Seja bem-vinde a mais uma edição do Boletim! No primeiro Boletim do Observatório da Privacidade de 2022, em sua 52ª edição, destacamos que a ANPD e o Tribunal Superior Eleitoral […]
Seja bem-vinde a mais uma edição do Boletim!
No primeiro Boletim do Observatório da Privacidade de 2022, em sua 52ª edição, destacamos que a ANPD e o Tribunal Superior Eleitoral publicaram o Guia Orientativo “Aplicação da Lei Geral de Proteção de Dados Pessoais por agentes de tratamento no contexto eleitoral”. O documento traz uma série de orientações práticas sobre a aplicação da LGPD para as eleições de 2022, além de fazer diversas recomendações e indicações de boas práticas a serem seguidas pelos candidatos, partidos políticos e coligações.
No contexto internacional, ressaltamos que a Autoridade Francesa (CNIL) constatou que os sites facebook.com, google.fr e youtube.com disponibilizam apenas um botão para a aceitação imediata de cookies, sem fornecer uma solução equivalente para permitir que o usuário recuse os mesmos. Diante disso, a CNIL determinou a aplicação de multas de mais de 150 milhões de euros a tais empresas, além de ordenar que elas disponibilizem aos usuários localizados na França, um meio de recusar cookies tão simples quanto o existente para aceitá-los, a fim de garantir a liberdade de seu consentimento.
Por fim, destacamos no legislativo brasileiro o Projeto de Lei 4483/2021, proposto pelo Deputado Miguel Lombardi (PL/SP). Tal projeto tem como objetivo dispor sobre a disponibilização pelas instituições financeiras de um canal denominado “SOS fraude”, para possibilitar um atendimento imediato a clientes que tenham sido vítimas de golpes, roubos de dados pessoais ou outra ação fraudulenta que possibilite a invasão de dados bancários. Atualmente, o PL está aguardando despacho do Presidente da Câmara dos Deputados.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
Iniciando o ano de eleições, a ANPD e o Tribunal Superior Eleitoral, fruto de um trabalho em conjunto, publicaram o Guia Orientativo “Aplicação da Lei Geral de Proteção de Dados Pessoais por agentes de tratamento no contexto eleitoral”. O documento traz uma série de orientações práticas sobre a aplicação da LGPD para as eleições de 2022, além de explicar e esclarecer os aspectos obrigatórios da lei no contexto eleitoral. O texto também faz uma série de recomendações e indicações de boas práticas a serem seguidas pelos candidatos, partidos políticos e coligações. Essa primeira versão está aberta a comentários e contribuições pela sociedade e as sugestões podem ser enviadas para o e-mail da Coordenação Geral de Normatização da ANPD (normatizacao@anpd.gov.br) ou, ainda, pela Ouvidoria do TSE.
ANPD iniciou fiscalização do incidente envolvendo o Ministério da Saúde e Conecte SUS
Diante da repercussão sobre o incidente de segurança ocorrido no site do ConecteSUS, do Ministério da Saúde, a Autoridade Nacional de Proteção de Dados informou que está ciente e passou a acompanhar o caso. Nesse sentido, a ANPD sinalizou também que o Ministério da Saúde foi notificado para prestar esclarecimentos, conforme determina a Lei Geral de Proteção de Dados. Ressalte-se, ainda, que o Gabinete de Segurança Institucional – GSI e a Polícia Federal foram contatados para que possam cooperar com a investigação e a fiscalização.
A Diretora da ANPD, Miriam Wimmer, participou do Global Technology Summit 2021, evento organizado pelo Centro Carnegie em parceria com o Ministério das Relações Exteriores da Índia. Em sua sexta edição, com o tema ‘Global Meets Local’, o evento teve como objetivo central discutir a natureza inovadora da tecnologia, seus impactos na geopolítica, avaliar seus efeitos globais, com um olhar atento às realidades de países emergentes. Realizado em formato híbrido, o encontro reuniu especialistas da indústria, legisladores, acadêmicos, cientistas e outras partes interessadas de todo o mundo. Com participações de diversos atores relevantes no cenário internacional, como Boris Johnson, Primeiro-ministro do Reino Unido, o evento constituiu um importante espaço de debate sobre o desenvolvimento da tecnologia no mundo. A participação da ANPD aconteceu no painel “How can countries build effective data protection authorities”, com a presença de membros do European Data Protection Board (EDPB) e do Center for Global Development, além de outras organizações. Em sua fala, a Diretora destacou a experiência brasileira com a criação da Autoridade Nacional de Proteção de Dados (ANPD), relatando os desafios e conquistas de seu primeiro ano de existência e a experiência de criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD).
Dinamarca
Após uma série de investigações em 2019, a Autoridade Dinamarquesa de Proteção de Dados tomou conhecimento acerca do tratamento indevido de dados pessoais pelo Partido Popular Conservador (PPC) do país. Diante disso, foi identificado que o referido partido teria coletado indevidamente nomes e endereços de destinatários selecionados para enviar cartas a eleitores, tratando sobre as principais propostas do partido, entre outros assuntos. Nesse sentido, o PPC deu como justificada para não fornecer as informações adequadas aos titulares dos dados (destinatários da carta), que o cumprimento de tal dever poderia ser relegado porque “a coleta de nome e endereço para envio de uma carta constitui um direito explícito dos controladores de acordo com a prática dinamarquesa”, não se sobrepondo aos interesses do titular dos dados. Com isso, a Autoridade declarou que o Partido Popular Conservador não cumpriu seu dever de fornecer informações, nos termos da Portaria de Proteção de Dados, além de ter expressado sérias críticas sobre a resposta apresentada.
França
A Autoridade Francesa (CNIL) sancionou a empresa SlimPay com uma multa de 180.000 euros pelo descumprimento das medidas necessárias para proteger os dados dos titulares, além de não ter informado sobre um incidente de segurança ocorrido na empresa. A SlimPay é uma instituição de pagamento que oferece soluções de pagamento recorrentes para seus clientes. Em 2015, ela realizou um projeto de pesquisa interna, durante o qual utilizou informações pessoais contidas em seus bancos de dados, entretanto, quando o projeto foi finalizado, em 2016, os dados permaneceram armazenados em um servidor que não estava com a segurança adequada e que era de livre acesso pela Internet. Esse incidente de segurança, que afetou aproximadamente 12 milhões de pessoas, foi identificado pela Slimpay apenas em fevereiro de 2020. Diante de tal conjuntura, a CNIL realizou uma investigação que, entre outros fatores, levou à identificação de várias deficiências no tratamento dos dados pessoais dos clientes. Com base nesses elementos, a Autoridade declarou que a empresa descumpriu várias obrigações previstas no GDPR, culminando na aplicação de uma sanção no valor de 180.000 euros. Ressalte-se, ainda, que como as pessoas afetadas pela violação de dados estão localizadas em vários países da União Europeia, a CNIL cooperou com as Autoridade de Proteção de Dados de quatro países (Alemanha, Espanha, Itália e Holanda).
Autoridade Francesa sancionou em 300.000 a empresa FREEMOBILE
Após diversas denúncias sobre a dificuldade dos titulares de dados em obter acesso às suas informações, além da impossibilidade de oposição ao recebimento de emails de marketing, a Autoridade Francesa (CNIL) passou a investigar a empresa Free Mobile. Após verificações de documentos e averiguações na própria empresa, foram identificadas diversas violações dos direitos dos titulares (direito de acesso e direito de oposição), da obrigação de proteger os dados desde a fase de concepção, bem como da segurança dos titulares dos dados. Como resultado, a CNIL aplicou uma multa de 300.000 euros à referida empresa, valor que levou em consideração o seu porte e situação financeira.
A Autoridade Francesa (CNIL) constatou, durante uma sequência de investigações, que os sites facebook.com, google.fr e youtube.com disponibilizam apenas um botão para a aceitação imediata de cookies, sem fornecer uma solução equivalente para permitir que o usuário recuse a coleta de tais cookies. A CNIL considerou que tal processo viola a liberdade de consentimento visto que, na Internet, o usuário espera poder consultar um site rapidamente, devendo poder recusar cookies da forma mais simples possível. Ser praticamente levado a aceitar os cookies é algo que distorce o poder de escolha do titular, dessa forma, para a Autoridade, isso constitui uma violação do artigo 82 da Lei de Proteção de Dados do país. Diante disso, a CNIL determinou a aplicação de: (i) duas multas no total de 150 milhões de euros contra a GOOGLE (90 milhões de euros para a empresa GOOGLE LLC e 60 milhões de euros para a empresa GOOGLE IRELAND LIMITED); (ii) uma multa de 60 milhões de euros contra a empresa FACEBOOK IRELAND LIMITED. Além das multas, também foi ordenado que as empresas disponibilizem aos usuários localizados na França, no prazo de 3 meses, um meio de recusar cookies tão simples quanto o existente para aceitá-los, a fim de garantir a liberdade de seu consentimento. Caso contrário, as empresas terão que pagar uma multa de 100.000 euros por dia de atraso.
Itália
Autoridade Italiana abriu uma investigação contra o aplicativo criado pela associação Covid Healer
A Autoridade Italiana anunciou que abriu uma investigação para analisar o aplicativo criado pela Covid Healer Onlus Association que tem como objetivo o oferecimento de aconselhamento e cuidados de saúde, que implicam no tratamento de dados de “usuários pacientes” e “profissionais de saúde”. A Autoridade destacou que a legislação italiana e europeia prevê uma proibição geral de tratamento de dados das “categorias especiais”, incluindo os relativos à saúde, com exceção de alguns casos explicitamente indicados – por exemplo, por motivos de interesse público – e somente após a adoção de algumas medidas específicas. Por esta razão, à luz dos primeiros elementos recolhidos no caso concreto, a Autoridade decidiu verificar se todas as prescrições e proteções previstas para os tratamentos ligados ao uso de aplicativos médicos foram respeitadas. Segundo a Autoridade, para avaliar a licitude das operações de tratamento realizadas através da app, serão examinados os fundamentos jurídicos desta atividade e as finalidades apresentadas pela Associação, bem como o cumprimento dos princípios básicos relativos à proteção de dados pessoais.
Reino Unido
O Information Commissioner’s Office (ICO) lançou uma consulta para reunir as opiniões das partes interessadas e do público em geral sobre a atuação da Autoridade, incluindo sobre seus poderes de investigação, regulamentação e sanção. O público terá 14 semanas para comentar e apontar sugestões em três documentos: (i) O primeiro é o “Regulatory Action Policy (RAP) ”, o qual atualiza a política de 2018 do ICO e define a abordagem geral do regulador. Ele reforça o compromisso do ICO com uma abordagem proporcional e baseada no risco para a aplicação, e explica os fatores levados em consideração antes de tomar medidas regulatórias, como penalidades monetárias, ordens de interrupção do tratamento e ou auditorias obrigatórias, entre outros pontos; (ii) O segundo é o “Statutory Guidance on our Regulatory Action”, que concentra-se nas seções do DPA 2018 que especificam as obrigações legais do ICO de publicar orientações para ajudar as organizações a compreender e aplicar a lei. Também explica como o ICO usa seus poderes estatutários para investigar e fazer cumprir a legislação do Reino Unido; (iii) O último é o “Statutory Guidance on our PECR Powers”, o qual explica como o ICO usa seus poderes estatutários para fazer cumprir a legislação de proteção de dados relativa às comunicações eletrônicas, tais como, ligações incômodas, e-mails e textos.
México
Na temporada de final de ano, é comum que os mais jovens recebam como presente, comprem/acessem jogos online, aplicativos e brinquedos conectados à internet, em que são solicitados dados pessoais para o seu uso. Nesse sentido, alguns desses dispositivos podem armazenar tais dados pessoais, incluindo nome, data de nascimento e gênero, por meio de câmeras, microfones e respostas inteligentes. Portanto, para prevenir riscos a tal público, o Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoal (INAI) faz as seguintes recomendações direcionadas aos mais jovens: (i) Não clicar em nenhum link postado por estranhos; (ii) Proteger a identidade com a utilização de um apelido e nunca colocar o endereço real; (iii) Antes de adquirir qualquer jogo ou aplicativo online, é aconselhável consultar a internet informações e opiniões sobre o mesmo; (iv) Verificar a forma como o consentimento é solicitado e fornecido para o uso de dados pessoais nos dispositivos; (v) Identificar o responsável perante o qual os “direitos ARCO” podem ser exercidos (Acesso, Retificação, Cancelamento e Oposição) dos dados pessoais fornecidos.
Proteção de Dados nas Universidades
International and regional commitments in African data privacy laws: A comparative analysis
GREENLEAF, Graham; COTTIER, Bertil.
Segundo o texto, trinta e três dos 55 países africanos existentes promulgaram leis envolvendo privacidade e proteção de dados desde 2001. Diante disso, o artigo analisa dois tipos de potenciais influências legais sobre essas leis: normas e obrigações originárias de fora da África (internacionais); e os desenvolvidos na África, tanto em nível continental (União Africana), como em nível das Comunidades Económicas Regionais (CERs). As influências internacionais se mostram indiretas, com apenas pequenas influências da ONU, mas com a adesão de países africanos à Convenção 108 de Proteção de Dados, pode ser um fator significativo para convertê-la em uma Convenção global. Além disso, segundo os autores, as influências da UE também são indiretas (aspiracionais) com o DPD e o GDPR percebidos como padrões a serem emulados nos instrumentos africanos. Dos acordos multilaterais africanos, o Regulamento de Proteção de Dados da União Africana e a Convenção sobre Cibercrime (2014) ainda têm influência limitada, por não estarem em vigor. Por sua vez, os instrumentos europeus são apresentados em ‘três gerações’ de desenvolvimento de leis de proteção de dados (exemplificadas pela: (i) Convenção 108, 1980; (ii) EU DPD, 1995; e (iii) EU GDPR, 2016 e pela Convenção 108+, 2018). Além disso, os três principais instrumentos multilaterais africanos (Lei da CEDEAO, Convenção da UA, Lei Modelo da SADC) são comparados com eles, bem como entre si. Tais comparações permitem chegar a diversas conclusões e análises mais específicas e de conjuntura, que são apresentadas no texto.
Data privacy during pandemics: a systematic literature review of COVID-19 smartphone applications
ALSHAWI, Amany; AL-RAZGAN, Muna; Alharbi, NORAH; OMAR, Sarah Omar e outros
Para lidar com a ampla disseminação da pandemia do COVID-19, os países implantaram diversos aplicativos móveis de rastreamento de contatos para controlar a transmissão viral. Dentre outras funções, eles coletam informações dos usuários e os informam se estiveram em contato com um indivíduo diagnosticado com COVID-19. No entanto, esses aplicativos podem ter afetado diversos direitos ao violar a privacidade e a proteção de dados dos usuários. Diante disso, o estudo teve como objetivo realizar uma revisão sistemática de literatura dos estudos que tratam esse tipo de tecnologia e os problemas envolvendo a proteção de dados pessoais dos titulares. Para isso, os autores utilizaram uma estratégia de busca que resultou na identificação de 808 artigos relevantes publicados em 2020, oriundos de bibliotecas online confiáveis. Em seguida, critérios de inclusão/exclusão a partir da técnica snowballing foram aplicados para produzir resultados mais específicos. Por fim, por meio da aplicação de um procedimento de avaliação qualitativa, foram selecionados 40 estudos. A partir de tal curadoria, a pesquisa analisou e destacou as questões de privacidade envolvendo modelos centralizados e descentralizados e as diferentes tecnologias que afetam a privacidade dos usuários, além de identificar soluções para melhorar a proteção de dados nesses contextos com base em três perspectivas: perspectiva de atuação pública, legal e de saúde.
Proteção de Dados no Legislativo
Proposto projeto de lei para disponibilização de canais “SOS fraude”
O Projeto de Lei 4483/2021, proposto pela Deputado Miguel Lombardi (PL/SP), tem como objetivo dispor sobre a disponibilização pelas instituições financeiras, em ambiente virtual e telefônico, de um canal denominado “SOS fraude”, com atendimento imediato para os clientes que tenham sido vítimas de golpes, roubos de dados pessoais, furtos ou outra ação fraudulenta que possibilite a invasão de dados bancários. Sobre o referido canal, o PL determina que ele deverá “(i) Estar disponível no menu inicial e/ou abertura, em todos os formatos de atendimento; (ii) Disponibilizar atendimento imediato; (iii) Fornecer todas as orientações para o cliente; (iv) Fornecer documento de protocolo ao final do referido atendimento;”. Atualmente, o PL está aguardando despacho do Presidente da Câmara dos Deputados
