Seja bem-vinde a mais uma edição do Boletim! Nesta 49ª edição, destacamos que o Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) aprovou de forma unânime o Regulamento […]
Seja bem-vinde a mais uma edição do Boletim!
Nesta 49ª edição, destacamos que o Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) aprovou de forma unânime o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, o qual tem como principal objetivo o fomento a uma cultura de proteção de dados no país, além de estabelecer os procedimentos inerentes ao processo de fiscalização e as regras a serem observadas no âmbito do processo administrativo sancionador da Autoridade. A resolução entra em vigor na data de sua publicação e o primeiro ciclo de monitoramento terá início a partir de janeiro de 2022.
Ainda no contexto brasileiro, ressaltamos que a ANPD e a Agência Espanhola de Proteção de Dados (AEPD), firmaram recentemente um Memorando de Entendimento (MoU). O referido MoU consiste no estabelecimento das bases para a colaboração institucional entre as duas Autoridades, com a finalidade de promover a disseminação do direito à proteção de dados pessoais, garantir a cooperação conjunta na matéria, além de fornecer um quadro para a troca de conhecimentos técnicos e melhores práticas.
Na academia, destacamos o lançamento da obra “Privacidade e Proteção de Dados de Crianças e Adolescentes”, primeira sobre o tema no Brasil, que foi organizada e publicada pelo ITS Rio. De acesso livre e gratuito, o livro conta com textos dos maiores especialistas no país, explorando temas práticos e controversos, desde os requisitos para o tratamento de dados, a compreensão dos interesses das crianças e as possíveis aplicações das tecnologias. Por fim, salientamos que a Associação Data Privacy de Pesquisa participou da obra com o artigo denominado “Entre o abusivo e o excessivo: Novos contornos jurídicos para o tratamento de dados pessoais de crianças e adolescentes na LGPD”, escrito por Rafael Zanatta, Júlia Mendonça e Jonas Valente.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
ANPD foi aceita como membro da Global Privacy Enforcement Network (GPEN)
Em 2007, o Conselho da OCDE adotou uma Recomendação sobre Cooperação Transfronteiriça na Aplicação de Leis de Proteção à Privacidade. A recomendação previa que “os países devem promover o estabelecimento de uma rede informal de autoridades de aplicação da lei de privacidade”, com o objetivo de “discutir os aspectos práticos da cooperação na aplicação da lei, compartilhar as melhores práticas para enfrentar os desafios transfronteiriços, trabalhar para desenvolver prioridades de fiscalização compartilhadas e apoiar iniciativas conjuntas de fiscalização e campanhas de conscientização”. Assim, a GPEN conecta autoridades de enforcement de todo o mundo para promover e apoiar a cooperação na aplicação internacional de leis de proteção à privacidade e proteção de dados. A expectativa é que, com a inclusão da ANPD no rol de membros, possa existir um intercâmbio constante de informações e conhecimentos com as outras Autoridades que fazem parte da rede. Espera-se que seja um espaço para discutir os aspetos práticos da cooperação na aplicação das leis de privacidade e proteção de dados, compartilhar as melhores práticas para enfrentar os desafios transfronteiriços, trabalhar para desenvolver prioridades de fiscalização compartilhadas e apoiar iniciativas conjuntas de fiscalização e campanhas de conscientização.
O Conselho Diretor da ANPD deliberou sobre a aprovação do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador. Aprovado de forma unânime, o regulamento tem como principal objetivo o fomento a uma cultura de proteção de dados no país, além de estabelecer os procedimentos inerentes ao processo de fiscalização e as regras a serem observadas no âmbito do processo administrativo sancionador da Autoridade. A expectativa é que, com o Regulamento, a ANPD possa planejar e subsidiar a atuação fiscalizatória com informações relevantes, analisar a conformidade dos agentes de tratamento no tocante à proteção de dados pessoais, considerar o risco regulatório em função do comportamento dos agentes de tratamento, de modo a alocar recursos e adotar ações compatíveis com o risco, prevenir práticas irregulares e atuar na busca da correção de práticas irregulares e da reparação ou minimização de eventuais danos. A resolução entra em vigor na data de sua publicação e o primeiro ciclo de monitoramento terá início a partir de janeiro de 2022.
ANPD assinou Memorando de Entendimento com a Agência Espanhola de Proteção de Dados
O Diretor-Presidente da ANPD, Waldemar Gonçalves Júnior e a Diretora da Agência Espanhola de Proteção de Dados (AEPD), Mar España Martí, assinaram um Memorando de Entendimento (MoU) destinado a promover o desenvolvimento de ações conjuntas na divulgação e na aplicação prática da regulamentação sobre proteção de dados pessoais. O MoU consiste no estabelecimento das bases para a colaboração institucional entre duas Autoridades, com a finalidade de promover a disseminação do direito à proteção de dados pessoais, garantir a cooperação conjunta na matéria, além de fornecer um quadro para a troca de conhecimentos técnicos e melhores práticas, com o objetivo de fortalecer as capacidades das equipes de ambas as partes. O evento coincide com a entrada da ANPD como membro da Rede Ibero-Americana de Proteção de Dados, fórum integrador de atores públicos e privados, criado em 2003, com a finalidade de fomentar, manter e fortalecer um estreito e permanente intercâmbio de informações, experiências e conhecimentos, assim como promover os desenvolvimentos normativos necessários para garantir uma regulação avançada do direito à proteção de dados pessoais em um contexto democrático, levando em consideração, ainda, a necessidade do contínuo fluxo de dados entre países que possuem diversos laços em comum e a preocupação com a efetivação desse direito.
Estados Unidos
A Federal Trade Commission (FTC) anunciou hoje uma regra recentemente atualizada que fortalece as salvaguardas de segurança de dados que as instituições financeiras são obrigadas a implementar para proteger as informações financeiras de seus clientes. Nos últimos anos, violações de dados generalizadas e ataques cibernéticos resultaram em danos significativos aos consumidores, incluindo perda monetária, roubo de identidade e outras formas de dificuldades financeiras. A Safeguards Rule atualizada pela FTC exige que instituições financeiras não bancárias, como corretores de hipotecas, revendedores de veículos motorizados e credores de pagamentos, desenvolvam, implementem e mantenham um sistema de segurança abrangente para assegurar que as informações de seus clientes estejam protegidas. De acordo com as novas atualizações, as instituições também devem explicar suas práticas de compartilhamento de informações, especialmente as salvaguardas administrativas e técnicas utilizadas para acessar, coletar, distribuir, processar, proteger, armazenar, usar, transmitir, descartar ou de outra forma lidar com as informações dos clientes. Além disso, as instituições financeiras serão obrigadas a designar um único indivíduo qualificado para supervisionar seu programa de segurança da informação e que deverá reportar-se periodicamente ao conselho de diretores da organização ou a um executivo sênior encarregado da segurança da informação.
FTC publicou um relatório que revela que muitos ISPs usam dados de navegação na web e agrupam consumidores usando características confidenciais, como raça e orientação sexual
De acordo com um relatório da equipe da FTC sobre as práticas de coleta e uso de dados dos provedores de serviços de Internet (ISPs), muitos deles coletam e compartilham muito mais dados sobre seus clientes do que o esperado – o que pode incluir acesso a todo o tráfego da Internet e dados de localização em tempo real -, enquanto falham em oferecer aos consumidores escolhas significativas sobre como tais dados podem ser utilizados. O relatório decorreu de ordens que a FTC emitiu em 2019 para seis provedores de serviços de Internet, os quais compõem cerca de 98% do mercado de Internet móvel: (i) AT&T Mobility LLC; (ii) Verizon Wireless; (iii) Charter Communications Operating LLC; (iv) Xfinity; (v) T-Mobile US Inc ; e (vi) Google Fiber Inc. Conforme observado na investigação, essas empresas evoluíram para gigantes da tecnologia que oferecem não apenas serviços de Internet, mas também uma gama de outros serviços, incluindo conteúdo próprio, dispositivos inteligentes, publicidade, entre outros, o que aumentou o volume de informações que são capazes de coletar sobre seus clientes. Desse modo, o documento identificou várias práticas de coleta de dados preocupantes entre muitos dos ISPs, incluindo combinações de dados pessoais, uso de aplicativos e de navegação na web para direcionar os anúncios, até classificação de consumidores em categorias por meio de dados sensíveis( como raça e orientação sexual), além do compartilhamento de dados de localização em tempo real com terceiros.
Espanha
A Agência Espanhola de Proteção de Dados (AEPD) publicou uma nota técnica que inclui quatorze mal-entendidos relacionados com o uso da biometria e como eles afetam a proteção de dados. O documento, dirigido a encarregados de Proteção de Dados e outros agentes, visa oferecer informações sobre as confusões e imprecisões mais comuns que costumam estar associadas ao uso dessa tecnologia, para facilitar a compreensão das implicações de tal complexo tipo de tratamento. A nota técnica foi desenvolvida em conjunto com a European Data Protection Board no âmbito da colaboração que a AEPD mantém com várias instituições nacionais e internacionais. Entre os equívocos mais comuns relacionados à biometria está a afirmação de que os sistemas de autenticação e identificação biométrica são mais seguros para os usuários. A Agência alerta que o acesso não autorizado aos dados biométricos em um sistema permitiria ou facilitaria o acesso nos demais sistemas que utilizam esses mesmos dados. Isso porque, acabaria tendo efeito semelhante a usar a mesma senha em muitos sistemas diferentes e, ao contrário dos sistemas baseados em senhas, uma vez que as informações biométricas tenham sido comprometidas, elas não podem ser “alteradas”. Por fim, outro alerta feito é que as informações biométricas estão sendo armazenadas em cada vez mais entidades e dispositivos, aumentando exponencialmente a probabilidade de uma violação da segurança de tais informações.
França
O presidente da Autoridade Francesa (CNIL) notificou a empresa privada Francetest para garantir que os dados de saúde recolhidos pelas farmácias da rede durante os testes de rastreio COVID-19 sejam efetivamente protegidos. Isso porque, no dia 27 de agosto de 2021, a CNIL recebeu uma denúncia anônima indicando a existência de uma violação de segurança que afetava o francetest.fr, um site publicado por uma empresa privada. Tal violação dizia respeito aos dados utilizados pela Francetest no âmbito de um serviço que disponibiliza às farmácias para simplificar a coleta de dados dos indivíduos que realizam testes antigênicos para SARS-CoV-2 e facilitar a sua transmissão para a plataforma SI-DEP (Plataforma implementada pelo Ministério da Saúde Francês para centralizar os resultados dos exames). A CNIL realizou averiguações online e nas instalações da empresa com o objetivo de investigar as circunstâncias do incidente de segurança, além de verificar as medidas tomadas pela empresa. Diante disso, a Autoridade descobriu que a empresa havia adotado algumas medidas para lidar com a vulnerabilidade que causou a violação de dados, no entanto, verificou que o serviço Francetest ainda possui várias deficiências, considerando que: (i) os dados de saúde são hospedados por um provedor de serviços que não possui aprovação HDS (hospedagem de dados de saúde); (ii) os processos de autenticação não são robustos o suficiente; (iii) os procedimentos de criptografia utilizados são fracos; (iv) e o servidor de registro (registro das ações das pessoas que acessam a ferramenta) atividades está incompleto. Diante disso, o presidente da CNIL decidiu notificar a empresa para que sejam tomadas todas as medidas necessárias para garantir a segurança dos dados de saúde, no prazo de dois meses.
Itália
Autoridade Italiana iniciou investigação para evitar “ouvintes curiosos”
Sensores de smartphone, principalmente seus microfones, podem permanecer ativos mesmo quando os dispositivos não estão sendo utilizados. Diante disso, eles podem ser utilizados para coletar informações, as quais podem ter a sua finalidade desviada para utilização, por exemplo, para fins de marketing. Conforme destacado pela Autoridade, um ponto que chama atenção atualmente é que, quando é feito o download de um aplicativo, dentre as permissões de acesso solicitadas no momento da instalação, sempre está incluído o uso do microfone, o que se tornou um fenômeno generalizado. Muitas vezes, como usuários, concedemos essas permissões sem pensar muito e sem nos informar o suficiente sobre o uso que será feito de nossos dados. Diante disso, o Garante iniciou uma investigação sobre os aplicativos mais baixados para verificar se eles adquirem dados pelo microfone de nossos smartphones mesmo quando não estão sendo utilizados . De qualquer forma, para evitar que os titulares se exponham a uma escuta indiscreta, a Autoridade também emitiu algumas recomendações de práticas que podem ser acessadas aqui.
Irlanda
Comissão de Proteção de Dados impôs uma multa à Twitter International Company
A Comissão de Proteção de Dados da Irlanda (DPC) decidiu impor uma multa à Twitter International Company, decisão que agora foi mantida no Tribunal do Circuito de Dublin. O pedido de confirmação da decisão de aplicar a multa administrativa de € 450.000 foi efetuado com base no Artigo 143 da GDPR. O inquérito foi iniciado em janeiro de 2019, após uma notificação de violação do Twitter, a qual ocorreu por meio de um bug no processador TIC, Twitter Inc. Nesse sentido, caso um usuário do Twitter que tinha uma conta protegida, ao usar o Twitter no Android, mudasse seu endereço de e-mail, isso tornaria sua conta desprotegida. O objetivo principal do Inquérito foi examinar questões relativas aos procedimentos de notificação da TIC sobre o incidente, ao invés de examinar as questões principais relacionadas à própria violação. Assim, foi verificado que o Twitter informou sobre o ocorrido a DPC em 8 de janeiro de 2019, no entanto, de acordo com a decisão, a DPC deveria ter sido notificada da violação no máximo até 3 de janeiro de 2019, o que implicou na aplicação da referida penalidade.
Reino Unido
Foi emitida Declaração conjunta sobre as expectativas globais de privacidade de empresas de videoconferência
Em julho de 2020, seis autoridades de proteção de dados e privacidade da Austrália, Canadá, Gibraltar, Hong Kong SAR, China, Suíça e Reino Unido assinaram em conjunto uma carta aberta a empresas de videoconferência (VTC). A carta destacou as preocupações sobre se as salvaguardas de privacidade estavam acompanhando o rápido aumento no uso de serviços VTC durante a pandemia global e forneceu às empresas VTC alguns princípios orientadores para lidar com os principais riscos à privacidade e proteção de dados. Os signatários conjuntos convidaram cinco das maiores empresas VTC para responder à carta. Microsoft, Google, Cisco e Zoom responderam, informando como eles levam os princípios em consideração no projeto e desenvolvimento de seus serviços. Após uma revisão das respostas, os signatários conjuntos se envolveram ainda mais com essas empresas para entender melhor as etapas que elas tomam para implementar, monitorar e validar as medidas de privacidade e segurança postas em prática. O trabalho permitiu que as autoridades se engajassem, de forma coordenada e com voz uniforme, com algumas das maiores empresas de tecnologia, cujos serviços são utilizados em todo o mundo. Além disso, foi dada a essas empresas a oportunidade de explicar sua abordagem à proteção de dados e privacidade, por meio da interação direta e prática com um conjunto da comunidade reguladora de privacidade global que representa cidadãos de jurisdições em quatro continentes.
Proteção de Dados nas Universidades
Privacidade e Proteção de Dados de Crianças e Adolescente
ITS Rio
Crianças e adolescentes navegam, de forma cada vez mais intensa, em ambientes digitais e conectados. A proposta desta obra é a de analisar a importância de uma discussão mais ampla sobre a privacidade e a proteção de dados de crianças e adolescentes no Brasil, diante dos riscos e danos apresentados por esses espaços. O Livro “Privacidade e Proteção de Dados de Crianças e Adolescentes” é a primeira obra específica sobre o tema no Brasil. Destacamos que a Associação Data Privacy de Pesquisa teve um artigo publicado no livro, denominado “Entre o abusivo e o excessivo: Novos contornos jurídicos para o tratamento de dados pessoais de crianças e adolescentes na LGPD”, escrito por Rafael Zanatta, Júlia Mendonça e Jonas Valente. De acesso livre e gratuito, a obra conta com textos dos maiores especialistas no país, explorando temas práticos e controversos, desde os requisitos para o tratamento de dados, a compreensão dos interesses das crianças e as possíveis aplicações das tecnologias.
Privacy and Data Protection Magazine
Universidade Europeia
Após o número inaugural, a Privacy and Data Protection Magazine, Revista Científica da Universidade Europeia, prossegue o seu compromisso de publicação regular, com uma edição em que são abordados temas de proteção de dados a partir de um estudo sociológico sobre o consumo na sociedade atual. A par de temas clássicos, o atual número investe no tema da inteligência artificial, quer através da publicação da proposta de regulamento apresentada pela Comissão Europeia, quer através da revisão e expansão de obras que versam sobre o tema.
BIONI, Bruno; EILBERG, Daniela.
O Artigo, escrito para a revista QuatroCincoUm retoma a pesquisa “Dados Virais”, produzida pela Associação Data Privacy de Pesquisa, que sistematiza como o poder público, nas mais diferentes esferas da federação, desenvolveu e adquiriu soluções tecnológicas de combate à pandemia. Após a realização de cerca de oitocentos pedidos de lei de acesso à informação, foi feita uma cartografia do território brasileiro que joga luz sobre a constituição de um novo mercado — dado o alto número de parcerias públicas e privadas. Ao todo, foram mapeadas mais de 250 tecnologias e mais de cinquenta atores econômicos que compõem uma cadeia econômica bastante complexa. Assim, o texto mostra qual foi o legado do projeto e o que ele pode nos dizer sobre os rumos que o Estado Brasileiro tomará em relação à gestão pública dos dados.
Boletim da Infância e Privacidade (BIP)
Associação Data Privacy Brasil de Pesquisa
O Boletim da Privacidade e Infância (BIP), produzido pela Associação Data Privacy Brasil de Pesquisa em parceria com o Instituto Alana, teve como objetivo selecionar e analisar quinzenalmente os principais debates e novidades envolvendo a privacidade e proteção de dados de crianças e adolescentes. Dentro do recorte proposto, foram acompanhados os desdobramentos das autoridades de proteção de dados em todo o mundo, do legislativo brasileiro, produções acadêmicas, além das principais notícias sobre a temática. O BIP foi iniciado em agosto de 2020, com duração de 6 meses, tendo sido produzidas 13 edições. Como produto final da pesquisa realizada, foi desenvolvido um relatório com uma curadoria e análise dos principais acontecimentos dentro do período da pesquisa, o qual foi lançado no Mês das Crianças da Associação Data Privacy de Pesquisa em 2021, junto com o Instituto Alana.
Proteção de Dados no Legislativo
Proposto do projeto de lei para a criação do Cadastro Infantojuvenil Nacional
O Projeto de Lei 3631/2021, proposto pelo Deputado José Nelto(PODE/GO), tem como objetivo instituir a realização do cadastro infantojuvenil nacional de informações visando a proteção de crianças e adolescentes. O PL propõe a inserção no cadastro infantojuvenil dos indivíduos que possuam condenação transitada em julgado pelos crimes de: (i) ter qualquer tipo de ligação carnal ou praticar outro ato libidinoso com menor de 14 anos; (ii) mostrar imagens, vídeos ou mídias indevidas como, cena de sexo explícito ou pornográfica que abrange criança ou adolescentes; (iii) envolver, obrigar ou submeter criança ou adolescente à prostituição ou à exploração sexual, entre outros delitos. Para a construção do referido cadastro, será obrigatório o registro de dados como RG e CPF, foto, além do endereço completo e atualizado, os quais poderão ser acessados “por membros do Ministério Público e do Poder Judiciário, bem como, demais autoridades, conforme regulamentação pelo Executivo”. Atualmente, o PL está aguardando despacho do presidente da Câmara dos Deputados
Proposto projeto de lei que trata sobre cadastro de consumidores para comércio
O Projeto de Lei 3320/2021, proposto pelo Deputado José Nelto (PODE/GO), discorre sobre o fornecimento pelo consumidor de dados pessoais para cadastro no comércio na forma de varejo. O PL possui apenas dois artigos e propõe que “Fica consentido ao consumidor o fornecimento de dados pessoais para cadastro no comércio varejista, salvo nos casos em que lei especifica”, determinando que tal “fornecimento” de dados ocorra de forma facultativa. Atualmente, o PL está aguardando despacho do presidente da Mesa Diretora da Câmara dos Deputados.
