Qual o impacto da decisão do caso Schrems-Facebook para o regime de transferência de dados pessoais de cidadãos europeus? O que as autoridades tem a dizer sobre o Privacy Shield? Google multada por não respeitar o Direito ao Esquecimento, enquanto EDPB estabelece diretrizes para seu uso. Isso e muito mais…
Proteção de Dados e Autoridades
Autorité de Protection des Données – Bélgica
Autoridade belga multa Google em 600 mil euros por não respeitar o direito ao esquecimento
Após a empresa ter recusado pedido de desindexação de um cidadão (exclusão dos resultados de busca vinculados a seu nome) de informações desatualizadas que feriam sua reputação, a autoridade decidiu pela multa de 600 mil euros, a mais alta aplicada até hoje pela autoridade. O reclamante pediu a desindexação de páginas relacionadas à orientação política e também sobre uma queixa de assédio contra ele, declaradas infundada há anos. A autoridade concordou com a não exclusão da páginas relacionadas à orientação política, devido ao seu papel na vida pública e a importância de tais referências para o interesse público. A multa, portanto, foi relativa a não exclusão dos artigos sobre a queixa de assédio, esta sim sob a qual já não haveria utilidade informativa.
No Brasil, O RE/1010606, de repercussão geral no Supremo tribunal Federal, discute o chamado direito ao esquecimento. É importante mencionar que, ao longo da instrução do processo, houve a realização de audiência pública, a fim de consolidar o direito ao esquecimento no Brasil.
Commission for Personal Data Protection – Bulgária
Autoridade búlgara publica acórdão do Tribunal Regional de Viena no processo Schrems-Facebook
O Tribunal Regional de Viena decidiu no caso entre o ativista Max Schrems e o Facebook, respondendo dúvidas acerca da capacidade da corporação de obter consentimento dos usuários, sua conformidade com as solicitações relacionadas aos dados pessoais que quem está ativo na rede e explicação da terminologia “exclusão de dados” e seu significado na prática. A decisão descreve em detalhes a maneira como o Facebook cria perfis de usuário, através da leitura automática do histórico das páginas visitadas, bem como das informações obtidas em conexões com amigos ou curtidas. Essa prática, no entanto, não leva em consideração a sensibilidade desses dados, apontou o Tribunal. A partir dos fatos apurados, não foi possível concluir se houve violação do art. 9 da GDPR, que fala sobre tratamento de categorias especiais de dados – dados sensíveis, mas que houve violação do art. 15 do Regulamento, uma vez que a empresa não apresenta oportunidades o suficiente para a revisão dos dados armazenados, pelo titular.
No Brasil, o atraso na instalação da Autoridade Nacional de Proteção de Dados (ANPD) não só prejudica o eventual reconhecimento de que o Brasil é um país com nível adequado, como, também, que os instrumentos contratuais sejam ativados (e.g., cláusulas contratuais) como alternativas para o livre fluxo de dados (artigos 33 e 35 da LGPD).
Datatilsynet – Dinamarca
Autoridade dinamarquesa faz críticas à empresa de transporte viário Fynbus I/S.A
Após ter realizado auditoria da Fynbus, a autoridade dinamarquesa concluiu que a empresa não cumpriu o dever de fornecer informações relacionadas à coleta de informações pessoais em três dos cinco aplicativos/serviços da web, porque as informações necessárias não são fornecidas de forma clara. Os clientes precisavam procurar as informações no próprio site e, por isso, a autoridade teceu críticas à conduta da empresa, alegando que a política de privacidade é extremamente deficitária. No Brasil, fundamentação semelhante foi a utilizada pela Secretaria Nacional de Defesa do Consumidor contra o facebook em razão de falta de transparência quanto ao compartilhamento de dados de usuários da plataforma com as plataformas Whatsapp e Instagram.
Acórdão do Tribunal de Justiça Europeu no processo Schrems II
O Tribunal de Justiça Europeu decidiu em 16 de julho de 2020 no processo C-311/18, o chamado “caso Schrems II”. O Tribunal de Justiça Europeu decidiu que a “decisão do Escudo de Privacidade” é inválida. Isso significa que, no futuro, nenhum dado pessoal poderá ser transferido para os Estados Unidos usando tal acordo internacional bilateral. O Tribunal de Justiça das Comunidades Europeias, por outro lado, determina que as cláusulas contratuais padrão contratos-padrão da Comissão da UE permaneçam válidos. No entanto, a decisão levanta uma série de questões que precisam ser examinadas mais a fundo, especialmente quais outros medidas, para além da mera adoção de tais instrumentos contratuais, para fins de transferência internacional.
European Data Protection Supervisor – EDPS
EDPS publica orientações sobre as reações à crise do coronavírus para empregadores e instituições
O documento compila todos as diretrizes direcionadas a questões ligadas à crise do coronavírus, como ferramentas de teletrabalho, gerenciamento de equipe, aspectos do tratamento de dados de saúde e outros. A autoridade aponta que as regras de proteção de dados são flexíveis o suficiente para permitir várias medidas que permitam a continuidade do trabalho, e de que é possível que algumas adaptações decorrentes da situação de emergência podem requerer algum tempo. No Brasil, a não entrada em vigor da LGPD é prejudicial, nesse sentido, pois nela estão enunciadas as regras para bem procedimentalizar tal tipo de tratamento de dados – para utilização de eventuais ferramentais de combate à pandemia – o que configuraria segurança jurídica e respeito aos direitos fundamentais para tais tipos de práticas.
A autoridade reafirmou a importância de manter um elevado nível de proteção de dados pessoais transferidos da União Europeia para países terceiros. Afirma, ainda, que é a segunda vez em cinco anos que uma decisão da Comissão Europeia sobre a adequação dos Estados Unidos é invalidada pelo tribunal, de modo que há severas críticas ao Privacy Shield. Por fim, a EDPS relembra que a proteção de dados pessoais é um direito fundamental amplamente reconhecido que não só no contexto europeu e, dessa forma, os Estados Unidos deverão impor todos os esforços e meios possíveis para avançar no sentido de um quadro jurídico abrangente em matéria de proteção de dados e privacidade, que satisfaça genuinamente os requisitos e salvaguardas adequadas reafirmadas pelo Tribunal.
CNIL – França
Autoridade francesa publica recomendações para controladores e processadores de dados pessoais
Após realizar verificações com quinze fornecedores de serviços e soluções de T.I. online, a autoridade publicou algumas boas práticas a serem adotadas, tais quais: (i) determinar o status dos atores envolvidos: observar quem faz o que e em qual enquadramento está pelo GPDR; (ii) estabelecer um contrato claro: organizar relatórios e obrigações e integrar todas as informações listadas no artigo 28 do GDPR; (iii) documentar a atividade de subcontratação; (iv) oferecer ferramentas que respeitem a proteção de dados pessoais; (v) ajudar o responsável pelo tratamento a responder aos pedidos de exercício de direitos humanos e (vi) garantir a segurança dos dados coletados.
Diferentemente da GDPR, a LGPD não é tão detalhada sobre quais são as obrigações de due dilligence dos controladores quanto ao seus operadores. No entanto, a lei brasileira estabelece, via de regra, responsabilidade solidária do controlador pelos atos do operador, de modo que há um incentivo para que haja tal tipo de controle na cadeia de tratamento de dados.
A autoridade publicou o guia-prático que apresenta os problemas que podem ser encontrados pelo controlador de dados e possíveis pontos de vigilância ao processar uma solicitação de comunicação de dados por alguma autoridade que a exija. Além disso, listou os atores que provavelmente solicitarão a comunicação de dados pessoais. Dentre as diretrizes, destacam-se: (i) a obtenção de uma solicitação de comunicação por escrito especificando a base jurídica da solicitação; (ii) o controle de qualidade do terceiro autorizado que faz a solicitação; (iii) verificar se o âmbito do pedido está em conformidade com as disposições legais invocadas; (iv) aplicação de medidas de confidencialidade para garantir o intercâmbio e (v) preservação da rastreabilidade das trocas e verificações realizadas.
CNIL está analisando as consequências da invalidade do Privacy Shield
A autoridade está atualmente realizando uma análise precisa da sentença proferida pelo Tribunal de Justiça da União Europeia do caso Schrems II, em conjunto com suas contrapartes europeias reunidas no Comitê Europeu de Proteção de Dados. Pretende-se, a partir da análise, extrair as consequências para a transferência de dados da União Europeia para os Estados Unidos.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit – Alemanha
Autoridade alemã publica comentários sobre o caso Schrems II
O Professor Ulrich Kelber apontou que “O TJUE deixa claro que o tráfego internacional de dados ainda é possível. No entanto, os direitos fundamentais dos cidadãos europeus devem ser respeitados. Agora, medidas especiais de proteção de dados devem ser tomadas para o intercâmbio de dados com os EUA. Empresas e autoridades não podem mais transmitir dados com base do Privacy Shield, que o Tribunal declarou ineficaz.”. A autoridade ainda declarou que o foco principal será a revisão das cláusulas contratuais padrão da Comissão Europeia, bem como a necessidade de os EUA garantirem que os direitos fundamentais da população europeia sejam assimilados aos dos cidadãos dos EUA.
Autoridade alemã decide sobre o tema de acesso a dados de telecomunicação
O vice-presidente da BfDI, Jürgen H. Müller, declarou que “nem todo delito pode levar diretamente a uma consulta dos provedores de telecomunicações. A BfDI vem apontando a desproporcionalidade do regulamento há anos. O legislador deve agora considerar melhor o direito dos cidadãos à autodeterminação informacional ao revisar a Lei das Telecomunicações.”. A autoridade relembrou que a decisão não torna os dados fundamentalmente inacessíveis, mas que deve existir base legal proporcional e adequadamente definida tanto para o provedor de telecomunicações, como para as autoridades de segurança que realizam a consulta. Sempre deve haver um perigo específico ou a suspeita inicial de um crime em casos individuais, caso contrário, direitos fundamentais poderão ser afetados.
No Brasil, O Código de Processo Penal (artigo 13-A) prevê que as empresas de telecomunicações forneçam dados cadastrais para fins de persecução penal, assim como o Marco Civil da Internet também permite acesso aos logs de conexão e dados cadastrais, também para fins de persecução penal e investigação criminal e mediante decisão judicial que a permita. Os limites em torno de tal regime de retenção de dados foi objeto de debate na audiência pública da Comissão Parlamentar de Inquérito (CPI) dos Crimes Cibernéticos, em 2015.
Data Protection Commission – Irlanda
A autoridade reforçou a ideia de que os cidadãos europeus não desfrutam do nível de proteção de dados exigido pela legislação da UE quando seus dados são transferidos para os Estados Unidos e, nesse sentido, embora o julgamento capture as transferências de dados do Facebook relacionadas a Schrems, é claro que seu escopo se estende muito além disso, abordando a posição dos cidadãos da União Europeia em geral. A autoridade apontou que o Tribunal determinou que o mecanismo de transferência utilizado para países do mundo inteiro é, a princípio, válido, embora seja claro que, na prática, a aplicação do mecanismo é questionável e que essa é, portanto, uma questão que exigirá um exame mais aprofundado por parte das autoridades europeias.
Garante per la Protezione dei Dati Personali – Itália
Investigação sobre marketing abusivo revelou que os aplicativos MyWind e My3 foram configurados de maneira a obrigar o usuário a fornecer, a cada novo acesso, uma série de consentimentos para diferentes fins de processamento (marketing, criação de perfil, comunicação com terceiros e geolocalização). As empresas foram multadas em 200 mil euros. A autoridade também examinou os resultados da investigação contra a empresa Iliad que foi considerada deficiente no que diz respeito aos métodos de acesso interno que permitiu que funcionários tivessem acesso a dados de clientes e, por esse motivo, foi sancionada em 800 mil euros.
No Brasil, o Ministério Público do Distrito Federal (MPDFT) já investigou a VIVO sobre o uso de dados dos assinantes para direcionamento de publicidade (Vivo Ads), que não permitia que os clientes se opunham ao tratamento de seus dados pessoais para fins de publicidade.
Garante responde perguntas sobre aplicativos de contact tracing
A autoridade esclareceu que as pessoas não podem ser forçadas a instalar os aplicativos, de modo que não podem haver consequências negativas a quem não os instala. Então, não é possível que determinada região condicione seu acesso ao uso do aplicativo de contact tracing. Enfatizou, ainda, que os aplicativos devem processar apenas os dados estritamente necessários para prosseguir os objetivos do processamento, evitando a coleta excessiva de dados e limitando-se a solicitar permissões para acesso a recursos ou informações no dispositivo somente se indispensável.
Autoriteit Persoonsgegevens – Holanda
A autoridade declarou que as autoridades fiscais não deveria ter processado a dupla nacionalidade dos requerentes de subsídio de assistência à infância, pois foram violações ao GDPR – discriminatório. Em maio de 2018 um total de 1,4 milhão de pessoas com dupla nacionalidade foi registrado nos sistemas da Administração Pública Tributária e Aduaneira e, conforme indicou a investigação, a dupla nacionalidade nada tem a ver com a avaliação de um pedido de subsídio, de modo que as autoridades fiscais fizeram mau uso desses dados. Além disso, o sistema discriminava as pessoas entre holandesas e não-holandesas para designar o risco de certos pedidos de subsídio, prática evidentemente discriminatória. A autoridade holandesa irá avaliar se as autoridades fiscais serão sancionadas com uma multa.
European Data Protection Board – EDPB
A empresa multada fornece serviços de emprego na Polônia e na Alemanha, e uma queixa contra suas ações foi apresentada por um cidadão alemão porque processou seus dados pessoais para fins de marketing. A denúncia foi apresentada à autoridade alemã de proteção de dados competente para a Renânia-Palatinado, mas foi retomada para consideração pelo presidente da UODO (autoridade polonesa), que era a principal autoridade nesse caso, porque a empresa está estabelecida na Polônia. Foi apenas em resposta ao aviso de início do processo que a empresa forneceu explicações mais extensas, mas estas estavam incompletas e exigiram uma investigação mais aprofundada. Portanto, o Presidente do Escritório de Proteção de Dados Pessoais considerou que a empresa não deseja cooperar com ele e não cumpre a obrigação – prevista no RGPD – de fornecer acesso a dados pessoais e outras informações necessárias para a realização de as suas tarefas, neste caso, tratar uma queixa apresentada por um cidadão alemão.
O EDPB acolheu favoravelmente o julgamento do TJUE, que destaca o direito fundamental à privacidade no contexto da transferência de dados pessoais para países terceiros. No que diz respeito ao Escudo de Privacidade, o EDPB salientou que a UE e os EUA devem alcançar um quadro completo e eficaz que garanta que o nível de proteção concedido aos dados pessoais nos EUA seja essencialmente equivalente ao garantido na UE, em conformidade com o julgamento. Por fim, o EDPB avaliará o julgamento com mais detalhes e fornecerá esclarecimentos adicionais às partes interessadas e orientações sobre o uso de instrumentos para a transferência de dados pessoais para países terceiros nos termos do julgamento.
O documento é dividido em algumas partes, como os fundamentos para a solicitação do cancelamento de registro em mecanismo de pesquisa e dá algumas possibilidades, como o direito a exclusão quando os dados pessoais não forem mais necessários para o processamento do fornecedor, quando o titular dos dados retirar o consentimento e não houver outra base legal para o processamento, no exercício do direito à oposição ou quando os dados pessoais tiverem sido ilegalmente processados. O documento também fala do balanceamento entre interesse público, fins de pesquisa científica científica e os direitos do titular.
Proteção de Dados nas Universidades
HILDEBRANDT, Mireille.
Esta é resenha realizada por Mireille Hildebrandt sobre o livro “Between Truth and Power: The Legal Constructions of Informational Capitalism”. Hildebrandt defende, em suas palavras, que “Cohen afirma que os poderes de compensação de Montesquieu exigem reinvenção diante da reconfiguração radical do cenário econômico político criado pela mudança dos mercados econômicos neoliberais para economias de plataforma verticalmente monopolistas e multifacetadas”.
The Chinese approach to artificial intelligence: an analysis of policy, ethics and regulation
ROBERTS, Huw. COWLS, Josh. MORLEY, Jessica. TADDEO, Mariarosaria. WANG, Vincent. FLORIDI, Luciano.
O artigo argumenta que o Plano de Desenvolvimento de Inteligência Artificial de Nova Geração (AIDP) estabeleceu objetivos estratégicos e delineou o objetivo abrangente de tornar a China líder mundial em IA até 2030. Nesse sentido, busca compreender as implicações ramificadas e analisa os atuais debates políticos relevantes da China. Para isso, o artigo mapeia a legislação relevante de IA na China, analisa intervenções e o impacto da legislação nas chaves: competição internacional, crescimento econômico e governança social. A última seção do artigo é focada em observar os padrões éticos desenvolvidos pela China para a implementação da IA.
Proteção de Dados no Legislativo
Apresentado Requerimento de Urgência, pela Deputada Paula Belmonte (CIDADANIA/DF) e outros, que “Requer regime de tramitação de urgência para a apreciação do PL nº 2559/2020, que “Dispõe sobre o uso da teleconferência e da videoconferência para as Defensorias Públicas durante a crise causada pelo Coronavírus (Covid-19).”
O relator deu parecer, no Projeto de Lei nº 1622/2020 e apensados, apontando para a necessidade de transparência ativa quanto aos dados relacionados à COVID-19. Os dados que serão utilizados para divulgação pelo Ministério da Saúde devem ser anonimizados, segundo o relator, de modo que possam ser utilizados para fins de pesquisa científica e respeitem a privacidade dos afetados.
Apresentado Projeto de Lei que prevê a criação de um sistema de informações relativas à COVID-19
Foi publicado, no dia 13 de julho, o Projeto de Lei nº 3752/2020, de autoria dos parlamentares Célio Moura – PT/TO , Enio Verri – PT/PR , Beto Faro – PT/PA , João Daniel – PT/SE , Marília Arraes – PT/PE , Pedro Uczai – PT/SC , Carlos Veras – PT/PE , Bohn Gass – PT/RS , Luizianne Lins – PT/CE , Valmir Assunção – PT/BA , Afonso Florence – PT/BA , Nilto Tatto – PT/SP , Jorge Solla – PT/BA , Patrus Ananias – PT/MG , Alexandre Padilha – PT/SP , José Ricardo – PT/AM , Airton Faleiro – PT/PA , Rogério Correia – PT/MG , José Guimarães – PT/CE , Marcon – PT/RS e outros, prevê a criação de um sistema de informações relativas à COVID-19, com finalidade de armazenar, tratar e integrar dados e informações. O PL foi apensado ao PL 1622/2020 e incluído no parecer publicado pelo Relator Dep. Fed. Aliel Machado.
Apresentado Projeto de Lei que Institui e dispõe sobre o regime de trabalho sob demanda
No dia 17 de julho, foi apresentado o Projeto de Lei 3748/2020, pela Dep. Fed. Tábata Amaral, que institui o regime de trabalho sob demanda, definindo que se trata da prestação de serviços diretamente com a plataforma de serviços sob demanda, que, por sua vez, apresenta proposta para execução dos serviços para um ou mais trabalhadores. O PL define que a Autoridade Nacional de Proteção de Dados (ANPD) estabelecerá parâmetros de interoperabilidade para garantir a portabilidade das avaliações do trabalhador sob demanda realizadas por clientes. Outro projeto, com o mesmo texto, foi apresentado pelo Senador Alessandro Vieira, o PL 3754/2020.
Proteção de Dados no Judiciário
No dia 15 de julho, foi publicada decisão em Apelação Cível nº 00313996-89.2016.8.19.0208, pela Desembargadora Regina Lucia Passos. A magistrada utilizou o direito à proteção de dados e à autodeterminação informativa para condenar hospital que não protegeu dados de paciente que sofreu tentativa de estelionato a partir da utilização desses dados. A desembargadora citou “o direito à proteção de dados pessoais é um direito novo e ativo, que impõe o funcionamento de um sistema de segurança para proteger o indivíduo sempre que seus dados pessoais são coletados e utilizados.” (ARANHA, Estela e FERREIRA, Lucia Maria Teixeira. O direito fundamental à proteção de dados e a importância da proposta de alteração constitucional nº 17/2019) para dar provimento ao recurso e condenar o hospital no valor de 5 mil reais e honorários advocatícios.
