Nesta edição destacamos o parecer emitido pela autoridade belga acerca de dois decretos que regulam aplicativos de contact tracing, o despacho técnico do EDPS sobre aplicativos de rastreamento e a carta enviada pela autoridade italiana ao ministério da educação italiano para discutir o registro eletrônico de atividades escolares
Proteção de Dados e Autoridades
Autorité de Protection des Données – Bélgica
A autoridade apontou para a obrigação de se demonstrar a necessidade e a proporcionalidade dos aplicativos de contact tracing e da criação do banco de dados. Determinou que o uso dos aplicativos de rastreamento de contato só é admissível se constituir o meio menos invasivo para atingir o objetivo perseguido e se houver um equilíbrio justo entre os interesses público e privado. Além disso, a autoridade aponta para o dever dos decretos de fornecerem garantias aos cidadãos, sendo claros quanto à fonte dos dados coletados, aos terceiros a quem esses dados médicos podem ser transmitidos e sobre quais usos podem ser feitos. Também há a necessidade de requisitos mínimos para o uso de aplicativos de contact tracing, com o recurso às ferramentas definidas pelo EDPB para esse tipo de aplicação. Por fim, a autoridade reforça a ideia de que a saúde pública é essencial e de que sua preservação não é incompatível com o direito à privacidade.
#contacttracing #rastreamento
Croatian Personal Data Protection Agency – Croácia
A autoridade recomenda que os prestadores de serviço registrem a hora de entrada do cliente, as informações de contato (número de celular) e hora de saída. São, os prestadores, obrigados a ter cautela para que somente os dados mencionados, relevantes para alcançar o objetivo determinado, sejam coletados/tratados. Destaca a necessidade de se respeitar os princípios básicos previstos no GDPR, especialmente o princípio da minimização, com redução da quantidade de dados coletados aos estritamente necessários à finalidade. Por fim, devem ser respeitados os princípios do tratamento transparente e justo dos dados pessoais.
#coronavírus
Office for Personal Data Protection – República Tcheca
A autoridade tcheca recebeu algumas denúncias de marketing abusivo e endossou a decisão do Tribunal Municipal de Praga de que as empresas contratantes de serviços de comunicação comercial para endereços de e-mail ou telefone também deveriam ser responsabilizada pelo marketing abusivo.
#marketingabusivo
EDPS – European Data Protection Supervisor
EDPS publica TechDispach #1/2020 sobre rastreamento de contatos com aplicativos móveis
O EDPS publicou, no dia 7 de maio, um parecer sobre contact tracing com o uso de aplicativos móveis. No documento, o Supervisor define o que é rastreamento de contatos e rastreamento de proximidade digital e as tecnologias que possivelmente são úteis nesse tipo de rastreamento. Indica que as implicações sobre a proteção de dados são: a vigilância em larga escala e a identificação do usuário com a propensão da reidentificação dos dados de localização. Aponta para a dicotomia entre as técnicas descentralizadas e a centralizadas, sendo que ambas possuem risco para a proteção de dados, mas uma assume a confiança em um serviço central e outra pressupõe que cada indivíduo não se envolva mais na coleta e correlação de dados do que seria considerado razoável. Aponta, ainda, para a necessidade de se considerar cuidadosamente os aspectos de limitação de finalidade e armazenamento, determinando-se antecipadamente para quais fins específicos os dados pessoais podem ser utilizados. Além disso, o uso de aplicativos de rastreamento deve ser voluntário e transparente para o usuário, sendo que as informações coletadas devem “residir” no smartphone do usuário.
#contacttracing #rastreamento
Office of the Data Protection Ombudsman – Finlândia
Autoridade finlandesa ordena que Google exclua dados de usuários dos resultados de pesquisa
A autoridade emitiu decisões em nove casos em que se requereu a supressão de resultados de pesquisa, sendo que em sete os resultados faziam referência a pessoas condenadas por crimes. Em quatro desses casos, a autoridade concedeu o pedido e determinou ao Google a retirada do conteúdo, considerando que as informações estavam no escopo do direito à privacidade e levando em consideração aspectos como a reputação dos indivíduos e o tempo que transcorrera desde os crimes em questão. Essas decisões são as primeiras na Finlândia desde a entrada em vigor da GDPR e correspondem à previsão da lei do ‘’right to erasure’’.
#exclusão #google
CNIL – França
A autoridade realizou várias verificações nas empresas que coletam dados de usuários da Internet acessíveis ao público e concluiu que há pelo menos dois tipos de empresas: aquelas que extraem dados de anúncios online, coletando contatos de anunciantes e vendendo-os, principalmente para agências imobiliárias; e aquelas que coletam por conta própria todos os dados pessoais de um setor geográfico que aparecem em diretórios online para, em seguida, realizar sua prospecção comercial. As práticas observadas pela autoridade demonstram que as empresas utilizam ferramentas como software de extração (raspagem da web), para realizar a coleta automatizada de informações de contato de usuários da internet. A autoridade lembra que esses dados, embora acessíveis ao público, são dados pessoais e que, portanto, não são livremente reutilizáveis por nenhum controlador de dados e tampouco podem ser reutilizados sem o conhecimento ou consentimento do titular. A verificação realizada pela autoridade revelou algumas violações como: (i) a falta de informação dos dados vendidos, em particular a fonte de coleta; (ii) a falta de consentimento e (iii) ausência de direito à oposição.
#marketingdireto #raspagem
Data Protection Commission – Irlanda
A autoridade indica que as pessoas: (i) realizem uma verificação de segurança e confirmem se as configurações dos aplicativos da mídia social utilizados estão atualizadas; (ii) usem senhas complexas e diferentes para cada plataforma; (iii) tomem especial cuidado com o compartilhamento de dados sensíveis, como os de saúde e (iv) no caso de trabalhadores domésticos, lembrem de manter a privacidade, de modo que arquivos de trabalho, email e banco de dados não devem ser usados quando visíveis a familiares ou colegas de casa.
#homeoffice #coronavírus
Garante per la Protezione dei Dati Personali – Itália
Autoridade italiana emite parecer sobre uso de aplicativo de rastreamento de contato no país
A autoridade italiana publicou, no dia 29 de abril, parecer aprovando o uso de aplicativo de contact tracing na Itália. A autoridade aponta que a aplicação segue as regras determinadas pelo European Data Protection Board, na medida em que há: (i) voluntariedade no uso do aplicativo, com escolha verdadeiramente livre dos usuários; (ii) base legal, atendida pela necessidade de executar uma tarefa de saúde pública e interesse público; (iii) transparência sobre o processamento de dados; (iv) certeza e exclusividade do objetivo perseguido pelo aplicativo; (v) minimização do uso de dados; (vi) não exclusividade do processo algorítmico, com tomada de decisão humana; (vii) interoperabilidade com outros sistemas de rastreamento de contato na Europa e (viii) reciprocidade de anonimato entre os usuários do aplicativo e a não identificação destes pelo controlador de dados.
#contacttracing #rastreamento
Na carta, a autoridade aponta para a necessidade de adoção de todas as precauções adequadas para evitar ou, pelo menos, minimizar os riscos de tratamento ilegal, especialmente de dados de menores de idade. Pede a melhoria na disciplina do setor, que atualmente tem ausência de diretrizes específicas pelo Ministério da Educação. Por fim, a autoridade afirma que supervisionará a legitimidade do tratamento de dados pessoais realizado por meio das plataformas utilizadas para ensino à distância.
#dadosinfantis #educação #coronavírus
Autoriteit Persoonsgegevens – Holanda
Autoridade holandesa inicia investigação do aplicativo TikTok
A autoridade holandesa aponta que as crianças que utilizam redes sociais são consideradas um grupo vulnerável, porque são menos conscientes de suas ações e, com base nisso, a autoridade está investigando se a privacidade e proteção de dados das crianças holandesas está suficientemente protegida no aplicativo TikTok.
#dadosinfantis
Autoridade holandesa multa empresa por processar impressões digitais de funcionários
A autoridade holandesa multou, no dia 30 de abril, empresa que obrigava seus funcionários a digitalizar suas impressões digitais para verificar presença e registro de horas. A multa foi aplicada no valor de 725 mil euros. A autoridade lembra que dados biométricos são dados pessoais de categoria especial e uma empresa não pode utilizar esse tipo de dado a menos que haja uma exceção prevista em lei. São duas as exceções previstas em lei para esse caso: se for solicitado o consentimento explícito ou se o uso de dados biométricos for necessário para fins de autenticação ou segurança. A empresa multada não se encaixou em nenhuma das duas exceções e, dessa forma, violou o direito à proteção de dados pessoais dos funcionários.
#dadosbiométricos
Urząd Ochrony Danych Osobowych – Polônia
A autoridade afirma que as disposições sobre a proteção de dados pessoais não se opõem ao tratamento de dados de funcionários e visitantes para fins de medição de temperatura corporal ou implementação de questionários sobre sintomas da doença, considerando o interesse público. Por outro lado, aponta para a necessidade de haver consentimento nessa coleta e que ela seja realizada por um profissional de saúde ou agente sanitário.
#coronavírus
Datatilsynet – Dinamarca
Autoridade dinamarquesa inicia investigação de aplicativo de contact tracing utilizado no país
A autoridade afirma que, embora seja opcional fazer o download do aplicativo, é problemático o uso voluntário desse tipo de aplicativo quando este também tem outra finalidade para além do combate à pandemia e, especialmente, se o armazenamento é centralizado e compila em um só local o movimento de todos os usuários. Para monitorar se houve respeito à finalidade e aos princípios previstos pela GDPR, a autoridade iniciou a investigação do aplicativo FHI Infection Stop.
#contacttracing #rastreamento
ICO – Reino Unido
Nas diretrizes para o melhor desenvolvimento de aplicativos de rastreamento de contato, a autoridade destaca dez princípios: (1) transparência quanto à finalidade; (2) transparência quanto às escolhas de desenvolvimento/arquitetura do sistema; (3) transparência quanto os benefícios do uso do aplicativo; (4) coleta da menor quantidade de dados pessoais necessária; (5) proteção do usuário; (6) controle pelo usuário; (7) dados armazenados pela menor quantidade de tempo necessário; (8) segurança no processamento de dados; (9) que o usuário possa entrar e sair do aplicativo sem ter consequências negativas e (10) fortalecimento e não enfraquecimento da privacidade, no geral.
#contacttracing #rastreamento
Proteção de Dados nas Universidades
Dimensions of Diversity in Human Perceptions of Algorithmic Fairness
REDMILES, Elissa. WELLER, Adrian. GRGIC-HLACA, Nina.
O artigo explora a percepção de justiça algorítmica das pessoas de acordo com (i) demografia (idade, gênero, visão política) e (ii) experiências pessoais em uso de algoritmos para fins de avaliação. O estudo pretende compreender as crenças humanas sobre justiça e uso de algoritmos para basear decisões de grande porte, como decisões judiciais. A análise encontra resultados interessantes, como a relação entre características demográficas e visão de “justiça” e seu significado, além de demonstrar as diferentes percepções de decisões automatizadas de acordo com os recortes determinados.
#algoritmo #decisãoautomatizada
Ethical Guidelines for SARS-CoV-2 Digital Tracking and Tracing Systems
FLORIDI, Luciano. COWLS, Josh. TADDEO, Mariarosaria. MORLEY, Jessica.
O artigo traz diretrizes éticas para o desenvolvimento de aplicativos de rastreamento de contato. Assim como as autoridades europeias publicaram princípios da proteção de dados pessoais que devem ser seguidos no desenvolvimento de novas tecnologias de rastreamento para fins de combate à pandemia, o artigo se propõe a traçar todas as diretrizes éticas que devem ser utilizadas no desenvolvimento das aplicações. Em um sistema pergunta-resposta, os autores propõem os principais questionamentos éticos que devem preceder a aplicação desse tipo de rastreamento automatizado.
#contacttracing #rastreamento #ética
Proteção de Dados no Legislativo
Medida Provisória que prorroga a Lei Geral de Proteção de Dados recebe centenas de emendas
Foi publicada, no dia 19 de abril, a Medida Provisória nº 959/2020 que estabelece a operacionalização do pagamento do Benefício Emergencial de Preservação do Emprego e da Renda e do benefício emergencial mensal e prorroga a vacatio legis da Lei nº 13.709/2018 (LGPD) para 3 de maio de 2021. Até o dia 05 de maio foram apresentadas 126 emendas à Medida Provisória.
#LGPD #MP959
Foi apresentado, no dia 05 de maio, pela Deputada Federal Adriana Ventura do Partido Novo de São Paulo, o Projeto de Lei que autoriza aos profissionais da área da saúde, o exercício da profissão à distância por meio de diferentes tecnologias. O projeto aponta para a necessidade de se observar o que dispõem o Marco Civil da Internet e a Lei Geral de Proteção de Dados. Atualmente, o PL está na Mesa Diretora.
#telemedicina
Proteção de Dados no Judiciário
Aconteceu, no dia 06 de maio, o julgamento de cinco ações que questionam a constitucionalidade da MP 954/20, que prevê o compartilhamento de dados de clientes pelas empresas de telecomunicações com o IBGE durante o período da pandemia do Covid-19. Rosa Weber reafirmou sua decisão previamente concedida, seguindo pela suspensão da MP. Além do voto da relatora, o julgamento também contou com sustentações orais, feitas pelo advogado Danilo Doneda, pelo PSB, o advogado André Maimoni, pelo PSOL, o advogado Marcos Coelho, pelo Conselho Federal da OAB na ADI 6.387, José Levi pela presidência da República e o PGR Augusto Aras. Como amicus curiae, falaram Leonardo Fernandes, do IBGE, o advogado Paulo Sarmento, representando o Laboratório de Políticas Públicas, e Bruno Bioni, pela Associação Data Privacy Brasil de Pesquisa. A relatora, em seu voto, falou sobre o clássico de George Orwell, “1984”, e também de “Privacidade Hackeada”, documentário da Netflix, que evidenciam o poder dos dados e como podem ser aplicados de forma negativa por falta de critérios. “Situações de crise como a deflagrada pela pandemia global da Covid-19 e marcada pelas medidas excepcionais têm sido adotadas para o seu enfrentamento tendem a favorecer o enfraquecimento de direitos, especialmente porque as instituições que, num outro momento, estariam menos permeáveis a tais investidas, tornam-se em momentos tais, menos vigilantes ou aderem às narrativas que visam a justificá-las a partir da crise imposta”, complementou. A ministra ainda disse que a MP não definiu de forma clara “como” e “para que” serão utilizados os dados em questão. A relatora afirmou não ser possível, ainda, comparar a obtenção dos dados previstos nas listas telefônicas do passado ao patamar tecnológico atual e ressaltou que a referida MP não contempla fiscalização ou consequências sobre responsabilização por acesso indevido ou mau uso de dados.
#mp954 #compartilhamento #dadoscadastrais #ibge
No dia 06 de maio o Desembargador André Nabarrete, do TRF-3, manteve a obrigatoriedade da entrega dos “laudos de todos os exames” realizados pelo Presidente Jair Bolsonaro, alegando que “a urgência da tutela é inegável pois o processo pandêmico se desenrola diariamente, com o aumento do número de mortos e infectados”. No dia 08 de maio o Presidente do Superior Tribunal de Justiça, João Otávio Noronha, suspendeu a decisão, atendendo a recurso da Advocacia Geral da União. A decisão do STJ alegou que o presidente teria direito à proteção da intimidade e vida privada, sendo agente público ou não.
Decisão de 07 de maio, em Mandado de Segurança (Nº 2078051-93.2020.8.26.0000) impetrado contra o Governo do Estado de São Paulo, nega o pedido de tutela de urgência do processo. Os impetrantes alegam violação à privacidade e à intimidade, pela falta de transparência na utilização do Sistema de Monitoramento Inteligente do Governo do Estado de São Paulo (SIMI-SP) e pedem tutela de urgência ao processo, a fim de cessar o ferimento às garantias constitucionais apontadas. O Relator, Alex Zilenovski, negou o pedido de tutela de urgência, alegando ausência de prova pré-constituída para comprovadamente demonstrar o dano irreparável de que se trata.
#geolocalização #coronavírus #simisp
