Seja bem-vinde a mais uma edição do Boletim! Nesta 54ª edição do Boletim, inicialmente, destacamos a promulgação da Emenda Constitucional 115, que torna a proteção de dados pessoais, inclusive nos […]
Seja bem-vinde a mais uma edição do Boletim!
Nesta 54ª edição do Boletim, inicialmente, destacamos a promulgação da Emenda Constitucional 115, que torna a proteção de dados pessoais, inclusive nos meios digitais, um direito fundamental. O texto, proveniente da PEC 17/2019, que foi aprovada pelo Senado no ano passado, também remete privativamente à União a função de legislar sobre o tema. Um verdadeiro marco para a proteção de dados pessoais no Brasil!
Ainda no contexto brasileiro, ressaltamos que a Autoridade Nacional de Proteção de Dados (ANPD) publicou o “Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público”, o qual tem como objetivo auxiliar no desafio de estabelecer parâmetros objetivos, capazes de conferir segurança jurídica às operações com dados pessoais realizadas por órgãos e entidades públicas.
Nesse mesmo período, a ANPD, por meio do seu Conselho Diretor, aprovou o regulamento de aplicação da Lei Geral de Proteção de Dados Pessoais para agentes de tratamento de pequeno porte. A resolução visa garantir os direitos dos titulares de dados, ao mesmo tempo que traz equilíbrio entre as regras constantes na LGPD e o porte do agente de tratamento de dados.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
A Autoridade Nacional de Proteção de Dados (ANPD) lançou no Dia Internacional da Proteção de Dados, o “Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público”. O Guia inicia com uma breve explanação sobre a LGPD, o conceito de Poder Público e as competências da ANPD. A seguir, são apresentadas orientações sobre as bases legais mais comuns e os mais relevantes princípios que devem nortear o tratamento de dados pessoais por entidades e órgãos públicos. Na parte final, são abordadas duas operações específicas de tratamento de dados pessoais pelo Poder Público: o compartilhamento e a divulgação de dados pessoais, sempre sob o enfoque da conformidade do tratamento com a LGPD. Além disso, os Anexos I e II do documento trazem, respectivamente, um sumário das recomendações apresentadas na análise dos dois casos específicos mencionados. Assim, o objetivo do Guia é auxiliar no desafio de estabelecer parâmetros objetivos, capazes de conferir segurança jurídica às operações com dados pessoais realizadas por órgãos e entidades públicas.
A Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD Nº 02, que aprova o regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte. O Regulamento, que passou por diversas etapas de participação e contribuição da sociedade, bem como, Tomada de Subsídios, Consulta Pública e Audiência Pública, tem como objetivo facilitar a adaptação e adequação de agentes de tratamento de pequeno porte às normas da LGPD. Pôde-se perceber por meio das contribuições recebidas durante a Tomada de Subsídios realizada por essa Autoridade, que a baixa maturidade e a falta de uma cultura de proteção de dados pessoais pelos agentes de pequeno porte pode dificultar a adequação desses agentes aos ditames da LGPD e, eventualmente, pode inviabilizar sua existência. Reconhece-se, que a redução de carga regulatória e o estímulo à inovação são fatores fundamentais para o desenvolvimento das microempresas e empresas de pequeno porte e, consequentemente, o desenvolvimento do país. No entanto, é certo dizer, que o porte de uma empresa não altera o direito fundamental que o titular de dados tem à proteção de seus dados pessoais, nem desobriga que as atividades de tratamentos de dados observem a boa-fé e os princípios da lei, como finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas. Nesse sentido, o Regulamento visa garantir os direitos dos titulares de dados, ao mesmo tempo que traz equilíbrio entre as regras constantes da LGPD e o porte do agente de tratamento de dados.
ANPD lançou o Guia “Como proteger seus dados pessoais” em inglês e espanhol
Parceria entre ANPD e Senacon resultou em versões traduzidas da cartilha “Como proteger seus dados pessoais”. O Diretor-Presidente da ANPD, Waldemar Gonçalves, a Secretária Nacional do Consumidor, Juliana Domingues e o Diretor e cofundador do Data Privacy Brasil, Bruno Bioni, participaram da transmissão ao vivo, pelo Youtube, do lançamento das versões em inglês e espanhol do Guia “Como proteger seus dados pessoais”. A Secretária Juliana abriu o evento falando sobre a importância e relevância da publicação ser traduzida para outros idiomas. “Quando decidimos lançar a cartilha, nós tínhamos o objetivo de dar conhecimento a todos os cidadãos brasileiros sobre os direitos básicos no que diz respeito à proteção dos dados pessoais, com base na premissa que a defesa de direitos começa com o acesso ao conhecimento desses direitos”. Juliana destacou: “E ficou evidente em um país com a nossa extensão territorial, com a capilaridade que nós temos, com o turismo, com o fato de termos hoje efeitos notórios da globalização, que era necessário trabalhar com outros idiomas, fazer essas traduções para, justamente, romper com essas barreiras que possam existir com relação ao idioma”. Para acessar o guia em espanhol clique aqui e para acessar o guia em inglês clique aqui.
Dinamarca
Autoridade Dinamarquesa publicou o foco de atuação das suas atividades no ano de 2022
A Autoridade Dinamarquesa é a autoridade central independente que supervisiona o cumprimento das regras de proteção de dados na Dinamarca. O campo de atuação da Autoridade é amplo e variado e vai desde o dever de orientação e aconselhamento sobre operações de tratamento, até às atividades de fiscalização anuais junto a entidades e empresas. Por fim, a Autoridade também participa, por exemplo, da cooperação europeia conjunta em matéria de proteção de dados. Em 2022, as áreas de foco das atividades serão as seguintes: (i) A Lei dos Arquivos; (ii) Autorizações para tratar dados pessoais sensíveis no setor privado; (iii) Tratamento de dados pessoais sobre os visitantes do site; (iv) Segurança de dados pessoais, violação de segurança de dados pessoais, entre outros.
Autoridade Dinamarquesa lançou jogo para crianças e adolescentes sobre proteção de dados
Para comemorar o dia da proteção de dados, a Autoridade Dinamarquesa lançou uma nova campanha destinada a crianças e jovens do nível intermédio (4º-6º ano). O objetivo é esclarecer os desafios muito comuns que podem surgir no tratamento de dados pessoais de crianças e adolescentes. Com o novo jogo digital – “Datadysten” – queremos deixar claro que os mais jovens também têm direitos quando se trata de suas informações pessoais. A campanha contém um pacote de ensino que pode ser usado em disciplinas como “Dinamarquês e Compreensão da Tecnologia”, como também pode ser utilizado em uma semana temática sobre o tema, nas escolas.
Espanha
Autoridade Espanhola aplicou uma multa de EUR 3.000.000 à CAIXABANK PAYMENTS & CONSUMER EFC, EP, SAU
A Autoridade Espanhola aplicou uma multa de EUR 3.000.000 à CAIXABANK PAYMENTS & CONSUMER EFC, EP, SAU por falta de consentimento informado e específico sobre a definição de perfis para fins comerciais. A Autoridade iniciou uma investigação após vários indícios de que poderia haver uma prática incorreta na empresa com relação à definição automática de perfis e à tomada de decisões do responsável pelo tratamento no contexto da sua atividade comercial. Assim, foi identificado que o consentimento nos diversos canais da empresa é descrito da seguinte forma: “Autorizo o Grupo CaixaBank a utilizar os meus dados para fins de estudo e definição de perfis”. No presente caso, portanto, o interessado recebe apenas informações genéricas sobre os diferentes tratamentos de perfil, não conseguindo saber exatamente qual é o tratamento que está a consentir. Com isso, além da multa, a Autoridade ordenou ao controlador que colocasse as operações de tratamento em conformidade com as disposições do Regulamento Geral de Proteção de Dados (GDPR) no prazo de seis meses a partir da decisão.
European Data Protection Board
EDPB adotou primeira opinião sobre critérios de certificação
O European Data Protection Board (EDPB) adotou parecer sobre o procedimento de certificação “GDPR-CARPA” apresentado ao Conselho pela Autoridade de Luxemburgo (SA). É a primeira vez que o EDPB adota uma opinião consistente sobre os critérios para um processo de certificação nacional. A certificação em questão não se concentra em um setor ou tipo de tratamento específico e inclui requisitos sobre governança de proteção de dados nas organizações, em torno das atividades de tratamento. A presidente da EDPB, Andrea Jelinek, disse: “Essa opinião é um passo importante para uma maior conformidade com o Regulamento Geral de Proteção de Dados (GDPR). O principal objetivo dos mecanismos de certificação é ajudar os controladores e operadores a demonstrar conformidade com o GDPR. Aqueles que aderem a um mecanismo de certificação também ganham maior visibilidade e credibilidade, pois permitem que os indivíduos avaliem rapidamente o nível de proteção das operações de tratamento.” O parecer da EDPB visa assegurar a consistência e correta aplicação dos critérios de certificação entre as Autoridades do Espaço Económico Europeu. Após a aprovação pela respectiva Autoridade, a certificação será também adicionada ao registo dos mecanismos de certificação e selos de proteção de dados de acordo com o art. 42 (8) GDPR.
Reino Unido
ICO multou empresa galesa no valor £ 200.000 por fazer ligações de marketing incômodas
O Information Commissioner’s Office (ICO) multou uma empresa de reforma de casas no valor de £ 200.000 por fazer mais de meio milhão de ligações de marketing não solicitadas. A “Home2Sense Ltd de Lampeter”, que fica no País de Gales, realizou 675.478 chamadas incômodas entre junho de 2020 e março de 2021, oferecendo serviços de isolamento para pessoas registradas no Serviço de Preferência Telefônica (TPS). É contra a lei fazer chamadas de marketing para números de telefone registrados no TPS há mais de 28 dias, a menos que o destinatário tenha notificado a empresa de que não se opõe a receber tais chamadas. A Home2Sense Ltd disse aos investigadores da ICO que os dados dos clientes foram adquiridos de uma “fonte desconhecida” e culpou sua equipe por não rastrear os números de telefone em seu banco de dados contra o TPS. Após mais de 60 reclamações do público, a investigação do ICO descobriu que a empresa se identificava com diferentes nomes comerciais ao ligar para os clientes, incluindo ‘Cozy Loft’, ‘Warmer Homes’ e ‘Comfier Homes’. Devido a isso, a Autoridade aplicou a multa.
O Information Commissioner’s Office (ICO) está convidando organizações do setor de saúde a participar de workshops sobre tecnologias que melhoram a privacidade (PETs). O objetivo é definir como as PETs podem facilitar o compartilhamento seguro, legal e válido de dados no setor de saúde e entender o que é necessário para ajudar as organizações a usar essas tecnologias. Essas tecnologias referem-se a uma ampla gama de processos e abordagens para a proteção de dados pessoais, além de auxiliar as organizações a implementar e melhorar a proteção de dados por design. Isso pode ser por meio de métodos tradicionais, como criptografia, ou soluções mais avançadas. As informações coletadas nos workshops ajudarão o ICO a desenvolver orientações e diretrizes atualizadas.
Irlanda
Autoridade Irlandesa publicou sua Estratégia Regulatória para o período 2022-2027
Em sua Estratégia para 2022-2027, a Autoridade Irlandesa (DPC) apontou ter uma “visão ambiciosa para esses cinco anos”, além de acreditar ser um “período fundamental para o desenvolvimento da lei, regulamentação e cultura de proteção de dados” no país. A amplitude do mandato regulamentar da DPC abrange diversas áreas do setor privado e público, tanto a nível nacional como internacional. A fim de desenvolver uma Estratégia Regulatória que forneça orientações eficazes em uma missão operacional tão grande, a DPC afirmou levar em consideração o contexto mais amplo da situação política do país, as necessidades de seus diversos stakeholders e a natureza mutável de suas operações. Além disso, a DPC destacou também que não pode alcançar suas ambições por conta própria, dessa forma, novas parcerias e novos caminhos serão necessários à medida em que as atividades forem sendo desenvolvidas. Para acessar a Estratégia Regulatória da DPC 2022-2027 clique aqui.
Itália
A Autoridade Italiana deu parecer favorável ao esquema “Dpcm” que introduz a digitalização dos certificados de “isenção de vacinação” contra a COVID-19. O regime do “Dpcm” levou em consideração as diretrizes fornecidas pela Autoridade ao Ministério da Saúde e ao Governo italiano, ao passo que prevê medidas de garantia adequadas à proteção dos direitos e interesses fundamentais das pessoas. A digitalização dos documentos de isenção é uma questão muito urgente, relatada há algum tempo pela Autoridade, tendo em vista que é necessário permitir às pessoas, que por motivos de saúde foram dispensadas da vacinação, não sofram as limitações previstas pela “Reabertura” e exigibilidade do certificado de vacinação. De acordo com o “Dpcm”, o certificado de isenção de vacina informará os mesmos dados e terá a mesma aparência que o código QR fornecido para a certificação de vacina, para que o verificador não consiga distinguir. Com base nesses fatores, a Autoridade espera que o decreto seja implementado o mais rápido possível.
Singapura
A Autoridade de Singapura (DPA) descobriu que o Transparency and Consent Framework (TCF), desenvolvido pelo IAB Europe, violou várias disposições do Regulamento Geral de Proteção de Dados (GDPR). O TCF é um mecanismo popular que facilita o gerenciamento das preferências do usuário para publicidade online personalizada e desempenha um papel central no chamado Real Time Bidding (RTB). O protocolo “OpenRTB” é um dos mais utilizados para a espécie de “leilão online” automatizado e instantâneo de perfis de usuários para a compra e venda de espaços de publicidade na internet. Quando os usuários acessam um site ou aplicativo que contém espaço publicitário, as empresas de tecnologia, que representam milhares de anunciantes, podem “licitar” instantaneamente (“em tempo real”), nos bastidores por esse espaço publicitário, por meio de um sistema de leilão automatizado, a fim de exibir anúncios direcionados especificamente adaptados ao perfil dessas pessoas. Diante disso, a DPA multou o IAB Europe em € 250.000 e está dando à empresa dois meses para apresentar um plano de ação para colocar suas atividades em conformidade.
Proteção de Dados nas Universidades
Research Handbook on Privacy and Data Protection Law
FUSTER, Gloria e outros.
Esse Manual de Pesquisa traz uma visão geral das principais regras, conceitos e tensões envolvendo a lei de privacidade e proteção de dados, principalmente na Europa. O manual destaca a crescente importância global desta área do direito, ilustrando as muitas complexidades no campo através de uma mistura de perspectivas teóricas e empíricas. Fornecendo uma análise aprofundada da privacidade e proteção de dados global, explora várias jurisdições regionais e nacionais, reunindo contribuições internacionais interdisciplinares da Europa e outras localidades. Os capítulos cobrem tópicos críticos no campo, incluindo os principais recursos do Regulamento Geral de Proteção de Dados (GDPR), vigilância de fronteiras, big data, inteligência artificial e biometria. Além disso, também investiga a relação entre o direito de privacidade e proteção de dados pessoais com outros campos do direito, como direito do consumidor e direito concorrencial.
ARGOTE, Carlos Germán.
O artigo, publicado na revista Sur, aborda a seguinte questão: qual o impacto do uso de programas de eProctoring, que têm como objetivo fiscalizar os alunos em provas à distância, na privacidade de estudantes universitários? Um caso ocorrido em uma universidade peruana em 2020 é usado aqui para examinar conceitos relacionados ao eProctoring, analisando a especialmente os pontos envolvendo a privacidade e proteção de dados pessoais dos estudantes. O nível de adoção dessas tecnologias também é avaliado, com foco especial na região da América Latina. Por fim, o texto termina com uma análise da interação entre o eProctoring e as normas de proteção de dados pessoais, incluindo a jurisprudência mais recente sobre o assunto.
DUCKERT, Melanie; BARKHUUS, Louise e outros.
Por um lado, os prontuários de saúde digitais são importantes para manter a segurança do tratamento. Por outro lado, a percepção do paciente acerca da sua privacidade é essencial para o desenvolvimento desses prontuários. Neste artigo são apresentadas as percepções dos pacientes sobre a comunicação com relação às suas informações de saúde, quando se trata de proteção de dados pessoais, especialmente de pessoas com doenças crônicas ou que passam por tratamentos de longa duração. Com base em prontuários de saúde digitais, os pacientes foram questionados sobre a percepção de segurança e senso de proteção de dados quando são utilizadas as suas informações de saúde. Com base nisso, o objetivo da pesquisa foi de fornecer insights e orientações para designers e desenvolvedores de forma a possibilitar a comunicação sobre proteção de dados em prontuários digitais de forma acessível para os usuários.
Proteção de Dados no Legislativo
Emenda que inclui proteção de dados pessoais na Constituição será promulgada pelo Congresso Nacional
O Congresso Nacional promulgou a Emenda Constitucional 115, que torna a proteção de dados pessoais, inclusive nos meios digitais, um direito fundamental. O texto, proveniente da PEC 17/2019, também remete privativamente à União a função de legislar sobre o tema. Apresentada pelo senador Eduardo Gomes (MDB-TO) e relatada pela senadora Simone Tebet (MDB-MS), a PEC foi aprovada no Senado em outubro do ano passado e atribui à União as competências de organizar e fiscalizar a proteção e o tratamento de dados pessoais, de acordo com a Lei Geral de Proteção de Dados (LGPD). A medida entra em vigor na data de sua publicação.
