Seja bem-vinde a mais uma edição do Boletim! Nesta 50ª edição, destacamos a realização da primeira Reunião Ordinária do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), […]
Seja bem-vinde a mais uma edição do Boletim!
Nesta 50ª edição, destacamos a realização da primeira Reunião Ordinária do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), no âmbito da ANPD, que teve como objetivo compreender, dentre outros temas, os esforços promovidos para elaboração do Regimento Interno do Conselho, além de realizar aprovação do calendário de reuniões para o ano de 2022.
No contexto internacional, ressaltamos uma interessante cooperação interinstitucional entre três Autoridades de Proteção de Dados que ocorreu recentemente. Após terem recebido um número significativo de reclamações sobre o site de vendas online de roupas vinted.com, as Autoridades da França, Lituânia e Polônia decidiram cooperar para monitorar a conformidade do site com o GDPR. Para tanto, criaram um grupo de trabalho (GT) que concentrou as investigações principalmente no funcionamento do site, mas que vai continuar para abranger outros procedimentos, como os critérios para bloquear uma conta e o período de retenção dos dados.
Por fim, no judiciário, destacamos que foi determinada a suspensão provisória da divulgação, no portal da internet do TJ/PR, dos dados alusivos às receitas, despesas e remuneração dos titulares das serventias do foro extrajudicial. A liminar foi deferida em face de divulgação de acesso irrestrito e em desacordo com a LGPD, no site do Tribunal de Justiça, de diversos dados pessoais dos delegatários e seus colaboradores. Foi indicado também que o Tribunal não realizou o Relatório de Impacto à Proteção de Dados Pessoais, além de não ter aplicado os testes de finalidade, adequação e necessidade, nos termos da LGPD.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
Conselho Nacional de Proteção de Dados (CNPD) realizou a sua 1ª Reunião Ordinária
Foi realizada a 1° Reunião Ordinária do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD). O objetivo da reunião foi abordar os esforços para elaboração do Regimento Interno do Conselho e realizar a aprovação do calendário de reuniões para o próximo ano, dentre outros temas. O Diretor-Presidente da ANPD aproveitou a oportunidade para agradecer o empenho dos Conselheiros e parabenizou a todos pelo evento, destacando as grandes expectativas que existem em torno do CNPD. Durante o encontro, os membros do Conselho emitiram nota de apoio à ANPD: “O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, declara a importância e a essencialidade da Autoridade Nacional da Proteção de Dados, como autoridade administrativa central de interpretação, aplicação e fiscalização da Lei Geral de Proteção de Dados Pessoais, visando a segurança jurídica e a previsibilidade do tema da proteção de dados pessoais no sistema jurídico brasileiro”.
Bélgica
Segundo reportagens publicadas na imprensa Belga, seria possível descobrir a situação acerca da vacinação de uma pessoa na plataforma Bruvax, mediante a simples indicação do respectivo número de registro nacional. Para a Autoridade, isso pode constituir um sério vazamento de dados de saúde. Nesse sentido, segundo a GDPR, qualquer vazamento de dados pessoais que possa criar um risco para os direitos e liberdades dos indivíduos deve ser notificado à Autoridade de Proteção de Dados, no máximo 72 horas após a sua descoberta. Ocorre que, mesmo diante de tais diretrizes, a Autoridade Belga ainda não havia recebido notificação do COCOM (Comissão Comunitária Comum, órgão competente nas políticas de saúde na região de Bruxelas) sobre o vazamento em questão. Por conseguinte, a Autoridade decidiu contactar a COCOM para solicitar mais informações, em particular sobre as medidas de segurança implementadas quando foi informada de uma potencial falha no seu sistema, bem como a análise feita no tocante à necessidade de notificação ou não do incidente. Os dados relativos à saúde, como os dados de vacinação, são informações consideradas sensíveis e, por isso, figuram entre as prioridades do Plano Estratégico 2020-2025 da Autoridade Belga.
Dinamarca
A Autoridade Dinamarquesa de Proteção de Dados apontou que regularmente recebe questionamentos acerca da titularidade da responsabilidade pelos dados e eventuais incidentes de segurança, quando fornecedores privados realizam tarefas ou prestam serviços a autoridades públicas. Diante disso, a Autoridade elaborou um relatório que contém as principais diretrizes sobre o tema, o qual complementa o documento anteriormente lançado sobre os papéis dos controladores e operadores, trazendo mais exemplos e casos práticos voltados para a discussão.
European Data Protection Board
Autoridade polaca multou o Banco Millennium por ter deixado de notificar incidente de segurança
A Autoridade Polaca tomou conhecimento da violação de dados pessoais a partir de uma reclamação apresentada contra o banco. A reclamação dizia respeito ao extravio, por uma empresa prestadora de serviços, de correspondências contendo dados pessoais, tais como: nome, sobrenome, número de identificação pessoal, endereço cadastrado, números de contas bancárias e número de identificação atribuído aos clientes do banco. Apesar dos reclamantes serem informados do fato pelo banco, tal comunicação não atendeu aos requisitos estabelecidos no GDPR. No decorrer do caso, foi descoberto que o controlador de dados não cumpriu as suas obrigações com relação ao incidente investigado, porque o banco considerou que o risco de efeitos adversos para as pessoas afetadas pela violação era “médio” e, portanto, optou por não notificar nem a Autoridade de Proteção de Dados, nem por cumprir integralmente a obrigação de comunicação aos titulares dos dados. Diante dos fatos, foi aplicada uma multa no valor de uma multa de 80.000 EUR.
França
Após terem recebido um número significativo de reclamações sobre o site de vendas online de roupas vinted.com, operado pela empresa da Lituânia Vinted UAB, as Autoridades de proteção de dados da França, Lituânia e Polônia decidiram cooperar para monitorar a conformidade do site com o GDPR. Para tanto, as Autoridades criaram um grupo de trabalho (GT), com a ajuda do Comitê Europeu para a Proteção de Dados (AEPD), que teve a sua primeira reunião no dia 8 de novembro. O GT se concentrou principalmente no funcionamento do site, que exige o envio de uma cópia digitalizada da carteira de identidade para liberar a possibilidade de transações na conta dos usuários. As investigações vão continuar e também irão abranger o procedimento e os critérios para bloquear uma conta, bem como os períodos de retenção de dados. Com a Vinted tendo seu estabelecimento principal na Lituânia, a Autoridade de Proteção de Dados do país está atuando enquanto ente principal na investigação.
Itália
Autoridade Italiana lançou guia para auxiliar como escolher e guardar senhas de forma segura
A Autoridade Italiana lançou um novo guia com dicas básicas para definir senhas seguras e gerenciá-las com sabedoria. O novo documento explica, por exemplo, como escolher uma boa senha, como administrar todas as que fazem parte do dia a dia (desde as relacionadas a acesso a aparelhos, até as de diversos serviços de e-mail, compras online, etc.) de forma a não se tornarem presas fáceis para qualquer pessoa mal-intencionada. Para a Autoridade, a primeira linha de defesa dos dados pessoais é sempre a consciência de como gerenciar, armazenar e divulgar informações sobre nós. O guia, que tem caráter informativo, faz parte das atividades básicas direcionadas à educação digital que se enquadram nas missões e objetivos da Autoridade.
Muitos jornais, inclusive em plataformas online, divulgaram junto com outros dados pessoais, as imagens da criança morta na província de Viterbo. Diante da prática contínua de publicação de fotos não criptografadas de crianças envolvidas em eventos trágicos, a Autoridade Italiana considera necessário o “recall” da imprensa, sites de informação e redes sociais, para que respeitem as normas éticas no exercício da atividade jornalística e a Carta de Treviso, que prevêem maiores salvaguardas e garantias dos mais jovens. Essas proteções exigem que – mesmo na presença de fatos de interesse público, como certamente é a trágica história da criança assassinada, e na salvaguarda do direito/dever de informar a comunidade – os jornalistas se abstenham de divulgar de forma excessiva dados pessoais e detalhes que tornem a criança identificável, especialmente fotos e imagens. A Autoridade convidou, portanto, os meios de comunicação e as redes sociais a não divulgarem mais a fotografia da criança, reservando as intervenções da sua competência a jornais que tenham violado as regras éticas.
Irlanda
Em dezembro de 2020, a Autoridade Irlandesa (DPC) publicou um rascunho do material de orientação “Children Front and Centre: Fundamentals for a Child-Oriented Approach to Data Processing” (os princípios básicos). Esses Princípios Básicos foram inspirados pelo resultado da consulta pública organizada pelo DPC no início de 2019, bem como por uma extensa análise jurídica das principais dinâmicas envolvendo os direitos da criança durante 2019 e no ano de 2020. Entre 18 de dezembro de 2020 e 31 de março de 2021, o DPC organizou uma consulta pública sobre a versão preliminar dos Princípios Básicos, a fim de dar às partes interessadas a oportunidade final de expressar suas opiniões. Após essa consulta, a Autoridade publicou este relatório para delinear o nível de engajamento recebido e para resumir as principais tendências e temas emergentes, bem como as respostas do DPC a tais feedbacks. Clique aqui para ler o que as partes interessadas têm a dizer sobre os Princípios Básicos .
Peru
O Ministério da Justiça e Direitos Humanos (MINJUSDH) do Peru, por meio da Autoridade Peruana de Proteção de Dados Pessoais (ANPD), divulgou recentemente uma resolução para determinar que uma entidade financeira bloqueasse os dados pessoais de um cidadão que recebia constantes ligações e torpedos para o seu telefone celular para cobrar uma dívida de uma terceira pessoa. A resolução foi emitida após uma reclamação apresentada pelo cidadão em questão, o qual não mantinha vínculo com a instituição financeira (não possuía contas ou cartões de crédito) e, ainda assim, recebia constantemente ligações e mensagens de texto. No contexto do Peru, o direito de cancelamento ou eliminação permite ao cidadão solicitar a uma empresa ou entidade a eliminação dos seus dados quando já não sejam necessários para o fim para que foram coletados, quando o prazo para o seu tratamento tiver expirado ou quando o consentimento anteriormente concedido for revogado. Dessa maneira, se titulares recebem ligações de empresas com as quais não têm relacionamento, ou não desejam que as empresas tratem seus dados para fins publicitários, os mesmos podem solicitar o apagamento ou oposição de seus dados por meio de procedimento administrativo a cargo da ANPD.
Proteção de Dados nas Universidades
Dados de conexão Wi-Fi e campus universitário: estudos sobre dinâmica humana e privacidade
PAVAN, Luis Henrique; OLIVEIRA, Lucas Fernandes; GOMES, Fernandes de Oliveira e OUTROS.
A ciência de dados tem aumentado a capacidade de análise de edifícios, infraestruturas e sistemas urbanos, ampliando o alcance e o impacto das decisões de gestão e projeto. Na metodologia utilizada no texto, a interdependência entre a privacidade dos usuários e os algoritmos é essencial em face da Lei Geral de Proteção de Dados Pessoais e da interdisciplinaridade da pesquisa. Apresentam-se três estudos tendo por base o uso de dados de acesso à rede Wi-Fi da Universidade Federal de Santa Catarina. O primeiro considera a mobilidade pelos deslocamentos externos da comunidade acadêmica até o campus. No segundo, o ambiente pedagógico e as relações entre o deslocamento interno e o território da universidade são abordadas, focalizando interações presenciais. O último estudo avalia a densidade demográfica dos edifícios através do número de conexões Wi-Fi como uma das ferramentas possíveis para o planejamento das atividades presenciais interrompidas devido a COVID-19. Visando facilitar o compartilhamento e acelerar a visualização destas informações, o Kepler.gl é utilizado como ferramenta de visualização e análise dos dados obtidos. Os resultados fornecem maior compreensão sobre mobilidade extra-campus e interações humanas intra-campus, expondo a fragmentação territorial universitária. Faz-se também um reposicionamento conceitual da produção urbana das Smart Cities, considerando negativas as adesões acríticas ao conceito ao propor um fomento do campus enquanto espaço público de aprendizado e de transformação social.
Towards Practical Cancelable Biometrics for Finger Vein Recognition
KAUBA, Cristof; MAIORANA, Emanuele; CAMPIZIO, Campisi
A biometria hoje se tornou a solução preferida para sistemas que requerem uma autenticação segura. No entanto, o uso de características biométricas levanta preocupações significativas com relação à proteção e privacidade de dados pessoais. Vários esquemas de proteção do modelo foram, portanto, propostos para ocultar os identificadores empregados, ao mesmo tempo que garantem a capacidade de reconhecer usuários de forma eficiente. Neste artigo, foram propostos e analisados três abordagens diferentes que geram modelos canceláveis a partir de recursos com base em “finger vein”. Além disso, uma análise completa dos métodos envolvendo biometria foi conduzida para investigar seu impacto no desempenho de reconhecimento dos indivíduos, bem como sua segurança em termos de “renovação e desvinculação” dos dados.
Proteção de Dados no Legislativo
O Projeto de Lei 3944/2021, proposto pela Deputada Caroline de Toni (PSL/SC), tem como objetivo disciplinar o acesso ao prontuário médico nos casos de suspeita de crime contra dignidade sexual praticado contra crianças, adolescentes, idosos, pessoas com deficiência ou incapazes sob qualquer forma. O PL estabelece que é vedado ao médico (i) permitir o manuseio e o conhecimento dos prontuários por pessoas não obrigadas ao sigilo profissional quando sob sua responsabilidade; (ii) liberar cópias do prontuário sob sua guarda sem autorização do paciente ou de seu representante legal, salvo para atender algumas hipóteses específicas. Na justificativa do projeto é apontado que ele busca “elevar ao nível legal a proteção de dados médicos contidos no prontuário”, além de possibilitar uma “intermediação mais robusta pelo Parlamento” sobre o tema.. Atualmente, o PL está aguardando parecer do Relator na Comissão de Seguridade Social e Família (CSSF).
Proteção de Dados no Judiciário
TJ/PR determinou a suspensão de notários e registradores com base na LGPD
Após determinação de um desembargador do TJ/PR, foi suspensa provisoriamente a divulgação, no portal da internet do TJ/PR, dos dados alusivos às receitas, despesas e remuneração dos titulares das serventias do foro extrajudicial. O magistrado considerou que a forma como a Corregedoria do Tribunal aplicou a resolução 389/21, do CNJ, violou a LGPD. A liminar foi deferida nos autos de mandado de segurança impetrado por todas as atribuições do extrajudicial paranaense (Anoreg-PR, Aripar, Colnot-PR, IEPTB-PR) em face de divulgação de acesso irrestrito e sem os cuidados da LGPD, no site do Tribunal de Justiça, de diversos dados pessoais dos delegatários e seus colaboradores. Nos autos, foi indicado que o Tribunal não realizou o relatório de impacto à proteção de dados pessoais a que aludem os artigos 5º, inciso XVII, e 38 da lei em questão, e que não aplicou os testes de finalidade, adequação e necessidade, quando a própria resolução 389 do CNJ determina que a transparência deve ser aplicada pelos tribunais do país nos termos da Lei Geral de Proteção de Dados Pessoais.
