Como tem se dado a implementação da GDPR pelas pequenas e médias empresas? O TikTok respeita a proteção de dados pessoais das crianças que o utilizam? As empresas podem utilizar contact tracing para evitar o contágio do coronavírus? Essas respostas e muito mais, a seguir…
Proteção de Dados e Autoridades
Autorité de Protection des Données – Bélgica
Autoridade belga publica relatório sobre implementação da GDPR por pequenas e médias empresas
Em parceria com a Universidade de Bruxelas, a autoridade organizou reuniões com organizações do setor a fim de identificar o nível de conhecimento e os desafios atuais das pequenas e médias empresas em relação à GDPR. O relatório revelou que os principais desafios são: (i) colaboração com terceiros, como subcontratado; (ii) falta de recursos financeiros para a implementação de medidas e a capacidade de obter informações suficientes; (iii) falta de conhecimento sobre os direitos dos titulares dos dados e (iv) desânimo causado por processos administrativos demorados.
Commission for Personal Data Protection – Bulgária
Comissão Europeia publica relatório analisando e avaliando a GDPR
No dia 24 de junho, a Comissão Europeia publicou relatório avaliando a implementação do regulamento e reconheceu que a maioria dos objetivos foram alcançados, proporcionando um forte conjunto de direitos aplicáveis aos cidadãos e a criação de um novo sistema europeu de governança. Além disso, concluiu que a harmonização entre os Estados-Membros está aumentando e que as empresas estão desenvolvendo uma cultura de conformidade e estão usando, cada vez mais, a proteção de dados como uma vantagem competitiva.
Commissioner for Personal Data Protection – Chipre
A autoridade explicou que, ainda que o acesso a dados de saúde, prontuários médicos e outras informações seja necessário para fornecer tratamento adequado, configura violação à proteção de dados pessoais o acesso a todos os dados de saúde do paciente, como consta no sistema GESY. A autoridade aconselha que o sistema altere sua estrutura arquitetônica, a fim de possibilitar a entrada de profissionais de saúde para acessar parcialmente os dados do paciente, visualizando apenas as informações necessárias para o tratamento em curso.
Office for Personal Data Protection – República Tcheca
A presidente da autoridade, Ivana Janú, realizou fala em audiência pública no Senado e enfatizou a necessidade de esclarecimento das condições sob as quais restrições ou proibições ocorrem. Apontou, ainda, que o papel da autoridade não tem sido respeitado, uma vez que projetos como Smart Quarentine 2.0 não foram submetidos a consulta e, principalmente, não foi concluído o relatório de impacto à proteção de dados pessoais, abrindo a possibilidade para o uso indevido de dados. Por fim, a presidente relembra que é importante que os dados sejam anonimizados, pois esse é o único tratamento contido na declaração do Governo para esse tipo de aplicação (de rastreamento de contato).
Datatilsynet – Dinamarca
Autoridade dinamarquesa aponta que medidas de segurança são insuficientes na região sul do país
A autoridade expõe que, desde 2013, a região sul da Dinamarca utiliza uma unidade de rede para armazenamento temporário de documentos. Foi apurado que a unidade de rede não foi protegida com controle de acesso adequado, e aproximadamente 30.000 funcionários tiveram acesso a todos os documentos armazenados na unidade, com dados comuns, confidenciais e pessoais de categorias específicas, incluindo informações sobre crianças ou grupos vulneráveis. A autoridade determinou que os titulares dos dados fossem informados sobre a violação e fez severas críticas ao sistema de armazenamento utilizado.
Nova iniciativa do Conselho Europeu de Proteção de Dados fornece uma visão geral das decisões
O EDPB publicou um resumo das decisões nos casos tratados sob o chamado “balcão único” ou casos que dizem respeito ao tratamento transfronteiriço de dados. O registro está no site do Conselho de Proteção de Dados.
O município foi multado em 50 mil coroas dinamarquesas por não cumprir sua obrigação como controlador de dados e não implementar medidas de segurança adequadas. O caso em questão mostrou que o município de Lejre tem uma prática de carregar no portal de funcionários do município atas de reuniões com dados pessoais de natureza sensível, incluindo dados infantis. No portal, havia a possibilidade de acesso às informações para grande parte dos funcionários do município, independentemente do envolvimento do funcionário com o caso.
No processo aberto em 30 de junho, a autoridade pretende descobrir se o serviço oferecido pelo TikTok está em conformidade com as regras de proteção de dados. A supervisora Cristina Angela Gulisano afirmou que “O TikTok é muito popular entre as crianças em particular que, de acordo com o GDPR, têm direito a uma proteção especial de suas informações. Portanto, agora estamos analisando a extensão do processamento de dados pessoais no aplicativo e qual é a base legal para o tratamento. Além disso, estamos investigando vários aspectos de segurança do TikTok.”.
European Data Protection Supervisor – EDPS
EDPS publica sua estratégia de atuação para um período de 4 anos (2020-2014)
A estratégia se concentra em três pilares: previsão, ação e solidariedade. A autoridade reforça que trabalhará continuamente para defender e preservar os direitos humanos e que, nos últimos anos, foi possível observar a fragilidade do Estado de Direito e de outros valores fundamentais das instituições democráticas. Na estratégia, a autoridade ainda fala sobre o impacto da pandemia na formulação do plano de ação, uma vez que a crise de saúde elevou a importância da economia digital, bem como a necessidade de garantias efetivas em relação à proteção de dados pessoais.
EDPS publica documento detalhando recomendações sobre utilização de produtos e serviços da Microsoft
O documento enfatiza que quando as administrações públicas mantêm relações contratuais com os prestadores de serviço de TIC, os termos desses contratos devem reforçar o controle das autoridades de proteção de dados sobre como e por que os dados pessoais são tratados. A autoridade ainda recomenda que as funções e responsabilidades dos operadores e suboperadores sejam claramente definidas e monitoradas, a fim de minimizar os riscos para a privacidade dos indivíduos.
A autoridade afirma que a avaliação de impacto é uma das novas e mais valiosas ferramentas de accountability que as instituições pode usar quando tratam dados pessoais, inclusive sensíveis, para medir o impacto e os riscos para os indivíduos. O relatório tem um esquema de perguntas e respostas elaborado a partir das respostas fornecidas no inquérito instaurado pelo EPDS em fevereiro de 2020.
CNIL – França
CNIL publica a versão 2.3 de software de relatório de impacto à proteção de dados pessoais
O software disponibilizado pela autoridade permite que seja realizada busca por palavras-chave no relatório de impacto realizado, arquivo de análises, criação de novas versões da avaliação de impacto, possibilidade de categorizar análises e o gerenciamento da porcentagem de progresso da análise. A ferramenta está disponível em 20 idiomas, incluindo português e inglês.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit – Alemanha
Autoridade alemã publica resultados do processo de consulta sobre anonimização de dados pessoais
A autoridade concluiu que a anonimização é fundamentalmente possível com uma base legal apropriada, incluindo no setor de telecomunicações. O documento relembra a importância da análise de conjunto de dados anonimizados para projetos de pesquisa e modelos de negócio. Aponta, ainda, para a importância da obrigação de exclusão dos dados imediatamente após o uso, como um padrão rigoroso a ser aplicado.
Autoridade alemã elogia decisão da Autoridade Antitruste sobre Facebook
Após autoridade antitruste ter confirmado a alegação de que o Facebook estava abusando de sua posição dominante no mercado, Ulrich Kelber apontou que “o direito da concorrência e a proteção de dados andam de mãos dadas. Os juízes não consideram decisivas as violações da Facebook ao GDPR, no entanto, a autoridade antitruste enfatiza que a criação irrestrita de perfis pela plataforma é um abuso devido aos termos de uso.”.
Data Protection Commission – Irlanda
Autoridade irlandesa publica nota sobre implicações do protocolo “Return to Work Safely“
A autoridade publicou uma resposta ao protocolo criado em conjunto pelo departamento de empresas e pelo departamento de saúde. A autoridade afirma que: (i) os dados utilizados para contact tracing não devem ser utilizados para nenhum outro fim; (ii) formulários devem coletar o mínimo de informação possível necessária para atingir o objetivo e não devem ser utilizados para nenhum outro propósito; (iii) a medição de temperatura deve respeitar os princípios da proporcionalidade e necessidade, baseada em recomendações do departamento de saúde; (iv) deve existir uma base legal para o tratamento de qualquer dado pessoal de funcionários.
Garante per la Protezione dei Dati Personali – Itália
Garante responde a duas perguntas relacionadas ao contact tracing
Para as pergunta “Aplicativos com funções de rastreamento de contato podem ser usados por empresas?” e “Para reduzir o risco de contágio no local de trabalho, existem aplicativos que não tratem dados pessoais?”, a autoridade responde que o uso dos aplicativos de contact tracing é possível, respeitando o art. 6 do GDPR. E o empregador pode recorrer ao uso de aplicativos que não envolvam tratamento de dados pessoais. Utiliza o exemplo de aplicativos que contam o número de pessoas que entram e saem de um local sem, no entanto, identificá-las.
Autoriteit Persoonsgegevens – Holanda
No relatório publicado, é possível notar que a autoridade se concentrou mais na aplicação da legislação em si, já que em 2018 a ênfase estava no estabelecimento de diretrizes e informações acerca do GDPR. Com o fim do período de leniência, a autoridade impôs 4 multas, com um valor total de 2,5 milhões de euros. As violações envolviam acesso a registros médicos, venda de dados de membros, biometria e direito de acesso.
A autoridade multou a empresa em 830 mil euros após receber reclamações sobre os limites estabelecidos pela empresa para a visualização de dados pessoais pelos próprios titulares. Segundo o presidente da autoridade, Aleid Wolfsen, “o acesso a dados pessoais sobre registros de crédito é muito importante. Um registro de crédito negativo pode ter consequências para a obtenção de um empréstimo ou hipoteca. Portanto, é importante poder verificar com rapidez e facilidade quais dados pessoais são tratados sobre você e se isso foi feito de maneira adequada”.
Datainspektionen – Suécia
Após denúncia sobre como a ABB lida com dados pessoais de candidatos a emprego, a autoridade iniciou auditoria da empresa. A autoridade agora faz à ABB uma série de perguntas para descobrir, entre outras coisas, em quais países os dados pessoais do tipo mencionado na reclamação são tratados em conexão com o recrutamento e em que país foi tomada a decisão de tratar os dados pessoais dessa maneira.
Proteção de Dados nas Universidades
Our Digital Footprint under COVID-19: Should We Fear the UK Digital Contact Tracing App?
GUINCHARD, Audrey.
No artigo, a autora questiona o uso seguro do aplicativo desenvolvido pelo Reino Unido, sob direção do NHS X, e com ajuda do setor privado, para realização do rastreamento de contato digital com o objetivo de enfrentar simultaneamente um dos problemas mais relevantes para o problema da vigilância estatal: a pegada digital decorrente do uso de tecnologias e que é a base do “Surveillance Capitalism“.
To the issue of personal information circulation in the national police databases
ISMAILOV, K.
O artigo analisa recentes mudanças nos países da União Europeia no campo da proteção de direitos e liberdades fundamentais dos cidadãos no tratamento de dados pessoais pelas autoridades policiais. O artigo ainda fornece exemplos de modelos de aplicação da lei nos países europeus acerca da circulação de informações pessoais entre as autoridades, chamando atenção para os princípios estabelecidos para o tratamento, como legalidade, justiça e transparência, além de minimização do uso de dados, restrições de armazenamento, integridade e confidencialidade.
Proteção de Dados no Legislativo
No dia 30 de junho, foi aprovado o Projeto de Lei nº 2630/2020, apresentado pelo Senador Alessandro Vieira do CIDADANIA, que institui a Lei Brasileira de Liberdade, Responsabilidade e Transparência na Internet. Foi aprovado o Substitutivo apresentado pelo Senador Angelo Coronel, ressalvados os destaques. O Projeto de Lei foi remetido à Câmara dos Deputados e aguarda votação na Casa.
No dia 03 de julho, foi apresentado pelo Dep. Fed. Nereu Crispim do PSL, o PL 3627/2020 que altera o Marco Civil da Internet para criar mecanismos de verificação de identidade dos perfis ativos em aplicações de internet que atuem como redes sociais e plataforma de registro de ocorrência policial na hipótese de crimes contra a honra cometidos ou divulgados em redes sociais. O Projeto de Lei está no Plenário da Câmara dos Deputados.
Apresentado no dia 30 de junho, pelo Dep. Fed. Luiz Philippe de Orleans e Bragança do PSL, o PL 3573/2020 altera o Marco Civil da Internet para restringir os casos em que é permitida a retirada de conteúdo pelas aplicações de internet, estabelecendo que só poderá ser retirado conteúdo gerado por terceiro por ordem judicial ou com indicação expressa do crime que se está cometendo mediante a divulgação do conteúdo retirado. O PL está em Mesa Diretora da Câmara dos Deputados.
Proteção de Dados no Judiciário
No dia 25 de junho, foi publicada decisão monocrática em que o Ministro Gilmar Mendes não concedeu pedido de medida cautelar para findar o compartilhamento de dados entre a Agência Brasileira de Inteligência e o Departamento Nacional de Trânsito, sob a alegação de o pedido não tinha objeto, já que o contrato administrativo que possibilitaria o compartilhamento ainda não havia sido celebrado, de modo que o compartilhamento não existia até o momento. O Ministro intimou o AGU e o PGR para que, no prazo de dez dias, se manifestem sobre o objeto da ADPF (compartilhamento de dados dos cidadãos entre a ABIN e DENATRAN).