Nesta edição destacamos a opinião e recomendações sobre o aplicativo StopCovid de contact tracing, a nota da autoridade holandesa sobre o uso de reconhecimento facial em supermercados, o Projeto de Lei que proíbe as operadores de telecomunicações de vender dados de geolocalização e o Projeto de Lei que estabelece regras para a utilização de pseudônimos e perfis anônimos na internet
Proteção de Dados e Autoridades
Autorité de Protection des Données – Bélgica
A autoridade afirma que a medição de temperatura pode se enquadrar na GDPR se der origem a tratamento ou armazenamento de dados pessoais e, nesse caso, deve se cumprir todas as obrigações previstas em lei, garantindo a segurança dos dados, além de (possivelmente) realizar avaliação de impacto à proteção de dados pessoais e sempre ter uma base legal adequada para o processamento. Se não houver nenhum tipo de armazenamento e a medição se der apenas com objetivo de uma leitura direta e sem registro, então a atividade não se enquadra como tratamento de dados pessoais.
#dados_de_saúde
Datatilsynet – Dinamarca
Autoridade dinamarquesa publica seu relatório anual de proteção de dados para 2019
O relatório contém, entre outras coisas, uma visão geral do desempenho acadêmico, do resultado financeiro e das expectativas para o ano de 2020. Além disso, o documento faz uma declaração de cumprimento de metas para 2019, comparando o relatório do ano anterior com os objetivos alcançados em 2019.
#relatório #2019
Office of the Data Protection Ombudsman – Finlândia
A autoridade finlandesa multou em 72 mil euros empresa que não havia realizado relatório de impacto à proteção de dados pessoais antes de adotar um sistema de vigilância por câmeras e registro de áudio e vídeo em seus táxis. Além disso, foram observadas deficiências nas informações fornecidas aos clientes. A autoridade afirmou que a empresa não tem nenhuma base legal para o tratamento de dados de áudio e vídeo e não estava em conformidade com o princípio de minimização previsto na GDPR, de modo que autoridade determinou que o tratamento fosse interrompido imediatamente. A autoridade concluiu que a empresa não informou os titulares dos dados sobre o tratamento de dados pessoais da maneira exigida pela legislação, uma vez que as notificações dos táxis não diziam nada sobre a gravação de áudio ou indicavam de que modo os clientes poderiam obter informações sobre a gravação. Por fim, a autoridade verificou que a política de privacidade da empresa também não continha informações sobre a tomada de decisão automatizada realizada em seu programa de fidelidade.
#sanção #reconhecimento_facial
Após receber reclamações dos clientes, a autoridade proibiu a publicação de números de identidade dos clientes nas faturas, apontando que a prática não está em conformidade com a legislação de proteção de dados e que não há necessidade justificada para a prática. A autoridade apontou que a GDPR proíbe o uso desnecessário de código de identidade pessoal em documentos impressos.
#identificação #documento_impresso
CNIL – França
Autoridade francesa publica opiniões e recomendações sobre o aplicativo StopCovid
A autoridade explica que, durante o uso do aplicativo, o smartphone armazena uma lista de pseudônimos temporários dos dispositivos com os quais que ele “cruzou” nos últimos 14 dias. Dessa forma, quando um usuário é diagnosticado com COVID-19 ele pode optar por enviar seus dados de contato para um servidor central. Então, as pessoas com quem a pessoa diagnosticada cruzou são notificadas do potencial contágio para que realizem o teste e fiquem em quarentena. A autoridade ainda expôs qual é o seu papel, recomendando que a responsabilidade pelo tratamento dos dados seja confiada ao ministério responsável pela política de saúde, que não haja consequência negativa à opção de não utilizar o aplicativo, que a implementação do aplicativo seja limitada no tempo e que os históricos de proximidade sejam mantidos por tempo limitado. Afirma que cada pessoa é livre para usar o aplicativo ou não e que o anonimato deve ser garantido.
#contact_tracing
Data Protection Commission – Irlanda
A autoridade irlandesa enviou um projeto de decisão a outras autoridades interessadas acerca do cumprimento do artigo 33 da GDPR pelo Twitter, após denúncia de violação de dados pelo controlador (Twitter). O projeto de decisão em questão, ainda não publicado, tem vários desenvolvimentos significativos para grandes empresas de tecnologia, como Facebook e Whatsapp, que também estão sendo investigadas em relação a outras notificações. A decisão acerca do caso Facebook Ireland, que também trata do artigo 33 e do artigo 60 da GDPR, será publicada no dia 16 de junho. Não foi confirmada data de publicação para a decisão final referente à Twitter International Company.
#GDPR #redes_sociais
Garante per la Protezione dei Dati Personali – Itália
A autoridade alegou que os aplicativos têm muito poder sobre os dados dos cidadãos e que o uso de sistemas autogerenciados ocorre com poucas garantias à privacidade e à proteção de dados. Antonello Soro afirmou que a falta de valorização da privacidade pela opinião pública permitiu que aplicativos fossem implementados sem que as garantias fundamentais fossem respeitadas. A autoridade afirma que hoje os aplicativos devem seguir as diretrizes publicadas pela autoridade italiana e pelo Conselho Europeu, no sentido de ter participação voluntária, não utilizar dados de geolocalização, mas Bluetooth, e respeitar o princípio da proporcionalidade, além de todos os outros previstos pela GDPR.
#contact_tracing
Autoridade italiana autoriza a utilização do aplicativo “Imune”
Autoridade italiana autorizou o Ministério da Saúde a iniciar o tratamento de dados para utilização do aplicativo “Imune” de contact tracing. Com base na avaliação de impacto enviada pelo Ministério, o tratamento foi considerado proporcional, uma vez que foram previstas medidas para garantir suficientemente o respeito aos direitos dos titulares dos dados. A autoridade solicitou que os usuários fossem adequadamente informados sobre o funcionamento do algoritmo para avaliar o risco de contágio e determinou que sejam garantidos a transparência e a finalidade da coleta e tratamento de dados.
#contact_tracing #transparência #finalidade
Data State Inspectorate – Letônia
A autoridade afirmou que os meios de tratamento de dados pessoais do aplicativos são determinados pelo Centro de Controle de Doenças e Prevenção e que o download do aplicativo é de livre iniciativa, além de a finalidade ser unicamente detectar novos casos da doença, possibilitando que a notificação do rastreamento de contato manual seja feita com maior velocidade. A autoridade afirma que a o aplicativo foi desenvolvido para não armazenar dados de geolocalização, mas com a ativação do Bluetooth e sob certas condições de distância e duração do contato, os dispositivos serão notificados.
#contact_tracing
Autoriteit Persoonsgegevens – Holanda
Autoridade holandesa chama atenção dos supermercados para regras de uso de reconhecimento facial
A autoridade informou o setor de supermercados por meio de uma associação comercial sobre as regras relativas ao uso de câmeras de reconhecimento facial. A autoridade lembra que o uso desses dados sensíveis, como são os dados biométricos, é, em princípio, proibido. Para a autoridade, só existem duas exceções para o uso do reconhecimento facial: as pessoas filmadas deram permissão explícita ou o reconhecimento facial é utilizado para fins de segurança ou autenticação para servir a um “importante interesse público”.
#reconhecimento_facial
Office for Personal Data Protection of Slovak Republic – Eslováquia
O parecer estabelece algumas perguntas básicas que os operadores de aplicativos devem se perguntar em relação ao rastreamento de contato antes de implementar o uso do aplicativo. Dentre as perguntas estão: (i) você adotou uma abordagem projetada especificamente para proteger a privacidade? (ii) você realizou uma avaliação de impacto à privacidade? Essa avaliação é atual? (iii) você abordou a segurança, salvaguarda e necessidade de modelos centralizado e descentralizados? (iv) você teve um diálogo aberto e construtivo com a autoridade competente de proteção de dados? (v) você é transparente com os usuários, inclusive fornecendo uma declaração de privacidade clara? (vi) você é transparente de uma maneira que facilita o debate público? (vii) seu aplicativo de contact tracing é temporário e você excluirá seus dados assim que não precisar mais deles? (viii) você pretende manter os dados para pesquisa de interesse público? Em caso afirmativo, quais garantias de privacidade foram proporcionadas e o anonimato está previsto na fase de design?
#contact_tracing #princípios
Datatilsynet – Noruega
A autoridade afirma que, de acordo com a sua declaração de privacidade, a empresa World Citizen Report trata suas informações sobre, entre outras coisas, o status de infecção do titular dos dados e histórico de testes. A autoridade requer a investigação sobre como a empresa, que possui ambições de tratar grandes quantidades de dados de saúde, garantiu a conformidade com a GDPR.
#coronavírus #aplicativo #GDPR
Proteção de Dados nas Universidades
MORLEY, Jessica. COWLS, Josh. TADDEO, Mariarosa. FLORIDI, Luciano.
No artigo, os autores propõem perguntas e respostas para realização da análise se o uso de determinado aplicativo de contact tracing é justificado, além de estabelecer quatro principais princípios para seu uso, tais como: o uso deve ser necessário, proporcional, cientificamente válido e ter um limite de tempo. Os autores apontam que, na prática, existirão “trade-offs” e isso dependerá das leis, valores, atitudes e normas nas diferentes regiões, mas que é de extrema importância que todos sigam os princípios para o uso ético de aplicativos de rastreamento de contato.
#ética #diretrizes #contact_tracing
Normative Paradoxes of Privacy: Literacy and Choice in Platform Societies
HEIM, Paula. SEUBERT, Sandra.
O artigo se apropria da afirmação recorrente entre defensores e ativistas da privacidade de que as medidas atuais de proteção à privacidade são insuficientes para combater as ameaças sistêmicas apresentadas, com o objetivo de discutir as maneiras pelas quais as tentativas de proteção correm o risco de produzir resultados que divergem paradoxalmente e distorcem os objetivos normativos que pretendem alcançar: da autodeterminação informativa, empoderamento e autonomia pessoal. O artigo argumenta que os ideais normativos cada vez mais individualistas e unilateralmente liberais criam cumplicidade com a estrutura do capitalismo de plataforma e que, portanto, promovem práticas que são invasivas à privacidade. Esse seria o paradoxo em questão.
#capitalismo_de_plataforma #privacidade
Proteção de Dados no Legislativo
Apresentado no dia 28 de maio pelos Deputados Federais General Peternelli, do PSL; Carmen Zanotto do Cidadania; General Cirão do PSL; Dr. Luiz Antonio Teixeira Jr. do PP; Dra. Soraya Manato do PSL e Coronel Armando do PSL, o Projeto de Lei nº 2970/2020 dispõe sobre o compartilhamento de informações nos estabelecimentos de saúde públicos e privados e determina, entre outras medidas, que o compartilhamento se dê mediante software e/ou ferramenta sob responsabilidade do Ministério da Saúde que resgate automaticamente os dados constantes nos programas utilizados pelos estabelecimentos de saúde, sendo compartilhados dados como prontuário médico, número de internações, causas de internações, entre outros.
#dados_de_saúde #compartilhamento
Apresentado no dia 28 de maio, o Projeto de Lei nº 2969/2020, de autoria do Deputado Federal Nilto Tatto do PT, altera a Lei Geral de Telecomunicações para proibir que as operadoras de telecomunicações vendam dados de geolocalização de seus usuários, ainda que estes estejam anonimizados. O projeto propõe que a divulgação de informações individuais dependerá de anuência expressa e específica do usuário e que a prestadora poderá divulgar a terceiros informações agregadas sobre o uso de seus serviços, desde que não contenha dados de deslocamento do usuário.
#geolocalização #telecomunicações
Apresentado no dia 01 de junho, o Projeto de Lei nº 3044/2020 de autoria do Deputado Federal Paulo Ramos do PDT altera o Marco Civil da Internet e a Lei Geral de Proteção de Dados para estabelecer regras para a utilização de pseudônimos e perfis anônimos na internet. O PL veda o anonimato, e propõe que o provedor responsável pela guarda somente será obrigado a disponibilizar os registros de forma autônoma ou, quando associados a dados pessoais ou a outras informações que possam contribuir para identificação de usuário ou terminal, mediante ordem judicial. Acrescenta o pseudônimo como atividade lícita da internet, podendo ser requerida a identificação da pessoa natural ligada ao pseudônimo em casos de inquérito em curso.
#pseudônimos #redes_sociais #perfis_anônimos
Proteção de Dados no Judiciário
O Desembargador Alcides Malossi Junior deferiu medida cautelar em Mandado de Segurança nº 2098076-30.2020.8.26.0000 contra decisão judicial que interrompeu a obrigação de fornecimento de informações pelas empresas Google, Google Ireland Limited, Google Brasil Internet LTDA, em um caso de extorsão via internet. A decisão afirmava que havia impossibilidade de fornecimento de informações por se tratar de outra jurisdição, uma vez que o IP identificado levava à localidade da Irlanda e que, por estar sob tutela da GDPR, não estaria em conformidade a quebra do sigilo. O desembargador acolheu o recurso e reformou a proferida decisão, afirmando que o computador utilizado para a realização do crime gerava IPs aleatórios e que não necessariamente se encontrava o autor na Irlanda. Além disso, o magistrado afirmou que o direito ao sigilo das correspondências e das comunicações telegráficas, de dados e das comunicações telefônicas e telemáticas não é absoluto e que, tratando-se de medida judicial em processo preparatório imprescindível à colheita de provas necessárias à instrução da investigação criminal, a quebra do sigilo não só seria possível, como necessária.
#quebra_de_sigilo #google #whatsapp
