Nesta edição destacamos as diretrizes para anonimização publicadas pela Autoridade Francesa, a avaliação realizada pela Autoridade Holandesa sobre compartilhamento de dados de telecomunicação para o combate à pandemia e a decisão do Tribunal de Justiça de São Paulo para manter a utilização do sistema SIMI-SP
Proteção de Dados e Autoridades
Autorité de Protection des Données – Bélgica
A autoridade multou em 50 mil euros uma rede social de alcance internacional após examinar a função “convidar contatos” da plataforma e concluir que foram coletados e armazenados dados relacionados aos contatos do usuário, além de terem sido enviados convites para as pessoas adicionadas pelo usuário. A autoridade aponta que a rede social não adotou uso de nenhuma base legal ao realizar o tratamento de dados de terceiros, o que tornou o processamento ilegal. Vinte e três autoridades de proteção de dados europeias foram consultadas para a tomada de decisão.
#redesocial #usosecundário
Office for Personal Data Protection – República Tcheca
A autoridade aponta para a necessidade de realização de teste de proporcionalidade antes da publicação de dados pessoais de funcionários públicos. A Rádio forneceu ao requerente os dados referentes a salários e outras sobretaxas, mas excluiu os dados pessoais dos funcionários. A autoridade avaliou que esse foi o procedimento correto, de acordo com os princípios da necessidade e da proporcionalidade.
#acessoàinformação
Autoridade tcheca publica nota sobre medição de temperatura no local de trabalho
Segundo a autoridade, se a temperatura medida não for registrada em conexão com nome ou outros dados que permitam a identificação do funcionário, a prática não será enquadrada como tratamento de dados pessoais. Conclui, ainda, que no caso de haver tratamento, ele pode se enquadrar na base legal do legítimo interesse do empregador, levando em consideração medidas de higiene e anti-infecciosas necessárias para o combate à pandemia.
#dadosdesaúde #legítimointeresse
Datatilsynet – Dinamarca
A autoridade dinamarquesa multou em 50 mil coroas dinamarquesas a empresa que, ao receber solicitação de acesso aos dados do próprio usuário, excluiu do seu banco de dados todas as informações do usuário em questão, impedindo-o, dessa forma, de saber quais dados especificamente a empresa detinha. O Diretor da autoridade afirmou que “quando um controlador exclui informações sobre o cidadão em conexão com uma solicitação de acesso, exclui ilegalmente a capacidade do cidadão de verificar se o seu direito fundamental à proteção de dados está sendo respeitado. Não é uma expressão de boas práticas no tratamento de dados”.
#exclusão
O relatório aponta que um dos principais equívocos das autoridades é o de não documentar adequadamente o foco da supervisão e seu planejamento. Além disso, poucas inspeções foram concluídas de acordo com o planejamento. Por fim, o relatório critica a orientação tardia, na medida em que a autoridade dinamarquesa especificamente publicou guias e diretrizes apenas após a entrada em vigor da GDPR. Considerou-se inadequado que as orientações não estivessem prontas antes dessa data.
#auditoria #autoridade
Andmekaitse Inspektsioon – Estônia
Autoridade estoniana publica nota sobre uso de câmeras em áreas residenciais
A nota trata de situações relacionadas a câmeras de vídeo que não estão equipadas com um programa de tratamento de dados biométricos. A autoridade afirma que, no caso de câmeras estacionárias, só é possível filmar a área da sua própria casa e, nesse caso, não é necessário informar ninguém sobre isso, desde que a única finalidade seja uso pessoal, ficando vedado qualquer outro uso, como publicação na internet. No caso de câmeras instaladas em condomínios, a autoridade aponta para a necessidade de se avaliar se todas as outras medidas de segurança foram esgotadas e a instalação das câmeras é inevitável para manter a segurança no espaço. Além disso, as câmeras nunca devem estar voltadas para portas particulares, apenas para os espaços coletivos. Por fim, a autoridade afirma que as gravações não podem ser usados para nenhum outro propósito e o monitoramento em tempo real não é permitido.
#câmerasdesegurança #residências
Office of the Data Protection Ombudsman – Finlândia
A empresa comunicou o uso de cookies com uma janela pop-up no site, em que há apenas a notificação de que, ao continuar a usar o site, o usuário aceita os cookies. Não havia, portanto, a possibilidade de recusa ao uso de cookies, contendo apenas a informação de que os usuários poderiam bloquear os cookies alterando as configurações do navegador. A autoridade constatou que o método do controlador para obter o consentimento não era compatível com a GDPR, uma vez que não satisfez os requisitos do consentimento dado livremente, nem a possibilidade de recusa ou retirada do consentimento.
#cookies #consentimento
CNIL – França
No artigo, a autoridade diferencia anonimização de pseudonimização e aponta que na anonimização há, de fato, potencial para a reutilização de dados sem que se fira o direito à privacidade dos indivíduos. A autoridade explica como deve ocorrer a anonimização, aconselhando que se (I) identifique as informações a serem mantidas de acordo com sua relevância; (II) remova os elementos de identificação direta e os valores que poderiam permitir uma fácil reidentificação dos indivíduos; (III) distinga informações importantes de informações secundárias ou inúteis. A autoridade ainda coloca as possibilidades da randomização e de generalização como métodos de anonimização de dados pessoais.
#anonimização #pseudonimização
Autoridade francesa publica nota sobre monitoramento de provas escolares on-line
A autoridade aponta que a implementação de um sistema de monitoramento de exames constitui por si tratamento de dados pessoais, independente da tecnologia utilizada, por vídeo, fotografia, monitoramento remoto em tempo real ou posterior, com ou sem recurso de algoritmos, etc. A autoridade recomenda que no caso do monitoramento por vídeo a privacidade das pessoas filmadas deve ser respeitada e é recomendável que o aluno se conecte a partir de uma sala isolada. O tratamento deve ter uma base legal estabelecida, de preferência o consentimento. Deverão ser seguidos os princípios da finalidade e da proporcionalidade e relevância do monitoramento e os dados deverão ter período de retenção limitado, além de existir uma obrigação de garantir a segurança dos dados armazenados.
#dadosinfantis #educação #coronavírus
Data Protection Commission – Irlanda
Autoridade irlandesa publica artigo sobre violações de dados e correspondência por e-mail
A autoridade afirma que, normalmente, as violações de dados que envolvem e-mail são ligadas a um erro humano, através de divulgações não intencionais e, dessa forma, propõe as recomendações de que se verifique se o destinatário apropriado foi selecionado antes de enviar um email e se os anexos apropriados foram selecionados. A autoridade ainda mostra quando é apropriado utilizar as ferramentas cópia oculta (Cco) e em cópia (Cc).
#violação #email
Garante per la Protezione dei Dati Personali – Itália
A autoridade explica que as informações relacionadas ao diagnóstico ou histórico familiar do trabalhador não podem ser tratadas diretamente pelo empregador, mas tão somente pelo médico do trabalho. Entretanto, o empregador pode tratar dados relacionados ao julgamento da adequação da volta do trabalhador ao trabalho realizado, bem como quaisquer prescrições ou limitações que o médico competente possa estabelecer. O garante afirma, ainda, que a triagem sorológica promovida contra categorias específicas de trabalhadores em risco de contágio, como trabalhadores da área da saúde, só pode ser realizada de forma livre e voluntária.
#dadosdesaúde #empregador
Autoriteit Persoonsgegevens – Holanda
A autoridade aponta que, na prática, é impossível anonimizar os dados, de modo que estes permaneçam utilizáveis. Tratam-se, ainda, de informações especialmente sensíveis, relativas à localização das pessoas em todos os momentos do dia e, por isso, é preciso ter muito mais cuidado. O informe ainda explica que a eficácia do uso de dados de telecomunicações deve ser proporcional à invasão da privacidade, devendo ficar claro porque alternativas menos invasivas não são suficientes para combater o vírus.
Datatilsynet – Noruega
A autoridade multou, em 3 milhões de coroas norueguesas, o município que não entrou em conformidade com os requisitos estabelecidos pela autoridade para soluções de comunicação entre escola e casa. A autoridade afirmou que as informações pessoais dos alunos, que deveriam ter sido protegidas, ficaram disponíveis para pessoas não autorizadas e, em um caso, uma lista de contatos com informações sobre endereço foi distribuída aos pais de toda a escola. Por fim, aponta que as avaliações de impacto que foram realizadas eram deficientes e que não houve avaliação do risco associado ao tratamento de informações sobre os alunos.
#dadosinfantis
Proteção de Dados nas Universidades
Utilizing a privacy impact assessment method using metrics in the healthcare sector
LASKARINA, Eleni. ZAFEIROULA, Makri. COSTASLAMBRINOUDAKIS, Georgipoulou.
O artigo tem como objetivo fornecer as ferramentas necessárias para ajudar as organizações de saúde a proteger a privacidade de seus usuários e melhorar os sistemas de segurança dos dados que armazenam e tratam. Propõe um método de avaliação de impacto que leva em consideração características organizacionais e peculiaridades da organização, de modo que se torne possível mensurar, de modo mais efetivo, possíveis violações à segurança e selecionar medidas mais apropriadas para cada organização. No artigo, o método apresentado é testado em duas diferentes organizações de saúde.
#sistemasdesegurança #avaliaçãodeimpacto
PACKIN, Geslevich.
O artigo apresenta um estudo empírico que explora e analisa o viés da automação da área de financiamento ao consumidor, confirmando que os americanos, em sua maioria, preferem tomar decisões de investimentos ou de financiamento seguindo as recomendações de algoritmos. O artigo busca demonstrar que não ter uma “segunda opinião” humana na tomada de decisões traz como consequência a incidência de erros não revisados e que impactam em diversos aspectos da vida dos indivíduos. Conclui propondo mudanças culturais para instituições e indivíduos, de modo que haja estímulo a auditorias algorítmicas.
#consumidor #algoritmos
Proteção de Dados no Legislativo
Apresentado Projeto de Lei que obriga o fornecimento de CPF ou CNPJ para uso de redes sociais
O Projeto de Lei nº 2763/2020, de autoria do Dep. Fed. Marcelo Brum do PSL do Rio Grande do Sul, altera o Marco Civil da Internet para obrigar as empresas responsáveis pelo provimento de serviços de redes sociais na internet a condicionarem o acesso a essas aplicações ao cadastramento prévio do CPF ou do CNPJ do usuário. O PL está na Mesa Diretora desde 19 de maio.
#redesocial #dadosdeidentificação
Projeto de Lei que prorroga a entrada em vigor da LGPD vai para sanção presidencial
Após votação no Senado Federal, foi determinado o destaque para votação em separado do artigo 18 que trata da prorrogação da entrada em vigor da Lei Geral de Proteção de Dados. Ficou determinado, por maioria, que apenas as sanções previstas na Lei teriam sua entrada em vigor prorrogada para agosto de 2021, enquanto os demais artigos entrarão em vigor na data prevista: agosto de 2020. O Projeto de Lei segue para sanção presidencial.
#LGPD
Proteção de Dados no Judiciário
Decisão publicada no dia 15 de maio, no Mandado de Segurança nº 2069736-76.2020.8.26.0000, utiliza a Lei Geral de Telecomunicações e a Lei Geral de Proteção de Dados para concluir que, no caso, não há risco à proteção de dados pessoais por só há utilização de dados anonimizados e “mapas de calor”. o Magistrado Evaristo dos Santos ainda nega a exclusão do sistema SIMI-SP requerida pelo impetrante, alegando que, para tal, seria necessária a identificação do mesmo.
#leigeraldetelecomunicações #LGPD #SIMISP