Seja bem-vinde a mais uma edição do Boletim! Nesta 69ª edição do Boletim, no contexto brasileiro, destacamos que Autoridade Nacional de Proteção de Dados publicou a Nota Técnica nº 75/2022/CGF/ANPD […]
Seja bem-vinde a mais uma edição do Boletim!
Nesta 69ª edição do Boletim, no contexto brasileiro, destacamos que Autoridade Nacional de Proteção de Dados publicou a Nota Técnica nº 75/2022/CGF/ANPD que analisou o Acordo de Cooperação Técnica entre o Serviço Federal de Processamento de Dados (Serpro) e a empresa DrumWave. Em resumo, a ANPD concluiu que sua atuação no caso em questão, nesse momento, é desnecessária.
No contexto internacional, por sua vez, destacamos que a Autoridade Irlandesa aplicou uma multa recorde no âmbito do GDPR no valor de € 405 milhões contra o Instagram. A sanção foi aplicada após ter sido identificado que o Instagram teria publicado endereços de e-mail e/ou números de telefone de crianças usando o recurso denominado “conta comercial” e uma configuração pública por padrão para contas pessoais.
Por fim, salientamos que o Information Commissioner ‘s Office (ICO) lançou uma segunda consulta pública sobre o projeto de código de boas práticas para uso de dados pessoais em atividades jornalísticas, que receberá contribuições por meio do seu site.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
ANPD publicou Nota Técnica que analisa Acordo de Cooperação entre Serpro e a empresa DrumWave
A Autoridade Nacional de Proteção de Dados publicou a Nota Técnica nº 75/2022/CGF/ANPD que analisou o Acordo de Cooperação Técnica entre o Serviço Federal de Processamento de Dados (Serpro) e a empresa DrumWave. O documento analisou o possível compartilhamento de dados pessoais entre as empresas, bem como o fato de terem ocorrido reuniões entre a Secretaria de Governo Digital do Ministério da Economia e a empresa DrumWave. Com base nisso, a ANPD solicitou informações a respeito do acordo de cooperação e das reuniões realizadas. A DrumWave é uma empresa que funciona como uma espécie de cartório de dados digitais e monetiza o valor dos dados de empresas e pessoas. No entanto, o Serpro e a SGD afirmaram que não há compartilhamento de dados pessoais nessa etapa de cooperação com a empresa em questão. Portanto, a ANPD concluiu que sua atuação, nesse momento, é desnecessária, ressaltando, no entanto, que caso o Serpro, em momento futuro, opte pelo compartilhamento de dados pessoais no âmbito do Acordo, deverá comunicar à Autoridade imediatamente.
European Data Protection Board
Após intervenção do EDPB, a Autoridade Iralndesa aplicou multa em valor recorde contra o Instagram
Na sequência da decisão vinculativa de resolução de litígios do EDPB, a Autoridade de Proteção de Dados Irlandesa emitiu sua decisão sobre o Instagram (Meta Platforms Ireland Limited) e aplicou uma multa recorde do GDPR no valor de € 405 milhões. A sanção foi aplicada após investigações que demonstraram que o Instagram teria publicado endereços de e-mail e/ou números de telefone de crianças usando o recurso denominado “conta comercial” e uma configuração pública por padrão para contas pessoais do Instagram de crianças, durante o período abrangido pela investigação. A presidente da EDPB, Andrea Jelinek, apontou: “Esta é uma decisão histórica. Não apenas por causa do valor da multa – esta é a segunda multa mais alta desde a entrada em vigor do GDPR – é também a primeira decisão em toda a UE sobre os direitos de proteção de dados das crianças. Com esta decisão vinculativa, o EDPB deixa ainda mais claro que as empresas que visam as crianças têm de ser extremamente cuidadosas. As crianças merecem proteção específica no que diz respeito aos seus dados pessoais.” De forma específica, o EDPB forneceu esclarecimentos sobre a aplicabilidade das bases legais “execução do contrato” e “interesse legítimo” para a publicização dos dados em questão. Para a entidade, a Meta não teria motivos para concluir que o tratamento em discussão era necessário para a execução de um contrato, bem como não realizou o teste de ponderação necessário para possibilitar o enquadramento de maneira adequada no legítimo interesse.
Durante sua última plenária, o EDPB adotou um parecer sobre a certificação EuroPrise, direcionada apenas a controladores de dados, apresentada ao Conselho pela DPA alemã da Renânia do Norte-Vestfália. Esse é o segundo posicionamento oficial do EDPB sobre critérios para a adoção de uma certificação nacional, que visa assegurar a consistência e correta aplicação dos critérios de certificação entre as APD do Espaço Económico Europeu. Nesse sentido, o EDPB considera que os critérios de certificação em questão podem conduzir a uma aplicação inconsistente do GDPR, sendo necessário efetuar várias alterações para cumprir os requisitos impostos pelo artigo 42 da norma. Após aprovação e realização das alterações necessárias, a certificação será adicionada ao registro de mecanismos de certificação e selos de proteção de dados, disposto no art. 42 (8) GDPR.
Estados Unidos
FTC publicou agenda para evento virtual sobre publicidade digital para crianças
A Federal Trade Commission (FTC) divulgou a agenda final de seu evento Protecting Kids from Stealth Advertising in Digital Media, que examinará o cenário atual da publicidade digital infantil, seu impacto nas crianças e se os regimes legais e regulatórios atuais estão equipados para protegê-las de possíveis danos. O evento também contará com três painéis de discussão focados em: (i) Habilidades cognitivas das crianças: os membros do painel examinarão as habilidades cognitivas das crianças em diferentes idades e estágios de desenvolvimento para reconhecer e entender o conteúdo da publicidade e distingui-lo de outros conteúdos; (ii) Cenário de publicidade atual: Os membros do painel explorarão os impactos do cenário de publicidade atual, incluindo quaisquer danos decorrentes da incapacidade das crianças de distinguir a publicidade de outros conteúdos; (iii) Possíveis soluções: Os palestrantes discutirão o atual regime jurídico, seus desafios e possíveis formas de proteger as crianças de quaisquer efeitos nocivos relacionados ao marketing digital e à publicidade. O evento será transmitido via web no site da FTC, www.ftc.gov.
Espanha
AEPD lançou a versão online do “Evalúa_Riesgo RGPD”, ferramenta que auxilia na avaliação dos riscos
A Autoridade Espanhola de Proteção de Dados (AEPD) lançou a versão web do “Evalúa_Riesgo RGPD”, que é uma ferramenta voltada para análise de riscos intuitiva e fácil de usar, compatível com qualquer navegador e sistema operacional. Seu uso simplifica a análise para identificar os fatores de risco inerentes aos direitos e liberdades dos titulares de dados, facilitando a tarefa dos responsáveis pela proteção de dados, como os controladores e operadores. A ferramenta permite realizar uma avaliação inicial e não exaustiva, que, se for o caso, deve ser ajustada por cada responsável para determinar com precisão o nível de risco dos tratamentos. A ferramenta “Evalua_Riesgo RGPD” é uma extensão do guia de Gestão de Riscos e Avaliação de Impacto no tratamento de dados pessoais e para o uso correto desta ferramenta é necessário o conhecimento prévio deste guia. Acesso ao RGPD Assess_Risk aqui.
A Autoridade Espanhola de Proteção de Dados (AEPD) e a Autoridade Europeia para a Proteção de Dados (EDPS) publicaram um novo documento conjunto no qual expõem os 10 mal-entendidos mais comuns relacionados ao aprendizado de máquina (machine learning) e fornecem uma análise de qual deve ser a abordagem correta. O objetivo desses documentos (versão em espanhol e inglês) é elucidar os equívocos mais comuns em torno dos sistemas de aprendizado de máquina, além de destacar a importância de implementar essas tecnologias de acordo com os valores da UE, os princípios de proteção de dados e o respeito aos direitos de indivíduos.
Noruega
A Autoridade Norueguesa examinou mais de perto a ferramenta Google Analytics, suas configurações e os termos sob os quais a ferramenta é fornecida. Com base nesta revisão, a Autoridade concluiu que a ferramenta não pode ser usada legalmente do jeito que é estruturada atualmente, devendo ser implementadas várias medidas adicionais além das configurações fornecidas pelo Google. Portanto, a mensagem da Autoridade Norueguesa é que, se você utiliza o Google Analytics, deve fazer um plano para adequar seu uso, por meio da adoção de medidas adicionais de proteção, como, por exemplo, a pseudonimização. Se não for possível tomar medidas adicionais efetivas, você deve encerrar o uso e buscar outra ferramenta que possa fornecer estatísticas da web de maneira concomitante com o cumprimento das normas de proteção de dados, por exemplo, não transferindo informações sobre os visitantes para países terceiros considerados “inseguros” quanto à dinâmica de proteção de dados pessoais.
Autoridade Norueguesa noticiou que está investigando um grupo no Facebook para padres
Em conexão com um artigo na tv2.dk – site de notícias do país-, a Autoridade Norueguesa tomou conhecimento de que vários padres aparentemente compartilham histórias de suas vidas cotidianas em um grupo fechado no Facebook, por meio do qual é possível identificar indivíduos. Com base nessa situação, a Autoridade Norueguesa destacou que está solicitando ao Ministério dos Assuntos da Igreja da Noruega que lide com o caso em questão, além de estar averiguando possíveis implicações relacionadas com a proteção de dados pessoais dos indivíduos.
Reino Unido
ICO pode impor multa de milhões de libras ao TikTok por não proteger a privacidade das crianças
O TikTok pode enfrentar uma multa de £ 27 milhões depois que uma investigação do Information Commissioner ‘s Office (ICO) descobriu que a empresa pode ter violado a lei de proteção de dados do Reino Unido, deixando de proteger a privacidade das crianças na sua plataforma. Com base nisso, o ICO emitiu à TikTok Inc e à TikTok Information Technologies UK Limited (‘TikTok’) um “aviso de intenção” – um documento legal que precede a aplicação de uma possível multa. A referida investigação identificou que a empresa pode ter: (i) tratado os dados de crianças menores de 13 anos sem o devido consentimento dos pais; (ii) deixado de fornecer informações adequadas aos seus usuários de forma concisa, transparente e de fácil compreensão; e (iii) tratado dados de categoria especial (aka. dados sensíveis), sem fundamento legal adequado. Ressalte-se, no entanto, que nenhuma conclusão deve ser tirada nesta fase de que houve, de fato, qualquer violação da lei de proteção de dados ou que uma sanção pecuniária será aplicada, é apenas um aviso preliminar. Antes da decisão final, serão considerados eventuais pronunciamentos do Tiktok, destacou a Autoridade.
ICO lançou segunda consulta sobre o projeto de proteção de dados e código de jornalismo
O Information Commissioner ‘s Office (ICO) lançou uma segunda consulta pública sobre o projeto de código de boas práticas para uso de dados pessoais em atividades jornalísticas. Ressalte-se que o código em questão está sob a seção 124 da Lei de Proteção de Dados do Reino Unido e não diz respeito à conduta da imprensa ou padrões em geral. Após a primeira consulta que terminou em janeiro de 2022, a ICO considerou o feedback recebido do setor de mídia e de outras partes interessadas e reduziu significativamente o tamanho e a complexidade do código com a adoção das seguinte medidas: (i) concentração nos pontos-chave do código, movendo as informações básicas para as notas de referência; (ii) distinção clara entre os requisitos legais e as boas práticas, explicando o que pode ser feito para cumpri-las; (iii) desenvolvimento de guias de referência rápida, como por exemplo, “10 dicas para jornalistas e o código “em uma olhada”; (iv) utilização de linguagem e explicações mais simples para que seja útil para um público mais amplo; entre diversos outros pontos.
Proteção de Dados nas Universidades
Separação informacional de poderes no direito constitucional brasileiro
SARLET, Ingo; SARLET, Gabrielle.
Em 2021, foi iniciada a publicação da série “Textos de Discussão” da Associação Data Privacy Brasil de Pesquisa. O objetivo foi fomentar a discussão acadêmica brasileira a partir de pesquisas inovadoras sobre assuntos complexos e pouco comentados pela literatura jurídica em proteção de dados pessoais. Este quarto texto, elaborado pelos professores Ingo Wolfgang Sarlet e Gabrielle Sarlet, tem como origem um parecer elaborado pelos autores em março de 2022. O parecer estruturou-se a partir de duas questões. A primeira era: “O assim chamado princípio da divisão informacional de poderes pode ser considerado um princípio fundamental, geral e estruturante, implicitamente positivado pela CF de 1988 ou é indispensável uma emenda constitucional para sua inserção no texto constitucional?”. A segunda questão, mais longa, consistia no seguinte: “Considerando que a definição de competências legislativas sobre direito de polícia, inteligência e persecução penal, não está expressamente prevista no desenho constitucional brasileiro, a quem deveria ser atribuída tal competência no âmbito do esquema federativo brasileiro e de que modo se daria a repartição de competências de tal sorte a assegurar a separação informacional de poderes no plano vertical do Estado Federal?”. Com maestria e farta literatura de direito constitucional, os autores respondem tais perguntas a partir de uma análise dogmática robusta, tendo como ponto de partida “a posição da pessoa humana na sociedade informacional” e uma releitura dos dispositivos constitucionais e das reconfigurações do Estado e do federalismo brasileiro a partir da concepção da proteção de dados pessoais como direito fundamental autônomo.
Taxation, data and destination : an analysis of destination-based taxation from the perspective of tax principles and data protection regulation
SINNING, Julia.
A digitalização da economia levanta várias novas questões jurídicas. A tributação internacional das empresas encontra-se em situações até então desconhecidas, baseando-se tradicionalmente num nexo físico de empresas nos seus Estados de residência ou de origem. Nos últimos anos e no âmbito do projeto BEPS, a OCDE e sua Estrutura Inclusiva de 140 países discutiram amplamente possíveis modificações das regras tributárias existentes para adaptar essas regras à realidade econômica dos modelos de negócios digitalizados. O livro contribui para essa discussão analisando dois modelos tributários corporativos baseados no destino e sua aplicação a diferentes tipos de modelos de negócios digitalizados, bem como sua conformidade com as estruturas de leis tributárias e de proteção de dados da UE e internacionais. Por um lado, fornece uma análise extensa do modelo tributário de um imposto de fluxo de caixa baseado no destino, desenvolvido por economistas já muito antes de surgir a discussão sobre a tributação do digital. Por outro lado, a autora desenvolve um imposto corporativo digitalizado baseado no destino, que deve substituir o imposto de renda corporativo para contribuintes e combina elementos dos tão discutidos impostos sobre serviços digitais e imposto de renda corporativo tradicional. A análise jurídica fornecida neste livro concentra-se na conformidade desses dois impostos modelo com convenções de dupla tributação baseadas nas convenções modelo da OCDE e da ONU, liberdades fundamentais da UE e disposições de auxílio estatal, bem como direito derivado da UE relevante e lei da OMC.
Proteção de Dados no Legislativo
O Projeto de Lei nº 24171/2022, proposto pelo Senador Marcos do Val (PODEMOS/ES), tem como objetivo estabelecer que a captação de som ambiental, feita por um dos interlocutores, poderá ser utilizada em favor da vítima de estupro ou vítima criança, idosa ou vulnerável. Dentre outros pontos, o projeto altera o §4º do artigo 8º da Lei das Interceptações Telefônicas (Lei nº 9296/96) para incluir o inciso II “II – quando feita por um dos interlocutores ou por terceiros, em favor da vítima de estupro ou da vítima criança, idosa ou vulnerável”. Atualmente, o projeto encontra-se aguardando despacho do Plenário do Senado Federal
