Olá! Destacamos, na 23ª edição, a decisão do STJ sobre acesso a dados de localização, o comentário da professora Laura Schertel sobre o reconhecimento, pelo STF, da proteção de dados como direito fundamental e as diretrizes do EDPS sobre segmentação de usuários de mídias sociais.
Proteção de Dados nas Autoridades
Autorité de la protection des données – Bélgica
Foi invalidada decisão sobre a adequação da proteção fornecida pelo Privacy Shield
Através do seu acórdão no processo C-311/18 (conhecido como o acórdão “Schrems II”), o TJUE invalidou a decisão (UE) 2016/1250 da Comissão Europeia sobre a adequação da proteção fornecida pelo Privacy Shield UE-EUA com base no acesso e uso pelas autoridades dos EUA de dados transferidos da UE para os EUA no âmbito dos programas de monitoramento do governo americano, que não cumprem o princípio da proporcionalidade. Por outro lado, o TJUE declarou válida a decisão 2010/87 da Comissão Europeia relativa às cláusulas contratuais padrão para a transferência de dados pessoais a subcontratantes estabelecidos em países terceiros. No entanto, o TJUE esclareceu que se as cláusulas-padrão de proteção de dados não forem ou não puderem ser respeitadas neste país e se a proteção dos dados transferidos, exigida pela legislação da União, não puder ser garantida por outros meios, o controlador estabelecido na UE deve ele próprio suspender ou rescindir a referida transferência. Se não for este o caso, as autoridades nacionais devem fazê-lo, se considerarem necessário.
Commission for Personal Data Protection – Bulgária
EDPS publica diretrizes sobre a segmentação de usuários de mídia social
Em sua 37ª Reunião Plenária, realizada em 4 de setembro de 2020, O Conselho Europeu de Proteção de Dados (EDPS) adotou Diretrizes sobre os conceitos de controlador e operador no âmbito do Regulamento Geral sobre Proteção de Dados, além de Diretrizes sobre a Segmentação de Usuários de Redes Sociais. A autoridade adotou orientações sobre os conceitos de responsável pelo tratamento e operador para a GDPR. Desde a entrada em vigor do Regulamento, surgiram questões quanto à medida em que estes conceitos foram alterados, em particular no que diz respeito aos controladores conjuntos e às obrigações dos operadores. As diretrizes consistem em duas partes principais – uma explicando os diferentes conceitos e outra incluindo orientações detalhadas para controladores, operadores e controladores conjuntos. As diretrizes incluem um diagrama que fornece explicações práticas adicionais. As orientações sobre os conceitos de controlador e processador no âmbito do Regulamento Geral de Proteção de Dados foram disponibilizadas para consulta pública, que ocorrerá até 19 de outubro de 2020.
The Office for Personal Data Protection – República Tcheca
O documento contém indicações sobre como encontrar uma visão geral dos países que são considerados seguros em termos do nível de proteção fornecido, na seção transmissão com base em uma decisão sobre o nível adequado de proteção de dados pessoais da Comissão Europeia. Também responde perguntas sobre como a autoridade irá se portar diante da decisão sobre o Privacy Shield, alegando que o artigo 4º da Decisão 2010/87 da Comissão sobre as cláusulas contratuais confere à autoridade poderes para proibir ou suspender temporária ou definitivamente a transferência de dados baseada em cláusulas contratuais-padrão em casos específicos em que a transferência possa prejudicar os direitos das pessoas em conexão com o tratamento dos seus dados pessoais.
A autoridade publicou em seu site o documento do Conselho da Europa, que resume as tarefas básicas dos Estados no campo dos direitos humanos e os principais limites de seus poderes no estabelecimento de medidas anti pandêmicas. A área da proteção de dados pessoais é uma das áreas discutidas. O objetivo do documento é fornecer aos governos um conjunto de ferramentas para enfrentar a atual crise de saúde de uma forma que respeite os valores fundamentais da democracia, do Estado de Direito e dos direitos humanos
Datatilsynet – Dinamarca
Decisão da autoridade dinamarquesa sobre tratamento de informações de funcionário demitido
Com base em uma reclamação, a autoridade dinamarquesa expressou sérias críticas de que o tratamento de dados pessoais da NCC Danmark A/S não ocorreu de acordo com as regras do Regulamento Geral de Proteção de Dados sobre tratamento de dados pessoais e dados pessoais sensíveis e que a NCC não cumpriu seu dever de informar o titular dos dados sobre o tratamento. A empresa havia demitido um funcionário e um caso estava pendente na Justiça do Trabalho com alegações de comportamento indevido no momento da demissão. Em briefing interno enviado por e-mail a vários funcionários da empresa, a NCC expôs informações pessoais como nome, motivo da demissão, relação de trabalho anterior e filiação sindical. A autoridade concluiu que o tratamento de dados pessoais da NCC no e-mail não ocorreu de acordo com as regras da GDPR, uma vez que a empresa não demonstrou um interesse legítimo em informar sobre o emprego anterior dos reclamantes
Autoridade dinamarquesa publica seis dicas para registro de informações de clientes de restaurantes
Tendo em vista o aumento da infecção pela COVID-19, as autoridades de saúde incentivaram restaurantes, cafés, etc. a fazer um registro voluntário dos nomes e informações de contato dos clientes, de modo que possam ser usados para detecção posterior caso um dos clientes esteja infectado. A autoridade deu seis dicas para respeitar a proteção de dados pessoais ao coletar tais dados: (i) deve ser de escolha individual do cliente se ele ou ela deseja registrar suas informações. E essa escolha deve ser genuinamente voluntária – ou seja, não deve haver inconveniência para o cliente por não fazê-la; (ii) deve-se deixar claro para os clientes o que está cadastrado, qual a finalidade do cadastramento e por quanto tempo os dados ficam armazenados. Se o restaurante usar, por exemplo, um sistema de reservas online, ele também deve indicar se as informações da reserva podem ser usadas para detecção de infecção; (iii) deve-se registrar apenas o necessário, normalmente nome, informações de contato e o tempo que o cliente ficou no restaurante; (iv) deve-se certificar que pessoas não autorizadas não tenham acesso às informações registradas; (v) não se deve usar as informações para outras finalidades e (vi) deve-se excluir as informações continuamente
European Data Protection Supervisor – EDPS
A Comissão Europeia lançou duas consultas públicas sobre a sua Comunicação “Uma estratégia europeia para os dados” (a estratégia de dados) e o seu “White book sobre Inteligência Artificial – Uma abordagem europeia da excelência e da confiança ”. Segundo o artigo, IA, como qualquer outra tecnologia, é uma mera ferramenta e deve ser projetada para servir à humanidade. Benefícios, custos e riscos devem ser considerados por quem adota uma tecnologia, especialmente por administrações públicas que tratam grandes quantidades de dados pessoais e cujo aumento na adoção de IA não foi necessariamente acompanhado por uma avaliação sobre qual será o provável impacto sobre os indivíduos e a sociedade como um todo. O artigo é a favor da ideia de uma moratória sobre o reconhecimento automatizado de rostos, mas também e principalmente de impressões digitais, DNA, voz, teclas e outros sinais biométricos ou comportamentais.
CNIL – França
Depois de ter sofrido alguns ataques, a autoridade francesa publicou recomendações especificamente para as plataformas que utilizam o mecanismo de pesquisa Elasticsearch: (i) estabelecer mecanismos de autenticação antes do acesso aos dados; (ii) configurar firewall e regras de filtragem de conexão; (iii) criptografar comunicações e (iv) desativar ou restringir a execução do script.
Autoridade francesa publica white paper sobre assistentes de voz
A autoridade explica os desafios desta tecnologia no white paper, de forma a oferecer uma visão nova e tão completa quanto possível. Baseia-se no seu trabalho sobre o tema, realizado desde 2016, tanto em termos de compliance como de pesquisa. Além dessa análise, a CNIL apresenta boas práticas para designers, desenvolvedores de aplicativos, integradores e também para organizações que desejam implantar assistentes de voz em locais compartilhados, enfatizando a necessidade de transparência e segurança de dispositivos projetados para respeitar a GDPR e a privacidade dos indivíduo
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit – Alemanha
A ONG None-of-your-business apresentou cento e uma reclamações contra o uso do Google Analytics e do Facebook Connect por empresas europeias após o anúncio da decisão Schrems II. As reclamações foram dirigidas a todas as autoridades de proteção de dados nacionais e estaduais, sendo que cinco delas são alemãs. Em termos de conteúdo, as reclamações referem-se a saber se Google e Facebook podem transmitir dados pessoais para os EUA por meio dos produtos mencionados e, portanto, se a utilização por sites de fornecedores europeus é legal ou não.
Data Protection Commission – Irlanda
Autoridade irlandesa publica guia sobre tratamento de dados para fins de contact tracing em empresas
A autoridade relembrou os princípios que devem ser seguidos nesse tipo de tratamento de dados, tais como: (i) minimização da quantidade de dados que são coletados; (ii) transparência com os clientes sobre o motivo da coleta dos dados; (iii) armazenamento seguro da informação; (iv) limitação da finalidade para a qual os dados foram coletados; (v) exclusão dos detalhes de contato quando não for mais necessário mantê-los para fins de rastreamento de contato.
Datatilsynet – Noruega
Autoridade norueguesa está investigação notificações por SMS baseadas em localização
A autoridade registrou que o Diretório Norueguês de Saúde usou notificação SMS baseada em geolocalização para notificar viajantes sobre o aumento da COVID-19 em determinadas regiões e sobre mudanças nas recomendações de viagens que podem levar à quarentena. A notificação por SMS com base na localização também foi usada em outros contextos pelos municípios, tanto antes como durante a pandemia. O serviço pode ser usado, por exemplo, para contar quantas pessoas estão em uma determinada área geográfica em um nível agregado. O serviço utilizado pelo Diretório Norueguês de Saúde e alguns municípios é prestado pela empresa Everbridge Norway AS, que, por sua vez, tem um acordo com os operadores de telecomunicações. Em outras palavras, existem vários agentes envolvidos na notificação por SMS com base na localização, e a investigação irá, entre outras coisas, identificar quem é o controlador/responsável pelo tratamento dos dados pessoais que os serviços de notificação implicam.
ICO – Reino Unido
ICO multa empresa em 130 mil libras por ligações não autorizadas
A empresa Swansea CPS Advisory Ltd foi multada em £ 130.000 por fazer mais de 100 mil ligações de marketing direto não autorizadas para pessoas sobre suas pensões. Segundo John Glen, secretário econômico: “Chamadas não solicitadas sobre previdência são o método mais comum usado para iniciar esquemas de previdência, que podem roubar as economias que as pessoas ganham com dificuldade e arruinar vidas. É por isso que os banimos. A multa de hoje deve servir como um aviso para os outros de que as ligações não solicitadas sobre pensões são inaceitáveis, e aqueles que infringirem as regras serão responsabilizados.”.
Dentre as dicas para empresas de diferentes setores, mas que utilizam dados pessoais, estão: (i) incorporar os princípios de proteção de dados e direitos de informação em seu produto desde a concepção é uma vantagem no mercado, incentivando a confiança do cliente e reduzindo o risco de ação de fiscalização; (ii) colocar os direitos individuais no centro do desenvolvimento de seu produto torna mais fácil mantê-los; (iii) a educação é a chave. Se se pretende processar dados pessoais, deve-se estar ciente das suas obrigações decorrentes da legislação; (iv) é importante adotar uma abordagem de privacy by design e privacy by default; (v) as empresas devem fazer DPIA; (vi) também é importante enquadrar claramente o problema que você está tentando resolver, definir sua base legal e só então decidir quais dados pessoais – se houver – é necessário coletar; (vii) considerar o uso de dados sintéticos. Durante a testagem de um produto, existem técnicas de anonimização e pseudonimização disponíveis para proteger os indivíduos quando se fala em grandes conjuntos de dados. Os dados sintéticos podem ajudar a diminuir o risco se refletirem adequadamente os dados do mundo real; (viii) se o produto usa IA, as empresas devem conhecer suas obrigações.
Proteção de Dados nas Universidades
CARDOSO, Evorah. CRUZ, Francisco Brito. MASSARO, Heloísa. VARON, Joana. BANDEIRA, Olívia.
O objetivo do material é apresentar os posicionamentos da Coalizão Direitos na Rede para candidaturas e campanhas, plataformas de conteúdo e redes sociais, além da Justiça Eleitoral e do Ministério Público Eleitoral. As recomendações foram organizadas em três eixos temáticos: combate à desinformação, enfrentamento ao discurso de ódio e à violência política, e proteção de dados pessoais.
PIGATTO, Jaqueline.
O artigo mostra a evolução dos temas de proteção de dados e neutralidade da rede a partir das reuniões do Fórum de Governança da Internet (IGF), tanto no entendimento de conceitos, quanto nas práticas exercidas, evidenciando a importância das discussões de natureza multistakeholder. Para tanto, foram selecionadas as principais problemáticas discutidas durante a década de 2010 e que envolvem de modo significativo a dinâmica entre setores governamental e privado. Destacamos as gigantes de tecnologia Google e Facebook, por seus papéis centrais em coleta e tratamento de dados pessoais em nível global, assim como suas influências no tema da neutralidade da rede, isto é, que o conteúdo transmitido ao usuário seja o mesmo para todos que acessam seus serviços, sem qualquer tipo de discriminação.
MENDES, Laura Schertel. FONSECA, Gabriel Campos Soares.
O comentário pretende analisar os contornos gerais do marco jurisprudencial em quatro partes. Primeiro, apresentando brevemente o caso concreto que ensejou tal decisão e destacando as discussões existentes acerca da Medida Provisória 954/2020 (LGL\2020\4849). Segundo, evidenciando o significado histórico da decisão ao reconhecer um direito fundamental à proteção de dados pessoais e analisando os argumentos apresentados nos votos proferidos. Terceiro, buscando elencar balizas iniciais quanto aos contornos desse direito fundamental, bem como os efeitos oriundos de seu reconhecimento. Quarto, explicitando balizas mínimas e necessárias para a eventual limitação desse direito fundamental.
Proteção de Dados no Legislativo
O Projeto de Lei, proposto pela Dep. Fed. Lauriete, do PSC do Espírito Santo, no dia 15 de setembro, altera a Lei 8.212/1991 para obrigar o Instituto a notificar os trabalhadores sobre o pagamento das contribuições realizados pelo empregador. O Projeto de Lei aponta para a necessidade de que os trabalhadores atualizem suas informações cadastrais junto ao INSS, mas não propõe modelos de comunicado e tampouco toca no assunto da privacidade e proteção de dados pessoais. Atualmente o PL está em Plenário
Proteção de Dados no Judiciário
No recurso em Mandado de Segurança nº 62143/RJ, questionou-se a decisão da primeira instância de se identificar usuários em determinada localização geográfica para fins de investigação penal. O Ministro Rogerio Schietti Cruz apontou que, no caso em questão, não haveria qualquer violação ao sigilo, uma vez que a interceptação das comunicações se diferencia do que foi requerido pelo magistrado da primeira instância e, também, não seria o sigilo um direito absoluto. O Ministro indicou que “a quebra do sigilo de dados armazenados, de forma autônoma ou associada a outros dados pessoais e informações, não obriga a autoridade judiciária a indicar previamente as pessoas que estão sendo investigadas, até porque o objetivo precípuo dessa medida, na expressiva maioria dos casos, é justamente de proporcionar a identificação do usuário do serviço ou do terminal utilizado.”, não dando provimento ao recurso.
