Seja bem-vinde a mais uma edição do Boletim! Nesta 66ª edição do Boletim, destacamos que após investigações feitas pelo Information Commissioner’s Office (ICO) do Reino Unido, um ex-conselheiro de saúde […]
Seja bem-vinde a mais uma edição do Boletim!
Nesta 66ª edição do Boletim, destacamos que após investigações feitas pelo Information Commissioner’s Office (ICO) do Reino Unido, um ex-conselheiro de saúde confessou ter acessado ilegalmente os registros de 14 pacientes, quando trabalhava no hospital “South Warwickshire NHS Foundation Trust” . Diante disso, ele foi condenado a pagar uma indenização de £ 250 a 12 pacientes, totalizando um montante de £ 3.000.
Também no âmbito internacional e tratando sobre o contexto de saúde, a Autoridade Tcheca impôs uma multa de 975.000 CZK ao Ministério do Interior, por uma infração atrelada à coleta de dados realizada pela Polícia sobre pessoas “isoladas” durante a pandemia no país. A ação em questão consistiu no tratamento não autorizado de dados de saúde pela Polícia do país que, ao coletar os dados pessoais das pessoas em isolamento, sem adotar as medidas de proteção adequadas, violou normas relacionadas à proteção de dados pessoais.
Com relação à academia, destacamos a reportagem escrita por Naiara Evangelo, que apresenta a forma com a qual a Uber lida com os casos de racismo que ocorrem com seus passageiros e motoristas. O texto é resultado das Bolsas de Tecnoinvestigações para Repórteres Negros, uma parceria do Intercept com a Associação Data Privacy Brasil de Pesquisa, Conectas Direitos Humanos e Data Labe.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Dinamarca
Autoridade Dinamarquesa implementou mudanças no seu arquivo de decisões
A Autoridade Dinamarquesa implementou mudanças na página de decisões, para possibilitar que o usuário possa filtrar, por exemplo, tipos de sanções, tipos de casos e palavras-chave. As decisões são uma parte importante da atuação da Autoridade de Proteção de Dados porque mostram a implementação concreta de como as regras do GDPR devem ser interpretadas e aplicadas e, por conta disso, foram aprimoradas as opções de pesquisa, para facilitar a localização de casos importantes. A nova categorização inclui: (i) Área de negócios – o controlador de dados é uma empresa privada, uma autoridade pública ou uma agência de aplicação da lei?; (ii) Tipo de caso – o caso é baseado em uma reclamação, caso de inspeção/violação de segurança relatada ou consulta?; (iii) Sanção – a decisão resulta em, por exemplo, critica, proibição, liminar, etc; (iv) Palavras -chave – sobre quais áreas da proteção de dados a decisão é tomada – por exemplo, segurança de processamento, crianças ou direito ao apagamento? Para acessar o arquivo de decisões, acesse aqui.
O município de Lolland foi multado em DKK 50.000 por não ter implementado medidas básicas de segurança nos seus respectivos dispositivos móveis, utilizados por funcionários. A Autoridade Dinamarquesa tomou conhecimento da situação por meio de um relatório da cidade de Lolland em dezembro de 2020, quando um funcionário do município teve um telefone comercial roubado. Por meio do aparelho em questão, devido ao fato de não estar protegido por senha, era possível ter acesso à conta de e-mail de trabalho do funcionário, que continha informações de vários cidadãos, como o número de CPF e informações de saúde. O município afirmou que ao longo dos anos foi possível que os funcionários removessem os códigos de acesso obrigatórios dos seus telefones, para que pudessem ser utilizados sem qualquer senha de acesso. Sendo assim, na análise do caso, a Autoridade Dinamarquesa, entre outros pontos, enfatizou que um controlador de dados deve assumir que nem todos os funcionários seguem as diretrizes internas, o que inclui a orientação de que dispositivos móveis devem sempre ser protegidos por senha. Portanto, a proteção realmente eficaz depende de uma postura ativa do município, garantindo o cumprimento das diretrizes internas, como a de que os dispositivos não possam ser acessados sem as medidas de segurança adequadas.
Holanda
A Autoridade Holandesa de Proteção de Dados (AP) recomendou que sejam feitos ajustes à proposta de emenda à Lei de Reutilização de Informações Governamentais. A proposição, por meio da qual o governo incentiva instituições governamentais a disponibilizar dados governamentais, inclusive pessoais, para “reutilização”, não estabelece medidas de proteção suficientes, além de possibilitar o risco de que os dados pessoais sejam compartilhados sem a permissão ou conhecimento dos titulares envolvidos. O projeto de lei tem como objetivo garantir que o máximo de dados governamentais seja disponibilizado, por exemplo, para pesquisas, mas também abre margem para utilização visando o uso comercial. Com isso, as entidades governamentais serão solicitadas a tornar as informações públicas, a menos que elas próprias considerem que isso não seja viável. A Autoridade Holandesa, por sua vez, defende a inclusão de dispositivos na lei apontando que a “reutilização” de dados pessoais em registros públicos é, em princípio, proibida, devendo ser estabelecidas regras para eventuais exceções à tal proibição.
Reino Unido
Um ex-conselheiro de saúde foi considerado culpado de acessar os registros médicos de pacientes sem uma razão legal válida. Christopher O’Brien trabalhava no “South Warwickshire NHS Foundation Trust” quando acessou ilegalmente os registros de 14 pacientes, entre junho e dezembro de 2019, sem um motivo comercial válido e sem o conhecimento da empresa em questão. Uma das vítimas afirmou ao ICO que o incidente o deixou preocupado e ansioso com o fato de O’Brien ter acesso aos seus registros de saúde, enquanto outra apontou que a referida violação lhe “impediu de ir ao médico”. O conselheiro se declarou culpado, assumindo a violação da seção 170 da Lei de Proteção de Dados de 2018, quando compareceu ao Tribunal de Magistrados de Coventry em agosto de 2022. Com base na confissão, ele foi condenado a pagar uma indenização de £ 250 a 12 pacientes, totalizando £ 3.000. A partir dessa situação, Stephen Eckersley, Diretor de Investigações da ICO, asseverou que o caso “é um lembrete para as pessoas terem em mente de que não é só porque seu trabalho lhe permite acesso a informações pessoais de terceiros, especialmente dados de saúde, que você tem o direito de consultá-los”.
República Tcheca
A Autoridade Tcheca impôs uma multa de 975.000 CZK ao Ministério do Interior da República Tcheca, por uma infração relacionada com o pedido de quarentena e a coleta de dados realizada pela Polícia sobre pessoas “isoladas” durante a pandemia no país. A ação, objeto da infração, consistiu no processamento não autorizado de dados sobre o estado de saúde de pessoas pela Polícia da República Tcheca, a qual violou o § 79, parágrafo 3 da Lei da Polícia da República Tcheca, segundo a qual “Dados sobre origem racial ou étnica, crenças religiosas, filosóficas ou políticas, filiação a um sindicato, estado de saúde, comportamento ou orientação sexual só podem ser coletados se necessário para fins de investigação de um crime ou contravenção específico, ou para fornecer proteção a pessoas.”. Dessa maneira, ao tratar de forma abrangente os dados pessoais de todas as pessoas isoladas, sem adotar as medidas de proteção adequadas, a Polícia do país violou tal disposição. Ressalte-se, entretanto, que a multa foi aplicada ao citado Ministério, com base no “Título III” da Lei nº 110/2019 sobre o tratamento de dados pessoais, porque a Polícia da República Tcheca não possui personalidade jurídica.
México
O Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI) e o Sistema Nacional de Transparência (SNT) promoveram entre diferentes instituições públicas do governo, a adoção de esquemas e boas práticas para aumentar o nível de proteção dos dados pessoais, bem como garantir a cidadania. Para isso, foi realizado o “Fórum de Boas Práticas como alternativa para elevar o nível de Proteção de Dados Pessoais no Setor Público”, por meio do qual especialistas nacionais e organizações internacionais debateram e trocaram experiências acerca do tema. Durante o evento, o Comissário do INAI, Josefina Román Vergara, dentre outros pontos, levantou a necessidade de promover e fomentar as melhores práticas em termos de proteção de dados pessoais, com a finalidade de que entidades públicas possam desenvolver e adotar, de maneira voluntária, regimes que permitam elevar o nível proteção e, dessa maneira, cumprir as regulamentos aplicáveis no setor público.
O Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI) publicou o livro “Casos Paradigmáticos do Poder Judiciário da Federação sobre Acesso à Informação e Proteção de Dados Pessoais”. A obra, coordenada e organizada pelo INAI, contém sete ensaios de autoria de Ministros da Corte Suprema de Justiça da Nação (SCJN), como Yasmin Esquivel Mossa e Ana Margarita Ríos Farjat, da magistrada do Tribunal Eleitoral do Poder Judiciário (TEPJF), Mónica Aralí Soto Fregoso, entre outros autores oriundos de diferentes tribunais. Durante a apresentação, a Comissária Norma Julieta del Río Venegas destacou que o trabalho “conta com a colaboração interinstitucional do Supremo Tribunal de Justiça da Nação Tribunal Eleitoral do Poder Judiciário e o próprio INAI, compilando um acervo de ensaios que contém a análise de uma seleção dos casos mais relevantes sobre o tema nos últimos anos”
Proteção de Dados nas Universidades
What’s Up, Latin America? Between Competition, Data and Consumer Protection
SOUZA, Michel; CANELES, Maria.
Não há dúvidas quanto à crescente importância dos dados pessoais para as empresas. Junto a esse fato, há um crescimento exponencial da concentração de dados nas mãos das maiores empresas globais de tecnologia. Reguladores em todo o mundo estão agindo nos mercados digitais, seja por meio de legislação ou aplicação judicial, para lidar com as implicações da concentração de dados. O artigo analisa uma verdadeira mudança de paradigma na colaboração entre autoridades antitruste, de proteção de dados e do consumidor no tratamento do caso de mudanças na política de privacidade do WhatsApp na Argentina, Brasil e Chile. Nesse sentido, foi analisado como os arranjos institucionais favoreceram (ou não) um papel mais conectado e integrado de diferentes autoridades na investigação de abusos de posição dominante, o que resultou em uma mensagem mais forte para os atores do mercado digital. Fatores institucionais, como capacidades operacionais e de fiscalização, também são analisados em relação à capacidade e eficácia das autoridades desses países para intervir. Este artigo tenta trazer considerações críticas na avaliação de casos latino-americanos em comparação com a evolução internacional para conduzir algumas lições úteis para aplicações futuras.
EVANGELO, Naiara.
A reportagem, escrita por Naiara Evangelo, demonstra a forma como a Uber lida com os casos de racismo que ocorrem com seus passageiros e motoristas. Segundo o texto, a empresa anuncia tecnologias de reconhecimento facial e outros “avanços tecnológicos”, mas ainda falha em banir comportamentos racistas de usuários e motoristas. O texto é resultado das Bolsas de Tecnoinvestigações para Repórteres Negros, uma parceria do Intercept com a Associação Data Privacy Brasil de Pesquisa, Conectas Direitos Humanos e Data Labe.
Proteção de Dados no Judiciário
O Facebook (Meta) foi condenado pela 28ª Câmara de Direito Privado do Tribunal de Justiça de São Paulo a indenizar por danos morais um usuário que teve o celular clonado por estelionatários que enviaram mensagens aos seus contatos para pedir empréstimos através do WhatsApp. O valor da reparação foi fixado em 4 (quatro) mil. Em 1º grau o pedido foi negado pois o autor da ação deixou de ativar o sistema de segurança de “verificação em duas etapas”. A turma julgadora do recurso, no entanto, entendeu que, conforme informado pela própria empresa, o procedimento é meramente opcional. “Não se pode penalizar o autor por não ter feito algo que lhe era meramente facultativo. Segundo o Tribunal, isso equivaleria aceitar como razoável que empresa que opera um parque de diversões, por exemplo, faculte aos visitantes utilizarem, ou não, cinto de segurança nas atrações, a seu livre critério, o que não cabe conceber”, escreveu em seu voto a relatora da apelação, desembargadora Angela Lopes. “Cabia à empresa adotar, de forma uniforme e coesa, os melhores procedimentos de segurança e defesa da privacidade de seus usuários, o que, nota-se, não faz”, frisou a magistrada. “Em assim sendo e considerada a tangível preocupação, constrangimento e apreensão acometidas ao autor em razão da falha de segurança da ré, é devida indenização por danos morais”, concluiu ela.
