Nesta Edição destacamos o artigo conjunto publicado pela Agência Espanhola de Proteção de Dados e o European Data Protection Supervisor sobre o uso de técnicas hash como forma de pseudonimização de dados, o posicionamento da autoridade britânica sobre o uso de tecnologia de reconhecimento facial para segurança em locais públicos, o projeto do Senador Styvenson Valentin para instituir a Política Nacional de Inteligência Artificial e o projeto de lei do Deputado Federal Carlos Bezerra para a prorrogação da data de entrada em vigor da LGPD.
Proteção de Dados e Autoridades
EDPB
O objetivo das guidelines é orientar a utilização da base legal do Art. 6(1) (b) da GDPR – segundo a qual é legal o tratamento de dados pessoais na medida em que for necessário para a performance de um contrato do qual o titular de dados pessoais seja parte – no contexto de serviços digitais. Dentre alguns exemplos, o EDPB considerou que a base legal não se aplica no caso de utilização de dados pessoais para ‘’melhorias nos serviços’’ de plataformas digitais, nem para prevenção a fraude, caso em que outras bases legais, como o legítimo interesse, ou a obrigação legal, se aplicariam. Também não considera ser aplicável a base legal de execução de contrato para casos de publicidade comportamental online, ainda que ela financie o serviço em questão, na medida em que não se trata de um emprego estritamente necessário. Por fim, considerou que, no caso de personalização de conteúdo, a base legal em questão pode ser aplicada a depender do caso, desde que tal personalização seja parte integral e indissociável do serviço em questão.
#baselegal #contratos #publicidade
EDPS
Artigo ‘’Facial recognition: A solution in search of a problem?’’
Neste texto do blog do European Data Protection Supervisor, Wojciech Wiewiórowski, que substituiu Giovanni Buttarelli nesta função, discute o emprego massivo de tecnologias de reconhecimento facial para diferentes finalidades, por empresas e pelo poder público ao redor do mundo. O supervisor identifica dois motivos principais para esta tendência – segurança e conveniência – e questiona, a partir do quadro regulatório europeu de proteção de dados pessoais e também de direitos fundamentais, se o emprego de tais tecnologias é de fato necessário, se não haveria medidas menos intrusivas com os mesmos resultados, ou no mínimo resultados semelhantes. O ponto mais interessante do texto é a afirmação de que seria leviano considerar a questão do reconhecimento facial como um problema de privacidade apenas, na medida em que se trata de uma questão ética em uma democracia, e que afeta outros direitos fundamentais, tais como a liberdade de expressão e a própria dignidade.
#reconhecimentofacial #privacidade
Entre 21 e 24 de outubro, em Tirana, Albania, ocorreu a 41º Conferência Internacional de Comissários de Proteção de Dados e Privacidade. Na ocasião, foram adotados os seguintes documentos: Resolução para Endereçar o Papel do Erro Humano em Data Breaches, Resolução para Apoiar e Facilitar a Cooperação Regulatória entre Autoridades de Proteção de Dados e Autoridades para a Proteção do Consumidor e para Concorrência, Resolução sobre a Promoção de Instrumentos Práticos Novos e de Longo Prazo e Continuação dos Esforços Legais para uma Cooperação Eficaz no Enforcement Transfronteiriço e Resolução Internacional sobre Privacidade como Direito Fundamental e Pré-condição para o Exercício de Outros Direitos.
Paper conjunto da Agência Espanhola de Proteção de Dados e o European Data Protection Supervisor
O texto é voltado para controladores que pretendem usar técnicas hash como forma de pseudonimização de dados. Seu objetivo é explicar os fundamentos e definições desse tipo de técnica, além de apresentar os riscos objetivos de reidentificação na aplicação das técnicas, que devem ser levados em consideração para se avaliar se elas são adequadas para fins de pseudonimização ou mesmo anonimização.
#pseudonimização #anonimização #dados
ICO – Reino Unido
Esta Opinion é direcionada, especialmente, para o campo da segurança pública e seu uso de tecnologia de reconhecimento facial no espaço público. Ela é resultado de um estudo sobre os usos de reconhecimento facial pelas polícias Metropolitana (MPS) e de South Wales (SWP) e seu principal achado é que a combinação atual de leis, códigos e práticas em vigor no Reino Unido não são suficientes para fazer frente aos desafios apresentados por estas tecnologias e seus diferentes empregos, de forma que o governo deveria introduzir um código de práticas estatutário e vinculativo sobre a implantação do reconhecimento facial.
#reconhecimento facial #segurançapublica #espacopublico
Em 28 de outubro, foi anunciado que o primeiro Call for Input sobre o framework do ICO para auditoria de Inteligência Artificial foi encerrado. No último post dessa fase, Simon McDougall, Diretor Executivo de Tecnologia, Policy e Inovação do ICO, reflete sobre os principais temas de governança e accountability que permeiam a regulação da inteligência artificial: i) necessidade de construção de capacidades de gerenciamento de risco e governança de Inteligência Artificial; ii) entendimento dos riscos para a proteção de dados pessoais e determinação de um ‘’apetite de risco’’ adequado; iii) alavancagem das avaliações de impacto à proteção de dados (DPIAs) como um roteiro para desenvolver abordagens éticas e compatíveis com a IA.
#inteligenciaartificial #ia #dpias
Nesse statement, o ICO trata da investigação formal que conduz, desde 2017, contra o Facebook por possível mau uso de dados pessoais em campanhas eleitorais. Em Outubro de 2018, o ICO emitiu um aviso de penalidade pecuniária contra o Facebook no valor de £500,000. Após uma série de recursos de ambas as partes, chegou-se a um acordo: o Facebook concordou em pagar a multa, mas não admitiu responsabilidade no caso.
#facebook #eleiçoes #multa
DPA – Polônia
Autoridade Supervisora Romena multa Raiffeisen Bank S.A. e Vreau Credit S.R.I e INTELIGO MEDIA SA
A Autoridade Romena de Proteção de Dados decidiu em alguns casos de multa administrativa. No primeiro deles, duas instituições financeiras, um banco e uma instituição de crédito, foram multadas em valores que totalizam 170 mil euros por terem trocado dados pessoais de correntistas, de forma alheia aos procedimentos internos e sem atenção a medidas de segurança da informação, para fins de checagem de crédito. A situação levou ao acesso não autorizado de dados pessoais de usuários e violações ao art. 32 da GDPR, que diz respeito à segurança no tratamento de dados pessoais.
Em outro caso, a empresa Inteligo Media SA foi multada em 9 mil euros por ter sido incapaz de provar que obteve consentimento explícito de 4357 usuários de um de seus sites, pois ele utilizava um sistema de ‘’opt-out’’ para recebimento de informações, isto é, os usuários precisavam checar uma caixa para demonstrar a vontade de não receber conteúdo do site. No caso, foi entendido que houve violação dos artigos 5(1)(a) e (b), 6(1)(a) e 7 da GDPR.
#compartilhamento #credito #tratamento #multa
DPA – Áustria
A Autoridade austríaca de Proteção de Dados impôs multa de 18 milhões de euros à empresa de serviço postal Österreichische Post AG (ÖPAG), depois de uma série de procedimentos administrativos, por ter tratado dados pessoais relativos a afinidades políticas dos titulares afetados, além de ter realizado uso secundário de dados pessoais de frequência de postagens dos cidadãos com fim de direcionar-lhes marketing direto, hipótese não permitida pela GDPR. Ainda cabem recursos da decisão.
#multa #tratamento #marketing #monitoramento
Federal Trade Commission – EUA
FTC oferece comentários sobre a proposta de Privacy Framework do NIST
O National Institute of Standards and Technologies está desenvolvendo um marco sobre privacidade, focado em gerenciamento de riscos. O comentário do FTC sugere cinco mudanças à proposta inicial de framework: i) necessidade de atenção ao risco de data breaches em cada passo do documento; ii) consideração quanto ao caráter sensível da informação para verificação do risco, quando aplicável; iii) maior foco em práticas que facilitem o entendimento das políticas de privacidade das companhias pelos consumidores; iv) sugestão de contratação de um ou mais indivíduos para serem os responsáveis pelo programa de privacidade de uma empresa; v) necessidade de condução de uma ampla análise de risco antes de qualquer decisão sobre medidas de privacidade a serem implementadas.
#databreaches #gerenciamentoderiscos
Proteção de Dados e as Universidades
Privacy, Voter Surveillance and Democratic Engagement: Challenges for Data Protection Authorities
BENNETT, Colin; ODURO-MARFO, Smith.
Este paper, comissionado pelo ICO para a Conferência Internacional de Comissários de Proteção de Dados e Privacidade, tem como premissa que, a partir da incorporação da proteção de dados à discussão mais ampla acerca de manipulação eleitoral e democracia, Autoridades de Proteção de Dados Pessoais veem-se no centro de um debate sobre democracia. O estudo, então, faz uma avaliação a partir dos seguintes eixos: o rigor das legislações sobre uso de dados relativos a opiniões políticas em eleições e as condições sob as quais a comunicação política personalizada é permitida. Então, são identificados 5 padrões de países: permissivo, isento, regulado, proibido e emergente, tendo o último como exemplo de país representativo o Brasil.
#eleicoes #democracia #legislacao
The Chinese Approach to Artificial Intelligence: An Analysis of Policy and Regulation
COWLS, Josh; FLORIDI, Luciano; MORLEY, Jessica; ROBERTS, Huw; TADDEO, Mariarosaria; WANG, VincentO foco do paper é o pano de fundo sociopolítico e os debates de policy em torno da estratégia chinesa sobre Inteligência Artificial, com foco nas principais áreas estratégicas que estão recebendo investimentos nesta área no país e os debates éticos que vêm acompanhando esses movimentos. O paper parte da premissa de que a China está consciente dos desafios técnicos e éticos que permeiam a Inteligência Artificial e que o avanço da sua estratégia dependerá do balanceamento entre estes desafios (e potenciais riscos, inclusive) e os interesses governamentais.
#inteligenciaartificial #ia #policy #china
Proteção de Dados no Legislativo
Projetos de Decreto Legislativo pretendem sustar os efeitos dos Decretos de Bolsonaro sobre compartilhamento de dados no setor público
Os Projetos de Decreto Legislativo 673/2019, do Deputado Orlando Silva (PCdoB/SP), 664/2019, do Deputado Ivan Valente (PSOL/SP) e 675/2019, também do Deputado Ivan Valente, têm como objetivo sustar os efeitos de dois recentes Decretos do Poder Executivo. O primeiro deles cria regras para o compartilhamento massivo de dados pessoais entre órgãos da administração pública federal e também estabelece um Cadastro Base do Cidadão. Já o segundo dispõe sobre a governança do Cadastro Nacional de Informações Sociais e institui o programa Observatório de Previdência e Informações, no âmbito do Cadastro Nacional de Informações Sociais. Os decretos foram amplamente criticados por vários motivos, desde a criação de conceitos potencialmente conflitantes com as definições da LGPD, o desrespeito a princípios como a necessidade e a finalidade, e a criação de um banco de dados amplo com potencial de vigilância.
#processopenal #dadoscadastrais #codigodeprocessopenal
O projeto, de autoria do deputado Pedro Lucas Fernandes (PTB/MA) altera a Lei nº 12.527/2011 (Lei de Acesso à Informação) para criar uma exceção à divulgação, em transparência ativa, de dados de remuneração e lotação de servidoras e empregadas públicas que tenham medidas protetivas vigentes, com o objetivo de dificultar sua eventual localização por agressores. A justificação do projeto faz referência a dados do relatório Visível e Invisível – A vitimização de mulheres no Brasil, que indicam a estabilidade dos números de vitimização quanto a assédio e violência física e psicológica contra ajkiu mulher no Brasil. O projeto foi encaminhado às Comissões de Defesa dos Direitos da Mulher; Trabalho, de Administração e Serviço Público e Constituição e Justiça e de Cidadania, onde terá apreciação conclusiva.
#compartilhamento #violenciadomestica
Projeto institui a Política Nacional de Inteligência Artificial
De autoria do Senador Styvenson Valentin (PODEMOS/RN), o PL 5691/2019 , o projeto tem como objetivo ‘’estimular a formação de um ambiente favorável ao desenvolvimento de tecnologias em Inteligência Artificial’’. Para isso, estabelece princípios, diretrizes, soluções e instrumentos em Inteligência Artificial. A justificação do projeto remete ao avanço destas tecnologias e a pesquisas que indicam seu potencial impacto sobre o crescimento econômico e sobre a produtividade, o que levou a que muitas nações tenham estabelecido seus planos estratégicos sobre o tema. O projeto foi encaminhado às Comissões de Ciência e Tecnologia e Constituição e Justiça, esta última em caráter terminativo.
#inteligenciaartificial #ia
Projeto de lei pede a prorrogação da data de entrada em vigor de dispositivos da LGPD
O PL 5762/2019, do deputado Carlos Bezerra (PMDB/MT), propõe que a data de entrada em vigor de boa parte da Lei Geral de Proteção de Dados, que hoje é 16 de agosto de 2020, seja modificada para 15 de agosto de 2022. O deputado justifica a proposta a partir de dois argumentos centrais: de um lado, a maioria das empresas não teria sequer iniciado seu processo de adequação à LGPD; de outro, a Autoridade Nacional de Proteção de Dados não foi implementada, de forma que parte do processo de normatização e interpretação da LGPD, que deveria ocorrer inclusive previamente a agosto de 2020, ainda não ocorreu. Foi distribuído para apreciação pela Comissão de Constituição, Justiça e Cidadania (CCJC) e pelo Plenário.
#audienciapublica #pec17
Projeto prevê a exigência de guarda de CPF e/ou CNPJ pelo provedor de conexão
O projeto, de David Soares (DEM/SP) propõe a inclusão de um art. 14-A ao dispositivo do Marco Civil da Internet que veda a guarda de registros de aplicação pelo provedor de conexão à internet para obrigar que os provedores coletem e mantenham o CPF e/ou CNPJ de todos os usuários que acessem a internet. A justificativa para tal proposta é contrapôr-se ao ‘’anonimato’’, que ‘’tem sido um dos principais vetores de consecução de crimes e práticas ilícitas na internet’’. O texto remete-se, especialmente, a notícias falsas e ‘’violação de privacidade, ameaças e outros tipos de condutas inaceitáveis’’. O projeto aguarda despacho para definição de comissões.
#dadoscadastrais #marcocivildainternet #mci
O PL 5776/2019. de autoria do deputado Afonso Motta (PDT/RS), inclui o direito ao esquecimento no Código Civil brasileiro, prevendo que ‘’o direito ao esquecimento poderá ser assegurado por tutela judicial inibitória’’. A justificação do projeto remete-se a alguns casos conhecidos no Brasil, como da chacina da Candelária e de Aida Curi e faz referência a entendimentos doutrinários, jurisprudenciais e de enunciados de jornadas de direito civil a favor da existência e positivação de tal direito, como uma decorrência da tutela à intimidade e da dignidade da pessoa humana. O projeto foi apensado ao PL 1676/2015, que atualmente está sob apreciação na Comissão de Ciência e Tecnologia, Comunicação e Informática (CCTCI)
#direitoaoesquecimento
Audiências Públicas sobre a PEC 17
Entre 22 de outubro e 6 de novembro, foram realizadas 3 das 4 Audiências Públicas do plano de trabalho apresentado pelo relator da Proposta de Emenda à Constituição nº 17, de 2019, que pretende tornar a proteção de dados pessoais direito fundamental com competência privativa da União para legislar sobre o tema, deputado Orlando Silva.
A primeira audiência pública, ocorrida em 22 de outubro, teve como foco a adequação jurídica da proteção de dados pessoais para figurar como direito fundamental;
A segunda audiência pública, realizada em 29 de outubro, discutiu a questão da competência privativa da União para legislar sobre a matéria da proteção de dados pessoais;
A terceira audiência, por sua vez, ocorreu em 06 de novembro e teve como objeto o impacto da PEC sobre a futura atuação da ANPD e sobre os direitos dos usuários.
A última Audiência Pública deste ciclo ocorrerá em 13 de novembro e tem como tema o papel dos estados e municípios na proteção de dados pessoais.
#audienciapublica #pec17 #anpd
Proteção de Dados e o Judiciário
TJDFT nega pedido do Ministério Público para suspender serviço de mídia geolocalizada da Vivo
Em 04 de novembro de 2019, a 24ª Vara Cível de Brasília negou pedido do Ministério Público do Distrito Federal e Territórios (MPDFT) que impunha à Telefônica Brasil S/A a obrigação de deixar de comercializar o serviço Mídia Geolocalizada do Vivo Ads, bem como de realizar Relatório de Impacto à Proteção de Dados Pessoais. A principal fundamentação da sentença é que a lei que embasaria tal pedido, a Lei Geral de Proteção de Dados (LGPD) não terá sua vigência integral até agosto de 2020. Além disso, no caso do pedido referente ao Relatório de Impacto à Proteção de Dados Pessoais, os próprios moldes para sua realização pendem de regulamentação pela Autoridade Nacional de Proteção de Dados, que, apesar de criada, não foi implementada até o momento. Ademais, argumenta-se que o serviço de geolocalização em questão não seria capaz de gerar eventual discriminação, tese do Ministério Público, pois sua precisão é baixa, podendo chegar a 1km de margem de erro.
#tjdfd #geolocalizacao #discriminacao
STJ decide sobre obrigação de guarda e coleta de porta lógica de origem por provedor de aplicação
Em 05 de novembro, a Terceira Turma do Superior Tribunal de Justiça deu provimento, por unanimidade, a um Recurso Especial interposto pela TIM Celular contra acórdão que entendera não haver obrigação do provedor de aplicação, no caso o Google, de coletar e guardar a porta lógica de origem, dado que permite a identificação de um dispositivo específico que esteja conectado a um endereço IP compartilhado. A despeito de o Marco Civil da Internet, ou seu decreto, não preverem expressamente a obrigação de coleta e guarda deste dado, a jurisprudência vinha se consolidando no sentido contrário, o que foi confirmado pelo julgamento do STJ.
#stj #portalogica #google
