Seja bem-vinde a mais uma edição do Boletim! Nesta 68ª edição do Boletim, no contexto brasileiro, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) tornou pública a tomada […]
Seja bem-vinde a mais uma edição do Boletim!
Nesta 68ª edição do Boletim, no contexto brasileiro, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) tornou pública a tomada de subsídios sobre hipóteses de tratamento de dados pessoais de crianças e adolescentes, que ficará aberta para contribuições até o dia 07 de outubro.
No contexto internacional, por sua vez, destacamos que durante uma reunião das Autoridade de Proteção de Dados dos países membros do G7, ocorrida no início de setembro, a Autoridade italiana propôs que as referidas entidades, como um grupo que integrante dos sete sistemas socioeconômicos mais importantes do mundo, indiquem um modelo ético e distinto para a governança da IA. De igual maneira, também apontou pela construção de uma alternativa à utilização da IA pelas autoridades públicas, levando em consideração os valores e princípios inerentes a um estado democrático de direito.
Por fim, salientamos que a Agência Argentina publicou a Resolução AAIP 119/2022 com a qual inicia a consulta pública sobre a proposta de atualização da Lei de Proteção de Dados Pessoais do país, nº 25.326, com o objetivo de garantir a participação efetiva dos cidadãos para melhorar a qualidade das políticas públicas e promover o acesso do cidadão à informação sobre assuntos públicos.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
ANPD abriu Tomada de Subsídios sobre Tratamento de Dados Pessoais de Crianças e Adolescentes
A Lei Geral de Proteção de Dados Pessoais (LGPD) previu seção específica para o tratamento de dados pessoais de crianças e de adolescentes, explicitando que o tratamento dos dados desses titulares deverá ser realizado em seu melhor interesse, nos termos da legislação pertinente. Ocorre que a interpretação de diversos dispositivos da lei é objeto de acentuada controvérsia entre acadêmicos, profissionais da área e representantes da sociedade civil, o que, na prática, configura-se como uma situação de incerteza jurídica para os agentes de tratamento, em razão da indefinição sobre quais hipóteses legais autorizam o tratamento de dados pessoais de crianças e adolescentes. Considerando tais divergências e as suas relevantes implicações práticas, a Autoridade Nacional de Proteção de Dados (ANPD) elaborou estudo preliminar sobre o tema com sugestão inicial da área técnica para elaboração de enunciado sobre a questão. Com isso, considerando a importância do tema, a Autoridade tornou pública a Tomada de Subsídios para receber contribuições da sociedade, a fim de ouvir os diferentes interessados no tema para considerar os diversos posicionamentos na sua tomada de decisão.
FTC buscou comentários públicos adicionais sobre publicidade para crianças em mídia digital
A Federal Trade Commission (FTC) está buscando comentários públicos adicionais sobre como as crianças são afetadas pela publicidade digital e mensagens de marketing que podem confundir a linha entre publicidade e entretenimento. Os profissionais de marketing alcançam cada vez mais as crianças por meio da mídia digital, inclusive incorporando publicidade em plataformas de compartilhamento de vídeo, de mídia social por meio de postagens de influenciadores e celebridades, jogos, mundos virtuais e outros ambientes digitais. A FTC está buscando contribuições do público que serão examinadas em um evento no dia 19 de outubro de 2022. Os comentários enviados serão postados na página Regulations.gov.
Argentina
A Agência de Acesso à Informação Pública, no âmbito do processo participativo, aberto e transparente que vem realizando, publicou a Resolução AAIP 119/2022 com a qual inicia a consulta pública sobre a proposta de atualização da Lei de Proteção de Dados Pessoais da Argentina, nº 25.326. O objetivo é garantir a participação efetiva dos cidadãos de acordo com o disposto no Regulamento Geral de Elaboração Participativa de Normas, estabelecido no Anexo V do Decreto 1172/03. A abertura desse procedimento permite melhorar a qualidade das políticas públicas e promover o acesso do cidadão à informação sobre assuntos públicos. A atualização da Lei 25.326 de Proteção de Dados Pessoais foi um compromisso assumido pela titular Beatriz Anchorena, durante a Audiência Pública para a candidatura ao seu cargo. A consulta estará disponível de 12 a 30 de setembro e podem ser enviadas contribuições no site da Agência, ou presencialmente na Bilheteira, Av. Pte. Julio A. Roca 710 andar 3, Cidade Autônoma de Buenos Aires, das 9h às 16h.
Bélgica
Na decisão preliminar, a Autoridade Belga estabeleceu, entre outras coisas, a responsabilidade do IAB Europe pelo tratamento de dados pessoais sob o Transparency and Consent Framework (TCF), um mecanismo generalizado que facilita o gerenciamento das preferências dos usuários para a publicidade personalizada online. Com base nisso, impôs algumas sanções administrativas do GDPR, além de uma multa no montante de 250.000 (duzentos e cinquenta mil) euros. O IAB Europe recorreu da decisão ao “Tribunal de Mercados” (que faz parte do “Tribunal de Recurso” do país). Antes de se pronunciar sobre o caso, o Tribunal decidiu colocar uma série de questões preliminares sobre a demanda ao Tribunal de Justiça da União Europeia. As perguntas estão relacionadas ao status do controlador de dados do IAB Europe e se o “TC String” (uma sequência de caracteres numéricos que reflete as preferências dos usuários) pode ser considerado como dados pessoais. A Autoridade Belga terá agora de analisar o acórdão antes de se manifestar sobre o seu conteúdo, mas já está satisfeita com os encaminhamentos dados à demanda, que permitirá esclarecer ainda mais conceitos essenciais do GDPR, como a definição do conceito de controlador de dados, e sua aplicabilidade aos criadores de frameworks. Hielke Hijmans, Presidente da Câmara da Bélgica asseverou: “O caso IAB Europe, que julgamos em fevereiro, tem um impacto que vai muito além da Bélgica. É por isso que achamos bom que seja discutido a nível europeu, com o Tribunal de Justiça da UE. A decisão da DPA no caso IAB Europe deu uma importante contribuição para a proteção da privacidade dos usuários da Internet na Europa, por meio de sua análise do mecanismo de registro das preferências do usuário para publicidade online direcionada.
European Data Protection Board
O orçamento do European Data Protection Board (EDPB) faz parte do orçamento mais amplo da European Data Protection Supervisor (EDPS) e é proposto pela Comissão Europeia, e posteriormente aprovado pelo Parlamento Europeu e pelo Conselho da União Europeia (artigo 314.º do TFUE). Durante a preparação do Orçamento Geral da União Europeia 2023, o EDPB apresentou duas propostas orçamentárias consecutivas à Comissão Europeia solicitando um aumento de pessoal e recursos financeiros, para permitir que o EDPB e a EDPS gerenciem o seu crescente leque de tarefas e carga de trabalho. No entanto, o aumento solicitado, abaixo do teto do plano financeiro de sete anos da UE, foi rejeitado pela Comissão. Diante disso, o Secretariado do EDPB se pronunciou: “O EDPB desempenha um papel essencial na implementação do Regulamento Geral de Proteção de Dados (GDPR). Há grandes expectativas em relação ao sucesso do GDPR em conter os abusos de proteção de dados, especialmente por grandes empresas de tecnologia. No entanto, o Secretariado da EDPB está atualmente com falta de pessoal e corre o risco de deixar de poder cumprir as suas funções legais ao serviço do EDPB e do GDPR. Caso isso aconteça, a aplicação dos direitos de proteção de dados dos indivíduos seria enfraquecida e a credibilidade do GDPR prejudicada.” O Parlamento Europeu votará o Orçamento Geral da União Europeia para o exercício de 2023 durante a segunda sessão plenária de outubro. Caso não sejam aceitas todas as alterações do Parlamento, será convocada uma reunião do Comitê de Conciliação para aprovar um projeto comum no prazo de 21 dias.
Espanha
A Lei Orgânica de Proteção Integral de Crianças e Adolescentes contra a Violência estabelece que todos os centros educacionais onde os mesmos estudem devem ter um coordenador de bem-estar e proteção estudantil. Entre suas funções, está a de promover a comunicação imediata aos órgãos de proteção de dados de situações que possam envolver o tratamento ilícito de dados pessoais de crianças e adolescentes. Para tanto, a Autoridade Espanhola de Proteção de Dados (AEPD) disponibiliza o Canal Prioritário para comunicar a publicação não autorizada de conteúdo sexual ou violento na Internet e solicitar sua retirada com urgência. Antes do início do ano letivo, a Agência publicou um documento que define de forma simples como as escolas devem fazer a reclamação correspondente caso detectem este tipo de situação
França
A Lei Orgânica de Proteção Integral de Crianças e Adolescentes contra a Violência estabelece que todos os centros educacionais onde os mesmos estudem devem ter um coordenador de bem-estar e proteção estudantil. Entre suas funções, está a de promover a comunicação imediata aos órgãos de proteção de dados de situações que possam envolver o tratamento ilícito de dados pessoais de crianças e adolescentes. Para tanto, a Autoridade Espanhola de Proteção de Dados (AEPD) disponibiliza o Canal Prioritário para comunicar a publicação não autorizada de conteúdo sexual ou violento na Internet e solicitar sua retirada com urgência. Antes do início do ano letivo, a Agência publicou um documento que define de forma simples como as escolas devem fazer a reclamação correspondente caso detectem este tipo de situação
Itália
As autoridades de proteção de dados e privacidade dos países membros do G7 se reuniram nos dias 7 e 8 de setembro de 2022 sob a presidência do Comissário Federal Alemão para Proteção de Dados e Liberdade de Informação. A reunião ocorreu no âmbito do “G7 Digital Track” para discutir questões regulatórias e tecnológicas atuais de desenvolvimentos no contexto do “Data Free Flows with Trust (DFFT)”. A cúpula também teve como objetivo compartilhar conhecimento sobre as perspectivas de “espaços de dados internacionais”, que representam uma abordagem emergente para o compartilhamento de dados confiável e voluntário dentro e entre organizações e setores, tanto nacional quanto internacionalmente, com o objetivo de apoiar a inovação na academia, na indústria e no setor público. A Autoridade Italiana, por sua vez, propôs que as autoridades do G7, como um grupo de autoridades dos sete sistemas socioeconômicos mais importantes do mundo, indiquem um modelo ético e distinto para a governança da IA. Além disso, solicitou que fosse inserido no documento final do trabalho do G7 “a recusa de um uso indiscriminado de IA aplicada a dados pessoais que leve a formas de vigilância massiva com o objetivo óbvio de controlar e manipular o comportamento dos indivíduos a partir de dados pessoais, coletados, analisados e cruzados em grande quantidade, variedade e rapidez”. O documento final propõe, ainda, a construção de uma alternativa à utilização da IA pelas autoridades públicas, levando em consideração os valores e princípios do Estado de direito e do governo democrático.
A Autoridade Italiana deu um parecer negativo aos Ministérios da Saúde e da Inovação Tecnológica do país acerca do regime de decreto que prevê a criação do novo banco de dados denominado “Ecosystem Data Health” (EDS), previsto pela reforma do sistema eletrônico de saúde registro. De igual maneira, a Autoridade solicitou a correção de um segundo projeto de decreto, para incentivar e melhorar a implementação em nível nacional do registro eletrônico de saúde (ESF). Isso porque, destacou o ente, a necessidade de introduzir ferramentas destinadas a facilitar o desenvolvimento de serviços digitais de saúde oferecidos aos cidadãos é importante, entretanto, gera também um dever de que sejam respeitados os direitos fundamentais dos cidadãos na sua implementação. Sendo assim, tal proteção não foi plenamente reconhecida nos dois decretos em questão, por não estarem em consonância com a legislação do setor, e apresentarem inúmeras violações das normas de proteção de dados pessoais. Além disso, a Autoridade reforçou a crítica, realizada desde 2020, de que o Ecossistema de Dados de Saúde (EDS), previsto pela reforma do Prontuário Eletrônico de Saúde com o objetivo de “garantir a coordenação de TI e assegurar serviços homogêneos em todo o país”, envolve, na verdade, a duplicação de dados e documentos de saúde já presentes na ESF e determina a criação do maior banco de dados de saúde da Itália. Isso geraria uma coleta de dados centralizada, sem garantias de anonimato dos pacientes, dados e documentos de saúde relativos a todos os serviços de saúde prestados no território nacional. Além disso, tal como atualmente previsto pelo regime de decretos, o EDS surge como “uma caixa vazia”, adiando para os decretos posteriores a definição de aspetos essenciais à sua regulamentação.
Noruega
Após reclamações, a Autoridade Norueguesa tomou uma decisão em mais um caso sobre o tratamento de informações sobre titulares em investigações realizadas por escritórios de advocacia. Em setembro de 2021, os reclamantes submeteram queixa à Autoridade Norueguesa apontando que o Partido Popular Conservador e o escritório Plesner Advogados haviam tratado informações sobre eles de forma indevida em uma “investigação jurídica”. O objetivo de tal investigação seria descobrir o curso processual de diversas acusações de abuso sexual e agressão sobre os titulares em questão. Ressalte-se, no entanto, que a Autoridade concluiu no caso que o tratamento de informações sobre os possíveis crimes não estavam em desacordo com o GDPR, não havendo ilegalidades no caso descrito.
Peru
O Ministério da Justiça e Direitos Humanos (MINJUSDH), em parceria com a Autoridade Peruana de Proteção de Dados lançou hoje o segundo concurso de desenho e quadrinhos escolar denominado #YoCuidoMisDatosPersonales, por meio do qual busca promover e fortalecer uma cultura de proteção de dados entre crianças e adolescentes. O vice-ministro da Justiça, Jimmy Quispe De Los Santos, perante dezenas de alunos presentes na cerimónia de lançamento, afirmou que o concurso vai permitir que eles compreendam melhor, através da arte, como cuidar das informações pessoais, para que as redes sociais sejam uma ferramenta positiva, e não um risco. Além disso, destacou que a Autoridade Nacional de Peruana do MINJUSDH, que organiza o concurso, tem entre as suas funções promover uma cultura de proteção de dados pessoais, sobretudo entre crianças e adolescentes, função que é de vital importância num mundo cada vez mais digitalizado. A segunda edição do concurso, lançada no Museu de Arte de Lima (MALI), é destinada a estudantes da região metropolitana de Lima e da Província Constitucional de Callao e será composta por duas categorias: (i) Desenho, para alunos do sexto ano do ensino fundamental ao segundo ano do ensino médio; e (ii) Quadrinhos, para alunos do terceiro ao quinto ano do ensino médio.
Proteção de Dados nas Universidades
A LGPD no Congresso após 4 anos de promulgação e 2 anos de vigência
MENDONÇA, Júlia; RIELLI, Mariana.
Recentemente, a Lei Geral de Proteção de Dados (Lei nº 13.709/18; LGPD) completou 4 anos desde a promulgação e se encaminha para 2 anos completos de vigência. Nesse período, as discussões e iniciativas que circundam a primeira lei transversal sobre o tema no país apenas cresceram e se diversificaram. Um dos campos que ganhou ainda maior proeminência foi a própria regulação: seja a regulamentação de pormenores da LGPD pela entidade competente, a Autoridade Nacional de Proteção de Dados (ANPD), seja o relevante crescimento de outras propostas legislativas que se destinam ou a alterar o texto da LGPD, ou a legislar sobre proteção de dados de forma complementar. Esses movimentos no Legislativo, em todo o período anterior à LGPD, mas com destaque após a sua aprovação, foi objetivo de um projeto lançado pela Associação Data Privacy Brasil de Pesquisa em agosto de 2021. A página “Privacidade e Proteção de Dados Pessoais no Congresso Nacional”, apresentou uma curadoria de todos os projetos de lei envolvendo privacidade e proteção de dados no legislativo brasileiro desde 1980, com uma análise de números, temas de destaque e outras métricas, que vem sendo atualizadas desde então. Um ano depois do lançamento, ocorreram mudanças legislativas relevantes sobre a temática. Nesse sentido, o texto apresenta uma análise quantitativa dos projetos de lei sobre o tema, além de fazer uma análise mais detalhada da MPV 1124/2022 e das 29 emendas propostas.
Too Little too Late? Do the Risks of FemTech already Outweigh the Benefits?
SHIPP, Laura; TOREINI, Ehsan; ALMEIDA, Teresa e outras.
As tecnologias orientadas para o público feminino (FemTech) prometem permitir que as mulheres assumam o controle de seus corpos e vidas, ajudando-as a superar os muitos desafios existentes na assistência médica e na pesquisa. Da falta de dados sobre as mulheres em geral, ao preconceito e discriminação em estudos de saúde, conjuntos de dados e algoritmos, a FemTech percorreu um longo caminho para centrar as mulheres no design e desenvolvimento de tais sistemas. No entanto, a indústria FemTech permanece amplamente não regulamentada, principalmente quando se trata de segurança, privacidade e proteção de dados. Esses problemas podem levar a uma catástrofe devido à natureza altamente sensível dos dados que as tecnologias da FemTech manipulam. Neste artigo, as autoras mostram como tais ameaças já estão colocando as mulheres em risco, destacando, que em alguns casos, a falta de proteção adequada de segurança e privacidade podem gerar inclusive riscos à vida e integridade física. Também são apresentados os resultados de algumas pesquisas em andamento sobre a coleta massiva de dados da FemTech sobre usuários finais e outros (bebê, parceiro, família, etc.). Por fim, é proposta uma agenda de pesquisa sobre segurança e privacidade da FemTech.
Um passo atrás: a relevância do combate aos ilícitos de dados nas eleições
VERGILI, Gabriela; SALIBA, Pedro; ZANATTA, Rafael.
Desde o escândalo Cambridge Analytica em 2018, as relações entre proteção de dados pessoais, processos eleitorais e democracia passaram a ser vistas com mais ênfase, cuidado e atenção. A possibilidade de extração de uma vasta quantidade de dados pessoais para construção de perfil psicométricos com alta capacidade preditiva, e possibilidade concreta de influência na escolha de um candidato a partir de técnicas de propaganda e modulação comportamental, trouxe um conjunto novo de preocupações, como a possibilidade de um partido apresentar “narrativas distintas” a partir da modulação por micro-targeting ou a extração ilícita de dados pessoais para “inferência de preferências políticas e sensíveis”. No Brasil, já se discutia, há quatro anos, que o Facebook não teria um papel central a desempenhar nas eleições, considerando a força monumental do Whatsapp e outras plataformas de comunicação. O “populismo digital” de Jair Bolsonaro tem se alimentado de um intenso uso do Whatsapp, da multiplicidade de grupos em operação e das relações deste com um “ambiente de mídia mais amplo”, como Facebook, Twitter, YouTube, Telegram e outras plataformas. Paradoxalmente, as regras eleitorais sobre “impulsionamento” de conteúdo eleitoral em 2018 foram construídas para plataformas como Facebook e ignoraram o papel desempenhado pelo Whatsapp, não obstante o alerta de pesquisadores. Com base em tal panorama, o texto analisa uma das agendas de contenção da desinformação e da propaganda eleitoral irregular, que é a limitação do uso de bases de dados para disparo automático de mensagens e a combinação das regras da Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) com as normas sobre propaganda eleitoral.
Proteção de Dados no Legislativo
O Projeto de Lei nº 2392/2022, proposto pelo Deputado Guga Peixoto (PSC/SP), tem como objetivo dispor sobre o uso de tecnologias de reconhecimento facial nos setores público e privado. Dentre outros pontos, o projeto determina que toda “instituição pública ou privada que utilizar de tecnologia de reconhecimento facial deverá produzir relatório anual, de acesso público pela internet, contendo a avaliação do uso da tecnologia no caso concreto”. Atualmente, o projeto encontra-se aguardando Despacho do Presidente da Câmara dos Deputados.
