedir consentimento. A “NOYB” alega, pelo contrário, que esta é uma forma de contornar a obrigação de pedir um consentimento expresso e informado e que estes dados são efetivamente utilizados para “targeted advertising”.
É cada vez mais evidente que apenas os dados pessoais que são efetivamente imprescindíveis para a prestação do serviço deverão ser tratados com base no contrato, isto é, sem necessidade de consentimento do cliente.
Os dados que possam interessar à empresa para que esta preste um serviço “melhor”, mais personalizado, apenas deverão ser tratados com base no consentimento do respetivo titular. Acresce que esse consentimento deve ser solicitado de forma expressa e o utilizador deve ser devidamente esclarecido sobre as “regras do jogo”. Não deve estar implícito nas condições gerais de utilização.
Se as práticas da empresa forem transparentes e leais, nada há a recear.
O titular deve ser surpreendido apenas pela qualidade do serviço e não pela forma como os seus dados são tratados.
PCS Advogados
A pensão de alimentos devida a filhos e a possibilidade de pedir a sua redução.
Não existem tabelas ou valores pré-definidos para a fixação da pensão de alimentos devidos a filhos. A determinação do valor a pagar resulta, por um lado das necessidades do filho e por outro lado, da capacidade do progenitor para a prestar.
Questão que nos é muito colocada é a de saber se o progenitor que vê diminuídos os seus rendimentos pode, com base nessa justificação, requerer a redução da pensão de alimentos já fixada.
A resposta a esta pergunta depende obviamente do caso concreto, mas em termos genéricos e atendendo aos princípios que estão subjacentes à atribuição da pensão de alimentos é, na maioria dos casos, negativa.
É obrigação dos pais proverem ao sustento dos filhos e fazerem-no de modo a assegurar que estes se desenvolvam de forma saudável e equilibrada tanto a nível físico como emocional. Por esta razão e porque se atende sempre ao interesse do filho, a satisfação das suas necessidades deve sobrepor-se às necessidades próprias dos pais. Esta tem sido a orientação maioritariamente seguida pelos tribunais.
Sem prejuízo daquilo que se referiu no inicio sobre a necessidade de analisar o caso em concreto e admitindo obviamente que o filho possa prescindir de alguns benefícios sem prejuízo para a sua formação e ou projeto de vida, aquilo que se exige ao progenitor que, estando obrigado a pagar a pensão de alimentos vê os seus rendimentos reduzidos, é a assumir o mesmo comportamento que teria se habitasse com o filho e tivesse que fazer face às necessidades diárias do mesmo. Em conclusão, a diminuição de rendimentos do progenitor obrigado a alimentos pode não constituir, por si só, fundamento para pedir a redução da respetiva pensão.
PCS Advogados
Vendas eletrónicas: proibição de discriminação para os consumidores das regiões autónomas.
As vendas eletrónicas assumem atualmente um peso muito significativo nas transações comerciais e embora a regulamentação deste “mercado” se considere ainda insuficiente, existem matérias que já estão acauteladas. É o caso da Lei 7/2022 de 10 de Janeiro, que estabelece a proibição das práticas de bloqueio geográfico e de discriminação nas vendas eletrónicas por parte de comerciantes que disponibilizam bens ou prestam serviços em território nacional para com os consumidores das regiões autónomas.
Entre outras previstas no diploma, destaca-se a proibição imposta ao comerciante de restringir ou bloquear, por via tecnológica ou outra, o acesso do consumidor às suas interfaces online por razões relacionadas com o seu local de residência ou com o local de estabelecimento em território nacional.
O comerciante não pode aplicar condições gerais de acesso aos bens ou serviços diferentes em função do local de residência ou do local de estabelecimento do consumidor em território nacional.
Segundo o mesmo diploma, o comerciante tem a obrigação de disponibilizar condições de entrega dos bens ou serviços para a totalidade do território nacional embora possa propor condições distintas em função do local de residência ou do local de estabelecimento do consumidor, nomeadamente quanto ao custo da entrega. Diploma disponível em https://dre.pt/dre/detalhe/lei/7-2022-177350572
PCS Advogados
Taxas supletivas de juros moratórios em vigor no 1.º semestre de 2023
Aviso n.º 1672/2023, de 25 de janeiro
Sumário: Taxas supletivas de juros moratórios em vigor no 1.º semestre de 2023.
Em conformidade com o disposto, respetivamente, nas alíneas a) e b) do artigo 1.º da Portaria n.º 277/2013, publicada no Diário da República, 1.ª série, n.º 163, de 26 de agosto de 2013, dá-se conhecimento que:
i) A taxa supletiva de juros moratórios relativamente a créditos de que sejam titulares empresas comerciais, singulares ou coletivas, nos termos do § 3.º do artigo 102.º do Código Comercial, em vigor no 1.º semestre de 2023, é de 9,5 %;
ii) A taxa supletiva de juros moratórios relativamente a créditos de que sejam titulares empresas comerciais, singulares ou coletivas, nos termos do § 5.º do artigo 102.º do Código Comercial e do Decreto-Lei n.º 62/2013, de 10 de maio, em vigor no 1.º semestre de 2023, é de 10,5 %.
https://dre.pt/dre/detalhe/aviso/1672-2023-206522890
PCS Advogados
Acórdão do Tribunal da Relação de Lisboa
Dúvida que muitas vezes se coloca é a de saber qual o direito de crédito de que é titular cada um dos depositantes solidários.
O Acórdão do Tribunal da Relação de Lisboa, proferido em 12-01-2023, esclarece.
“São perfeitamente distintos o direito de crédito de que é titular cada um dos depositantes solidários – que se traduz num poder de mobilização do saldo – e o direito real que recai sobre o dinheiro, direito que pode pertencer, apenas, a algum ou alguns dos titulares da conta ou, até, a terceiro” Texto integral do acórdão em http://www.dgsi.pt/jtrl.nsf/33182fc732316039802565fa00497eec/788407e27d8ed4e68025893b0052c8a0?OpenDocument
PCS Advogados
Odia Kagan
CDPO, CIPP/E/US, CIPM, FIP, GDPRP, PLS, Partner, Chair of GDPR Compliance and International Privacy at Fox Rothschild LLP.
Pixel your battles – the email tracking pixel way
Denmark Datatilsynet takes on a common marketing practice – the email opens tracking technologies. Key points and the US privacy laws perspective:
Facts:
– Tracking pixels in emails are files that are placed in e-mails, and where the recipient, by opening the e-mail, allows the sender to collect a number of information about the recipient, e.g. by tracking the recipient’s online behavior.
– In this case the tracking pixels were used to analyze which articles news readers click on and organizes future newsletters on that basis, e.g. in relation to the order in which the stories are to be presented. Tracking pixels were also used to optimize the sending of the newsletters so that they do not end up in spam filters.
Data protection law applies
– When they process personal data – GDPR applies (as do CCPA, CPA etc)
– If they don’t process personal data (Are there such solutions in the market?) – in EU the ePrivacy directive (and applying laws) still apply and you need consent for the deployment and access of this content; The US privacy laws would not apply, but could this be deemed wiretapping (as alleged in some of ongoing tracking litigation in the US).
Legal Basis and consent
– In the EU – consent is the proper legal basis for tracking pixels and of course you need full disclosure
– In the US – you need disclosure and then you may need to provide an opt out (if it’s a sale e.g in cases where your pixel vendor is not a service provider) or an opt in (e.g. in Colorado if you collect sensitive information through the pixel)
Results:
– Serious criticism to the company by Datatilsynet
– Company needed to delete all data gotten without proper consent
#dataprivacy #dataprotection #tracking #consent #privacyFOMO
Photo: Simon Lee on Unsplash
PCS Advogados
Microsoft to start multi-year rollout of EU data localization offering on January 1
Natasha Lomas
Microsoft will begin a phased rollout of an expanded data localization offering in the European Union on January 1, it said today.
The EU Data Boundary for the Microsoft Cloud, as it’s branding the provision for local storage and processing of cloud services’ customer data, is intended to respond to a regional rise in demand for digital sovereignty that’s been amplified by legal uncertainties over EU-U.S. data flows stemming from the clash between the bloc’s data protection rights and U.S. surveillance practices.
“Beginning on January 1, 2023, Microsoft will offer customers the ability to store and process their customer data within the EU Data Boundary for Microsoft 365, Azure, Power Platform and Dynamics 365 services,” it wrote of the forthcoming “data residency solution” for customers in the EU and EFTA (the European Free Trade Association), adding: “With this release, Microsoft expands on existing local storage and processing commitments, greatly reducing data flows out of Europe and building on our industry-leading data residency solutions.”
Earlier this week, the European Commission published a draft decision on U.S. adequacy that’s intended to resolve differences between legal requirements with a new deal on secure data transfers. However this EU-U.S. Data Privacy Framework (DPF) won’t be finalized until next year — potentially not before the middle of next year — and in the meanwhile transatlantic transfers of Europeans’ personal data remain clouded in legal risk.
Microsoft’s EU Data Boundary being rolled out in phases means there is no instant fix for the EU-U.S. data flows risk on the horizon for its customers.
Nor is it clear whether the data residency solution will be comprehensive enough to address all the data flows and data protection concerns being attached to Microsoft’s products in Europe.
A long running review of Microsoft’s 365 productivity suite by German data protection regulators made uncomfortable reading for the tech giant last month — as the working group concluded there is still no way to use its software and comply with the EU’s General Data Protection Regulation (GDPR) despite months of engagement with Microsoft over their compliance concerns.
Microsoft disputes the working group’s assessment — but has also said it remains committed to addressing outstanding concerns, and it names the EU Data Boundary as part of its plan for this since the offering will also provide “additional transparency documentation” on customer data flows and the purposes of processing; and more transparency on the processing and location by subprocessors and Microsoft employees outside of the EU (since Microsoft is not proposing a total localization of European customers’ data and zero processing elsewhere; so the EU Data Boundary remains somewhat porous by design).
Its blog post today announcing the kick off of the phased rollout notes that as part of the first phase it will begin publishing “detailed documentation” on what it’s calling its “Boundary commitments” — including, transparency documentation containing descriptions of data flows.
Per Microsoft, these transparency documents will initially be published in English — with “additional languages” slated as coming later (NB: The EU has 24 official languages, per Wikipedia, only one of which is English).
“Documentation will be updated continually as Microsoft rolls out additional phases of the EU Data Boundary and will include details around services that may continue to require limited transfers of customer data outside of the EU to maintain the security and reliability of the service,” it adds, saying these “limited data transfers” are required to ensure EU customers “continue to receive the full benefits of global hyperscale cloud computing while enjoying industry-leading data management capabilities”, as its PR puts it.
The tech giant had been shooting for the EU Data Boundary to be operational by the end of 2022. But given the phased rollout, a January 1st launch date is a pretty meaningless marker. After this initial launch, Microsoft said “coming phases” of the rollout will expand the offering to include the storage and processing of “additional categories of personal data”, including data provided when customers are receiving technical support.
We’ve asked Microsoft for more details on which data will be covered by which phases and when subsequent phases will roll out and will update this report with any response.
Discussing its phased rollout approach with Reuters, Microsoft’s chief privacy officer, Julie Brill, told the news agency: “As we dived deeper into this project, we learned that we needed to be taken more phased approach. The first phase will be customer data. And then as we move into the next phases, we will be moving logging data, service data and other kind of data into the boundary.”
She also said the second phase of the rollout will be completed at the end of 2023 — and phase three will be completed in 2024. Hence the date for Microsoft’s EU Data Boundary fully operational remains years out.
“Based on customer feedback and insights, as well as learnings gained over the past year of developing the boundary, we have adjusted the timeline for the localization of additional personal data categories and data provided when receiving technical support,” it also writes in the blog post — explaining its “adjusted” timeline — and adding: “To ensure that we continue to deliver a world-class solution that meets the overall quality, stability, and security expectations of customers, Microsoft will deliver on-going enhancements to the boundary in phases. To assist customers with planning, we have published a detailed roadmap for our EU Data Boundary available on our Trust Center.”
In a similar move earlier this year, Google announced incoming data flows-related changes for its productivity suite, Workspace, in Europe — saying that by the end of the year it would provide regional customers with extra controls enabling them to “control, limit, and monitor transfers of data to and from the EU”.
Back in February, European data protection regulators kicked off a coordinated enforcement action focused on public sector bodies’ use of cloud services to test whether adequate data protection measures are being applied, including when data is exported out of the bloc — with a ‘state of play’ report due from the European Data Protection Board before the end of the year — a timeline that’s likely to have concentrated US cloud giants’ minds about the need to expand their compliance offerings to European customers.
Link: https://techcrunch.com/2022/12/15/microsoft-eu-data-boundary-launch/amp/?guccounter=1
PCS Advogados
Data protection: Commission starts process to adopt adequacy decision for safe data flows with the US.
Press release, 13 December 2022, Brussels
Today, the European Commission launched the process towards the adoption of an adequacy decision for the EU-U.S. Data Privacy Framework, which will foster safe trans-Atlantic data flows and address the concerns raised by the Court of Justice of the European Union in its Schrems II decision of July 2020.
Today’s draft decision follows the signature of a US Executive Order by President Biden on 7 October 2022, along with the regulations issued by the US Attorney General Merrick Garland. These two instruments implemented into US law the agreement in principle announced by President von der Leyen and President Biden in March 2022.
The draft adequacy decision, which reflects the assessment by the Commission of the US legal framework and concludes that it provides comparable safeguards to those of the EU, has now been published and transmitted to the European Data Protection Board (EDPB) for its opinion. The draft decision concluded that the United States ensures an adequate level of protection for personal data transferred from the EU to US companies.
Key elements
US companies will be able to join the EU-U.S. Data Privacy Framework by committing to comply with a detailed set of privacy obligations, for instance, the requirement to delete personal data when it is no longer necessary for the purpose for which it was collected, and to ensure continuity of protection when personal data is shared with third parties. EU citizens will benefit from several redress avenues if their personal data is handled in violation of the Framework, including free of charge before independent dispute resolution mechanisms and an arbitration panel.
In addition, the US legal framework provides for a number of limitations and safeguards regarding the access to data by US public authorities, in particular for criminal law enforcement and national security purposes. This includes the new rules introduced by the US Executive Order, which addressed the issues raised by the Court of Justice of the EU in the Schrems II judgment:
- Access to European data by US intelligence agencies will be limited to what is necessary and proportionate to protect national security;
- EU individuals will have the possibility to obtain redress regarding the collection and use of their data by US intelligence agencies before an independent and impartial redress mechanism, which includes a newly created Data Protection Review Court. The Court will independently investigate and resolve complaints from Europeans, including by adopting binding remedial measures.
European companies will be able to rely on these safeguards for trans-Atlantic data transfers, also when using other transfer mechanisms, such as standard contractual clauses and binding corporate rules.
Next steps
The draft adequacy decision will now go through its adoption procedure. As a first step, the Commission submitted its draft decision to the European Data Protection Board (EDPB). Afterwards, the Commission will seek approval from a committee composed of representatives of the EU Member States. In addition, the European Parliament has a right of scrutiny over adequacy decisions. Once this procedure is completed, the Commission can proceed to adopting the final adequacy decision.
The functioning of the EU-U.S. Data Privacy Framework will be subject to periodic reviews, which will be carried out by the European Commission, together with European data protection authorities, and the competent US authorities. The first review will take place within one year after the entry into force of the adequacy decision, to verify whether all relevant elements of the US legal framework have been fully implemented and are functioning effectively in practice.
Background
Article 45(3) of the General Data Protection Regulation grants the Commission the power to decide, by means of an implementing act, that a non-EU country ensures ‘an adequate level of protection’, i.e. a level of protection for personal data that is essentially equivalent to the level of protection within the EU. The effect of adequacy decisions is that personal data can flow freely from the EU (and Norway, Liechtenstein and Iceland) to a third country without further obstacles.
After the invalidation of the previous adequacy decision on the EU-US Privacy Shield by the Court of Justice of the EU, the European Commission and the US government entered into discussions on a new framework that addressed the issues raised by the Court.
In March 2022, following intense negotiations between the lead negociators, Commissioner Reynders and Secretary Raimondo, President von der Leyen and President Biden announced an agreement in principle on a new transatlantic data transfer framework. In October 2022, President Biden signed an Executive Order on ‘Enhancing Safeguards for United States Signals Intelligence Activities’, which was complemented by regulations adopted by the US Attorney General. Together, these two instruments implemented the US commitments into US law, as well as complemented the obligations for US companies. On this basis, the Commission is now proposing a draft adequacy decision on the EU-U.S. Data Privacy Framework.
Once the adequacy decision is adopted, European entities will be able to transfer personal data to participating companies in the United States, without having to put in place additional data protection safeguards.
Link: https://ec.europa.eu/commission/presscorner/detail/en/ip_22_7631
PCS Advogados
Contratos de renda antigos ficam congelados de forma definitiva.
A ministra da Habitação, Marina Gonçalves, revela que os contratos antigos vão ficar, de forma definitiva, fora do atual regime de arrendamento, protegendo-se, desta forma, os inquilinos.
Ao fim de mais de uma década de suspensão temporária da transição dos contratos de arrendamento anteriores a 1990 para o Novo Regime do Arrendamento Urbano (NRAU), este congelamento vai tornar-se definitivo. A medida faz parte do pacote legislativo Mais Habitação e, como contrapartida, inclui uma compensação a ser paga aos senhorios pela não atualização das rendas, cuja forma de cálculo ainda está a ser estudada.
No pacote legislativo agora apresentado, o Governo diz querer garantir que os contratos de arrendamento antigos não transitam para o NRAU. Isso significa que vai haver uma nova prorrogação do prazo de suspensão da transição destes contratos para o NRAU? E durante quanto tempo?
Não vai haver uma nova suspensão. Temos as entidades do Estado a fazer um estudo para definir quantos contratos é que temos nesta situação, o que vai permitir-nos afinar a compensação a conceder aos proprietários. Mas não vai haver nova suspensão. Nos contratos anteriores a 1990, que ainda estão protegidos pela norma travão, vamos definir que eles não transitam para o NRAU. Isto implica que os contratos se mantêm. Mas temos de ter em conta uma preocupação dos senhorios que estão com rendas congeladas, que não têm nenhuma isenção fiscal por estarem com rendas congeladas e que não podem aumentar a renda, a não ser no modelo que está definido hoje para esses contratos.
Os contratos nunca transitarão para o NRAU?
Com os atuais arrendatários, os contratos não vão transitar para o NRAU. E vamos garantir que os proprietários são compensados pela não transição, no que respeita à renda. Para além de duas medidas mais imediatas, que são a isenção em sede de IRS e a isenção em sede de IMI [Imposto Municipal sobre os Imóveis], há esta terceira componente, que é o aumento da renda ser feito através de uma compensação do Estado ao senhorio. Ainda não colocámos a compensação neste pacote porque precisamos do estudo para perceber de que contratos estamos a falar, quantos contratos são de 20 euros, quantos são de 200 euros, quantos são de 400 euros. E, com isso, montar uma compensação que seja justa, tendo em conta as rendas que não estão equilibradas face às rendas medianas no mercado de arrendamento.
E como será calculada essa compensação?
Vamos ter de definir os critérios de acordo com o valor atual da renda, onde é que a renda ficou congelada, porque os valores diferem bastante. E, depois, em função da tipologia. Vamos ter de enquadrar nos valores que temos tido como referência a mediana do mercado. Mas, para fazer esse trabalho, precisamos dos dados finos que estão a ser trabalhados e por isso é que não quisemos definir já o desenho da compensação. Teremos este relatório ainda durante o primeiro semestre. Com base nesse relatório, poderemos afinar a compensação e pô-la em prática. A transição dos contratos antigos, para já, foi suspensa, ainda estamos com a norma travão em vigor durante este ano. O que pretendemos é resolver esta situação, definitivamente, ainda durante este ano.
Isto significa que, se não for por iniciativa própria, estes inquilinos nunca terão o seu contrato cessado e continuarão sempre com a renda congelada?
Continuarão com o contrato de arrendamento. Isto é o que significa não transitar para o NRAU. Outra coisa é a renda praticada. Falava da compensação porque vamos inverter o modelo. Estamos a falar, na grande maioria das situações, de inquilinos com mais de 65 anos. Para podermos aumentar a renda de forma eficaz, vamos compensar o senhorio. Em vez de ser um aumento da renda e compensação do arrendatário num momento futuro, há um aumento da renda por via da compensação ao senhorio. Ou seja, a renda não vai ficar congelada para o senhorio. Outra coisa é a questão da durabilidade do contrato. Essa, sim, fica resolvida com a não transição para o NRAU.
De forma definitiva?
Definitiva.
PCS Advogados
IAPP, uma organização internacional de profissionais de privacidade alerta para o facto de cada vez existirem mais ações de investigação que poderão transformar-se em processos de contraordenação caso as empresas não estejam a cumprir a legislação em vigor.
Este artigo sugere algumas medidas de autoavaliação.
Estas medidas poderão não se adaptar à dimensão e estrutura da sua empresa mas recomendamos procure realizar este exercício periodicamente, ainda que de forma ajustada à sua realidade. Fazê-lo vai ajudar a organizar e potenciar o seu negócio.
Privacy litigation and regulatory enforcement actions are booming. There has been a sharp increase in plaintiff’s firms and consumer groups scanning through company websites, mobile apps and other features in search of privacy compliance issues with cookies, pixels, tags, software development kits and other technologies. Similarly, whether in response to individual complaints, media stories or on their own initiative, privacy regulatory authorities have increasingly undertaken market reviews on these issues. And, litigation and regulatory investigations are expected to follow in the ordinary course after a company notifies of a data breach.
How can companies prepare for this increasingly contentious environment? Beyond the due diligence associated with the day-to-day development and implementation of a privacy program, another option is to execute a “pen test” of your privacy program. This concept borrows from the longstanding practice of penetration testing or “pen testing” company cybersecurity controls. Pen testing cybersecurity controls refers to a cyberattack simulation launched against a company’s network to help discover points of exploitation. Pen tests can help prevent data breaches and test companies’ resiliency to cyberattacks.
Pen testing a privacy program is similar to pen testing cybersecurity in the sense that it is an exercise aimed at identifying potential issues with the company’s program. A privacy pen test is different, however, because it simulates how a plaintiff’s firm, consumer group or privacy regulator investigates and litigates potential privacy noncompliance.
How do you do a privacy pen test?
Although we are not aware of any formal framework, organizations can draw inspiration for privacy pen tests from cybersecurity frameworks, such as the NIST Cybersecurity Framework. An overview of the phases for a privacy pen test are as follows.
The first phase should involve planning and identifying what key elements of the company’s privacy program are subject to the test. The organization should identify particular publicly available websites, mobile apps, other externally-available sites and/or internally-accessible applications in scope for the exercise. The organization should also identify specific aspects of privacy compliance to be evaluated and applicable privacy standards based on laws and regulations in the geolocations and industries to be tested. As with cybersecurity pen testing, it is important to focus on one or more elements of the organization’s privacy compliance program and not attempt to test everything at the same time.
The second phase should involve discovering information about relevant elements of the company’s privacy compliance program, including simulations of interactions between consumers, employees, patients or other identified data subject categories and the in-scope apps. This simulation should be carried out on live operating versions of in-scope apps and should involve human review and capture of information about applicable privacy notices, links, choices, consents, preference centers and other features. The simulation should also involve the deployment of automated tools to gather information about cookies, pixels, tags and other data collection technologies on the Apps. In addition, because privacy pen tests simulate government and investigations, they should involve a form of e-discovery or legal demands for documents, interviews and other evidence.
The third phase should involve reporting the findings, preferably in the form of privileged legal memorandums that outline the factual findings, legal analyses and recommendations. It is important to work with legal counsel to design a privacy pen test, to align with the proper interpretation of applicable privacy standards evaluated for potential noncompliance, to execute the test to assure proper analysis against identified privacy legal standards and to seek privilege protections to the extent reasonably available.
What are examples of potential areas for testing?
The particulars of what aspects of the privacy program should be tested will vary depending on the company’s industry sector, geography, history of challenges, interactions with regulators and other factors. The testing can be launched from different geolocations and IP addresses, and standards can be drawn from various privacy laws and regulations applicable to the company. Given the detailed nature of the review, a company may wish to pick only one, or a few, of the suggestions below or otherwise execute a combination of elements from among the following, or other, areas:
- Cookies: The test can interact with in-scope apps and document the privacy notices, links, consents and other privacy features across observable cookies, pixels and other tags. The simulation can also include follow-up interactions after the selection of privacy choices to test the effectiveness of such choices.
- Direct marketing: The test can interact with in-scope apps and document relevant privacy features, including notices and choices related to direct marketing via email, text, phone and/or other channels. The simulation can also evaluate testing of choice functionality, e.g., “unsubscribe” links embedded in individual direct marketing communications.
- Geolocation. The test can interact with in-scope apps and document observable information about collection and use of geolocation data and privacy features, as well as additional factual information from questions posed to the company’s technical and business leads about the collection, use and disclosure of geolocation data.
- Age detection mechanisms: The test can interact with in-scope apps, document observable information about privacy features and determine whether such apps are targeted to children under 13, teens between 13 and 18 or other relevant age for minors depending on geolocation. It should document information about age detection mechanisms, parental consent and disclosures of children’s personal information.
- Incident response and breach notification documentation: The test can posit a scenario where a regulator or a plaintiff’s firm seeks copies of policies and procedures on incident response and breach notification, as well as copies of the company’s documented risk assessments on security incidents over the past three years. Similar exercises could be implemented across other areas of required documentation, such as records of processing activities, privacy impact assessments, security risk analysis and risk mitigation documentation.
- Corporate customer privacy terms: The test can posit a scenario where a critical business application is subject to a ransomware attack and a substantial volume of corporate customer data within the application is subject to unauthorized access or acquisition. The simulation would involve the review of privacy features and customer contract terms regarding the protection of personal information, the role of the company for the impacted data, e.g., as “controller,” “processor” or equivalent, and notification obligations in the event of security incidents or data breaches.
- Vendor privacy terms: The test can posit a scenario where a critical application is hosted or supported by a third-party vendor, is subject to a cybersecurity attack and a substantial volume of the company’s customer or employee’s personal information is impacted. The scenario could test not only the vendor’s contractual obligations to report the incident to the company, but also whether it has imposed its own “upstream” obligations on the vendor, undertaken in key customer agreements.
- Record retention. The test can posit a scenario that involves an extortion where the cyber-criminal extracted a large volume of data from the company over many months and different business applications, including unstructured drives. This should involve a review of applicable retention policies and relevant statements within privacy features and other documentation to ensure they align with the company’s retention policies. It should also review a sampling of raw information from relevant business applications and drives to evaluate whether, or the extent to which it appears, such information is retained beyond applicable retention periods and whether such data, if subject to a breach, might attract mandatory breach notification duties.
- Intra-group cross-border data transfers: The test can posit a scenario where regulators in non-U.S. jurisdictions investigate the sufficiency of company intragroup data transfer agreements, transfer impact assessments and other controls for the cross-border transfer of personal information. The simulation should involve a review of core applications that result in the intragroup transfer of personal information, e.g., about customers, employees, patients or others, and a sampling of “upstream” obligations the company undertook with key corporate customers.
At the end of the day, when performed and documented properly, pen testing of a privacy program can serve as an element of an overall effective privacy compliance program, and can assist in uncovering potential privacy legal issues before they mature into litigation or regulatory enforcement actions.
PCS Advogados
Saiba como pode reclamar o cumprimento dos seus direitos junto da Comissão Nacional de Proteção de Dados.
Para submeter uma participação à CNPD, tem à sua disposição três formulários específicos, consoante o assunto da sua queixa, que permitem recolher desde logo a informação básica necessária para a CNPD poder realizar uma análise preliminar da situação exposta e tramitar o caso com mais celeridade.
Se a sua participação não se relacionar com comunicações de marketing não solicitado (spam), com videovigilância ou com dados biométricos, tem o formulário geral para apresentar a sua queixa. Faça uma exposição sucinta. Descreva os factos, nós fazemos a análise. Indique no formulário geral se tiver documentação relevante para o caso ou provas do que alega. Se considerar necessário, a CNPD entrará em contacto consigo num momento posterior para lhas pedir. Leia atentamente a informação constante dos formulários.
Se tem dúvidas sobre alguma matéria de proteção de dados, incluindo sobre a legalidade de um procedimento ou prática, se pretende pedir informações ou solicitar esclarecimentos, então o formulário correto não é nenhum destes.
https://www.cnpd.pt/cidadaos/participacoes/
PCS Advogados
A PCS Advogados aconselha aos seus clientes que revisitem as recomendações de segurança emitidas pelo Centro Nacional de Cibersegurança.
Visite o website:
https://dyn.cncs.gov.pt/pt/boaspraticas/?persona=organizations
PCS Advogados
Reforço do regime sancionatório em matéria de direito do consumo
Foi publicada no dia 03 de março a Lei 10/2023 que completa a transposição da Diretiva (EU) 2019/2161, conhecida como “Diretiva Omnibus”, relativa à defesa dos consumidores.
Esta Lei altera diplomas importantes em matéria de Direito do Consumo como o Regime Jurídico das cláusulas contratuais gerais, o Regime Jurídico das práticas comerciais desleais, O Regime Jurídico dos contratos celebrados à distância ou fora do estabelecimento comercial, entre outros.
As alterações introduzidas entram em vigor a 03 de Abril de 2023 e traduzem um reforço no regime sancionatório prevendo-se a alteração do valor das coimas aplicadas às contraordenações aplicadas por incumprimento das normas.
Diploma completo em https://dre.pt/dre/detalhe/lei/10-2023-208124552
PCS Advogados
IGFEJ apresenta anonimização de decisões judiciais.
O IGFEJ apresentou, no dia 17, no espaço HUB da Justiça, uma ferramenta para anonimização de decisões judiciais.
O projeto de anonimização de decisões judiciais, desenvolvido pelas equipas do IGFEJ, e que contará com a participação da academia na sua evolução, recorre a modelos preditivos, baseados em machine learning, que detetam e substituem informações que possam identificar uma pessoa.
Através da anonimização de dados pessoais com o auxílio da tecnologia e inteligência artificial, vai ser possível incrementar a publicação das decisões judiciais de todas as instâncias, aumentando a transparência na administração da justiça pelos tribunais, melhorando a pesquisa de informação para magistrados, mandatários, juristas, comunidade científica e académica e cidadão, e, simultaneamente, reduzindo a afetação de recursos dos tribunais para esta tarefa morosa e onerosa.
Gonçalo Ávila Trindade, Vogal do Conselho Diretivo do IGFEJ, apresentou o projeto durante a cerimónia de lançamento da Estratégia de Govtech, que decorreu no dia 17 de fevereiro, no HUB da Justiça em Lisboa.
A Estratégia de Govtech consubstancia-se num conjunto de projetos de transformação digital, desenvolvidos no âmbito do Plano de Recuperação e Resiliência (PRR), em colaboração com universidades, centros de investigação e startups, com o objetivo de tornar os serviços da justiça mais ágeis e eficientes.
in justica.gov.pt | 27-02-2023 | IGFEJ
https://www.homepagejuridica.pt/noticias/11826-igfej-apresenta-anonimizacao-de-decisoes-judiciais
PCS Advogados
NOVA ETAPA NAS TRANSFERÊNCIAS DE DADOS PARA OS EUA.
O Comité Europeu para a Proteção de Dados (CEPD) emitiu ontem o seu parecer sobre a proposta da Comissão Europeia para uma decisão de adequação do nível de proteção de dados oferecido pelo Data Privacy Framework (DPF) entre a UE e os EUA.
O CEPD vai ser ouvido hoje de manhã no Parlamento Europeu, no Comité LIBE, sobre a proposta de decisão de execução da Comissão Europeia, apresentada em dezembro último, ao abrigo do artigo 45.º do RGPD, sobre a adequação do nível de proteção de dados do Data Privacy Framework entre a UE e os EUA.
No Parecer 5/2023, aprovado ontem, o CEPD reconhece as melhorias significativas introduzidas no quadro legal norte-americano quanto aos princípios da necessidade e da proporcionalidade na recolha de dados pelos serviços de informação dos EUA e quanto ao mecanismo de recurso para os titulares de dados da UE. No entanto, o CEPD manifesta ainda as suas preocupações em relação a alguns aspetos e solicita clarificações por parte da Comissão Europeia.
As principais questões prendem-se com o exercício dos direitos dos titulares, as transferências subsequentes de dados, o âmbito das derrogações, a recolha temporária de dados em bulk e o funcionamento prático do mecanismo de recurso. O CEPD considera também haver insuficiências no que diz respeito à monitorização independente.
O Comité Europeu entende que não apenas a entrada em vigor da decisão de adequação, mas também a sua própria adoção, deveriam ser condicionais à aprovação e consequente notificação à Comissão Europeia de todos os atos que irão regulamentar a Ordem Executiva 14086 por parte de todas agências de informação norte-americanas. O CEPD recomenda que a Comissão avalie esses atos e informe o Comité das suas conclusões.
O Parecer do CEPD considera tanto os aspetos comerciais como o acesso aos dados e a sua utilização posterior pelas autoridades públicas dos EUA. Recorde-se que o DPF será apenas aplicável às organizações dos EUA que se tenham autocertificado junto do Departamento de Comércio.
O DPF vem substituir o quadro do Privacy Shield, que por sua vez substituiu o Safe Harbor, tendo ambas as decisões de adequação da Comissão Europeia sido invalidadas pelo Tribunal de Justiça da União Europeia, respetivamente nos casos Schrems II e Schrems I.
https://www.cnpd.pt/comunicacao-publica/noticias/nova-etapa-nas-transferencias-de-dados-para-os-eua/
PCS Advogados
15 de março – Dia Mundial dos Direitos do Consumidor – CIAB
Celebra-se no próximo dia 15 de março o Dia Mundial dos Direitos do Consumidor. Data icónica que procura recordar os enormes avanços que se têm verificado na proteção dos direitos do consumidor, um pouco por todo o mundo desde 1962.
Nesse ano perante o Congresso norte-americano o falecido presidente John F. Kennedy enunciou os quatro direitos fundamentais dos consumidores (o direito à segurança, à informação, o direito à livre escolha e o direito a ser ouvido), afirmando ainda que “todos somos consumidores”, frase que ficou para a história como a tomada de consciência da humanidade para a problemática associada ao consumo.
Ver artigo completo: https://www.consumidor.gov.pt/15-de-marco–dia-mundial-dos-direitos-do-consumidor-ciab.aspx
#direitosdoconsumidor
PCS Advogados
O PAPEL DOS EPD NO CENTRO DA AÇÃO COORDENADA UE PARA 2023.
O Comité Europeu para a Proteção de Dados (CEPD) lança hoje a segunda ação coordenada de supervisão de autoridades de proteção de dados, que versará este ano sobre a designação e a posição dos encarregados de proteção de dados (EPD).
Enquanto intermediários entre as autoridades de proteção de dados, os indivíduos e as organizações, os EPD desempenham um papel essencial na garantia de uma melhor conformidade das organizações com a legislação de proteção de dados e na promoção de uma defesa efetiva dos direitos dos titulares dos dados.
A ação coordenada de supervisão (CEF) para 2023 conta com a participação de 26 autoridades de proteção de dados do Espaço Económico Europeu (EEE), nelas se incluindo a CNPD. O objetivo principal da CEF deste ano é conhecer melhor o papel desempenhado pelos EPD nas organizações, se detêm a posição exigida pelos artigos 37.º a 39.º do RGPD e se têm os recursos necessários para o desempenho das suas funções.
Esta ação é feita através de um questionário de matriz comum, de modo a que as respostas obtidas sejam analisadas de forma coordenada e os resultados agregados e objeto de um relatório final do CEPD.
A nível nacional, a CNPD irá contactar diretamente, durante a próxima semana, os EPD notificados à Comissão por todas as organizações públicas e privadas para que participem voluntariamente nesta ação e respondam ao questionário CEF 2023.
Esta não será uma ação de investigação, uma vez que a CNPD pretende, antes de mais, ter um conhecimento mais aprofundado do papel dos EPD nas organizações, para que possa também encontrar formas de melhor apoiar o seu trabalho. Nesse sentido, é de extrema importância, e também do interesse dos EPD, que haja uma grande participação da sua parte na resposta a este questionário. Para garantir uma taxa mais elevada de resposta, o EPD não tem de se identificar nem identificar a organização em causa.
Em 2022, quando decorreu a primeira ação CEF, o tópico de eleição foi a utilização pelo setor público dos serviços de computação em nuvem, na qual a CNPD também participou. Um relatório sobre os resultados dessa iniciativa CEF, e contendo recomendações para as entidades públicas, foi aprovado pelo Comité Europeu em janeiro deste ano.
PCS Advogados
PCS Advogados 