01.10.20
Intervalo: 09/16/2020 - 09/16/2020

Nesta edição, o Boletim do Observatório destaca as principais movimentações das Autoridades de Proteção de Dados de diferentes países e seleciona artigos científicos sobre a base legal do consentimento e o desafio da Inteligência Artificial para o Direito.

Nesta edição, o Boletim do Observatório destaca as principais movimentações das Autoridades de Proteção de Dados de diferentes países e seleciona artigos científicos sobre a base legal do consentimento e o desafio da Inteligência Artificial para o Direito. Compila, ainda, novos projetos de lei apresentados e, no eixo Judiciário, o julgamento da primeira Ação Civil Pública com base na Lei Geral de Proteção de Dados.

Salientamos a apresentação do Projeto de Lei 4723/2020, pelo Deputado Federal Luiz Philippe de Orleans e Bragança que altera a LGPD para determinar o armazenamento de dados pessoais em território nacional, além de proibir o uso de computação em nuvem para todas as operações mencionadas no inciso X do caput do art. 5º da Lei. Trata-se de medida ineficaz, que já foi amplamente discutida anteriormente durante a formulação do Marco Civil da Internet, Na ocasião, entendeu-se que manter a exigência de armazenamento de dados em determinada localidade não apenas impacta negativamente o funcionamento de pequenas e grandes empresas que precisam da transferência internacional de dados para manter seu negócio, desestimulando a inovação no país, como também confina a discussão do compartilhamento transfronteiriço ao isolamento dos Estados, em detrimento de criar padrões internacionais de segurança e uso de dados pessoais que protejam o direito à privacidade dos cidadãos nas mais diversas localidades. 

Também frisamos a importância das diretrizes publicadas pelo European Data Protection Board sobre segmentação de usuários em redes sociais e a opinião da Autoridade Islandesa quanto ao uso de redes sociais para campanhas eleitorais. No Brasil, estamos cada vez mais próximos das eleições e é de suma importância que se compreenda quais são os limites e possibilidades de tais práticas. Nesse sentido, um grupo de estudos criado pela Associação Data Privacy Brasil de Pesquisa, pelo InternetLab e pelo Instituto Liberdade Digital produziu o documento “Proteção de Dados nas Eleições: Democracia e Privacidade”, que explora, entre outros elementos, o processo de campanha eleitoral em redes sociais e o melhor uso de dados pessoais para esta finalidade. 

Boa leitura! 
Bruno Bioni, Iasmine Favaro & Mariana Rielli

Proteção de Dados nas Autoridades

República Tcheca

Autoridade tcheca aplica a maior multa por spam da sua história

A autoridade impôs sanção de 6 milhões de coroas a empresas envolvidas na venda de carros por envio recorrente e não solicitado de mensagens comerciais. A autoridade analisou toda a campanha de marketing da empresa, que tinha quase 500 mil destinatários, sem, no entanto, apresentar qualquer tipo de menção ao consentimento.

Dinamarca

Autoridade dinamarquesa publica nova estratégia de ação

A nova visão estratégica proposta pela autoridade contém nova visão, missão e valores, além de definir a direção do trabalho da autoridade pelos próximos anos e propor orientações mais concretas para problemas específicos. A nova estratégia foi criada com base nas contribuições dos atores que têm interesse no trabalho da autoridade e, nesse sentido, foi preparada uma análise com diferentes visões, na qual várias autoridades, organizações da indústria e outros grupos de interesse foram consultados sobre a sua experiência e desejos futuros para o enfoque do órgão.

França

CNIL organiza Air:2020, evento que discutirá o que mudou no mundo de trabalho com as novas tecnologias

As inscrições para o evento estão abertas até o dia 06 de novembro. O tema “Direitos e liberdades digitais no trabalho: realidade e horizontes” irá se dividir em três eixos: (i) O papel da inteligência artificial no mercado de trabalho e seus desafios para a identificação de talentos ou mesmo viés discriminatório de contratação; (ii) Gerenciamento de dados automatizado em tempo real para medir e otimizar a produtividade do trabalhador (ou análise de pessoas) e seus limites e (iii) Experiência com feedback sobre o aumento massivo do teletrabalho durante a crise de saúde, que causou uma mudança na cultura corporativa e trouxe novas questões sobre a privacidade dos funcionários. O evento acontecerá online no dia 09 de novembro.

CNIL publica lembretes sobre coleta de dados pessoais pelos empregadores

A autoridade publicou lembretes para os empregadores acerca das obrigações ao se coletar dados pessoais de funcionários, tais como: (i) relembrar aos seus colaboradores, em contato com outras pessoas, a sua obrigação de comunicar, em caso de contaminação ou suspeita de contaminação, os empregadores ou as autoridades sanitárias competentes, com o único propósito de lhes permitir adaptar as condições de trabalho; (ii) facilitar a sua comunicação estabelecendo, se necessário, canais dedicados e seguros; (iii) promover métodos de trabalho à distância e incentivar o recurso à medicina do trabalho. Quanto ao tratamento de dados de saúde dos funcionários, a CNIL aponta que há uma proibição no tratamento, com exceção de: (i) a necessidade de o empregador tratar estes dados para cumprir as suas obrigações relativas ao direito do trabalho, segurança social e da proteção social: é o caso do tratamento de relatórios dos trabalhadores e (ii) a necessidade de um profissional de saúde tratar esses dados para fins de medicina preventiva ou medicina do trabalho, avaliação (sanitária) da capacidade de trabalho do trabalhador, diagnósticos médicos, etc. Por fim, apontou que os empregadores que desejem iniciar quaisquer medidas destinadas a garantir o estado de saúde dos seus empregados devem contar com os serviços de saúde ocupacional competentes, que estão no centro de gestão da crise da saúde. Não podem, por si próprios, criar fichas relativas à temperatura corporal dos seus colaboradores ou a determinadas patologias.

Alemanha

Autoridade alemã comemora o dia do Direito à Informação

O Comissário Prof. Ulrich Kelber enfatizou, em comemoração ao dia do Direito à Informação que “desde março, a autoridade tem sido cada vez mais solicitada a fornecer informações. As pessoas têm muitas perguntas e grande necessidade de informações oficiais sobre as atividades federais relacionadas à pandemia. A princípio, gostaria que as autoridades tivessem uma transparência mais ativa no futuro. Isso significa que elas podem explicar melhor a ação do governo publicando processos, números e outras informações de forma independente. Isso ajudaria, por exemplo, a aumentar a aceitação de medidas de combate a pandemias.”. Além disso, o Comissário também falou sobre o aplicativo de contact tracing desenvolvido pelo governo: “Transparência cria confiança. Em uma democracia, o sucesso das medidas contra a Covid-19 depende da convicção das pessoas em relação às ações do governo e ao cumprimento das recomendações. Principalmente em tempos de incerteza e de relatos enganosos, é mais importante do que nunca que as autoridades federais se abram e contribuam para uma objetivação do debate com informações válidas. Nossa democracia é baseada no conhecimento”.

Irlanda

Autoridade irlandesa publica diretrizes para contact tracing em empresas e tratamento de dados de clientes

A autoridade indicou princípios que devem ser seguidos pelas empresas ao coletarem dados de clientes para realização de rastreamento de contato, apontando que elas devem: (i) coletar apenas os detalhes necessários para fins de rastreamento de contato ou compliance, por exemplo, nome, número de contato, hora e data de atendimento. No caso de instalações licenciadas, os registros da venda de refeições aos clientes devem ser registrados para fins de compliance; (ii) Ser transparente com seus clientes sobre o motivo da coleta desses dados. Ser capaz de explicar claramente o objetivo da coleta de dados pessoais; (iii) Armazenar essas informações com cuidado. Embora não seja necessário usar tecnologia para armazená-las, caso se decida mantê-las eletronicamente, deve-se certificar de que o sistema usado é seguro e excluir as informações em intervalos regulares quando não forem mais necessárias; (iv) Limitar esses dados à finalidade para a qual foram coletados. Em particular, não usar esses dados para fins de marketing direto ou para fazer contato com clientes por qualquer motivo; (v) Certificar-se de excluir os detalhes de contato quando não precisar mais mantê-los para fins de rastreamento de contato ou compliance.

Itália

Autoridade italiana publica livro “Privacidade 2030: um manifesto para o nosso futuro”

O manifesto publicado pela autoridade italiana, em parceria com o IAPP, é o manifesto do pensamento de Giovanni Buttarelli e reúne reflexões e notas do autor, que foi Supervisor Europeu de Proteção de Dados. A obra possui duas seções distintas: a primeira, baseada nos escritos e nas reflexões de Buttarelli, que termina com uma espécie de “decálogo” da privacidade da nova década. A segunda, baseada em contribuições de renomados acadêmicos e especialistas internacionais (incluindo Marc Rotenberg, o fundador do Electronic Privacy Information Center, e Shoshana Zuboff, estudiosa e autora de uma obra recente sobre capitalismo de vigilância).

Lituânia

Autoridade lituana multa município por tratamento incorreto de dados pessoais de crianças adotadas

A autoridade multou o Município de Vilnus em 15 mil euros por não manter atualizados os dados cadastrais das crianças e dos pais adotivos. Verificou-se que a maioria dos dados estavam desatualizados e não havia um esforço do Município em manter essas informações atualizadas e precisas.

“A transferência de dados pessoais para países terceiros é uma regra vinculativa para a empresa”, aponta autoridade lituana

A autoridade aponta que as empresas que pretendam transferir dados pessoais tratados ​​no decurso das suas atividades para um país terceiro, como os EUA, Turquia, Austrália, Ucrânia, etc., devem seguir as regras para a transferência de dados pessoais para países terceiros estabelecidas na GDPR. Também discorre sobre um dos fundamentos possíveis para a transferência de dados pessoais para terceiros países, as Regras Corporativas Vinculativas (BCRs).

Polônia

Autoridade polonesa oferece treinamento online para DPOs do setor da educação

O webinar, que ocorrerá no dia 30 de setembro, buscará debater questões que surgiram ao longo da pandemia com relação às organizações de ensino e ensino à distância, com apontamentos quanto à segurança da informação dos alunos. O treinamento  não só dirá respeito ao tratamento de dados dos alunos, seus pais ou professores, mas também irá conter dicas práticas de como realizar videoconferências, cuidar dos equipamentos em que trabalham, etc.

EDPB abre consulta pública sobre diretrizes de segmentação de usuários em redes sociais

O EDPB adotou as orientações quanto ao targeting na sua 37ª reunião plenária. Essas diretrizes tiveram como objetivo fornecer às partes interessadas orientação prática e exemplos de diferentes situações para ajudar a identificar o “cenário” mais relacionado à prática de direcionamento que as organizações irão aplicar. O principal objetivo das diretrizes é esclarecer as funções e responsabilidades dos provedores de mídias sociais e seu público. Portanto, as diretrizes discorrem, dentre outras coisas, sobre ameaças potenciais à liberdade dos indivíduos, aplicação dos princípios e requisitos fundamentais para o tratamento de dados pessoais, quais sejam, legalidade, transparência e realização de uma avaliação do impacto da proteção de dados. A consulta pública ficará aberta até 19 de outubro.

Islândia

Autoridade islandesa publica opinião sobre o uso de redes sociais para campanhas eleitorais

A autoridade investigou oito partidos políticos que realizaram segmentação de indivíduos para fins de propaganda política e descobriu que em dois casos, foram utilizadas apenas informações sobre a idade e localização das pessoas. Nos outros partidos, os grupos eram definidos de forma mais precisa com base em seu campo de interesse nas redes sociais. As áreas de interesse foram registradas pelos próprios usuários ou determinadas pelas redes sociais com base na sua atividade, como o que curtiram, compartilharam ou no que demonstraram interesse. 

Assim, algumas organizações políticas enviaram mensagens personalizadas a grupos específicos de eleitores que, de acordo com suas personalidades, eram considerados prováveis ​​de votar ou indecisos. A autoridade enfatiza que o tratamento de informações pessoais sensíveis por membros e eleitores por organizações políticas, como opiniões políticas, deve ser baseado no consentimento inequívoco dos indivíduos para o tratamento.  Sobre esse assunto, um grupo de estudos criado pela Associação Data Privacy Brasil de Pesquisa, pelo InternetLab e pelo Instituto Liberdade Digital, produziu o documento “Proteção de Dados nas Eleições: Democracia e Privacidade” que explora, entre outros elementos, o processo de campanha eleitoral em redes sociais e suas implicações para a proteção de dados pessoais.

Sobre esse assunto, um grupo de estudos criado pela Associação Data Privacy Brasil de Pesquisa, pelo InternetLab e pelo Instituto Liberdade Digital, produziu o documento “Proteção de Dados nas Eleições: Democracia e Privacidade” que explora, entre outros elementos, o processo de campanha eleitoral em redes sociais e suas implicações para a proteção de dados pessoais.

Liechtenstein

Autoridade liechtensteiniense publica contrato modelo para responsabilidade solidária

A responsabilidade conjunta, de acordo com o Art. 26 da GDPR, surge se houver duas (ou mais) pessoas ou entidades responsáveis ​​por um mesmo tratamento de dados ao mesmo tempo. Nesse caso, elas trabalham juntas de forma consciente e decidem em conjunto sobre os objetivos e meios essenciais para o tratamento de dados. O modelo de contrato disponibilizado pela autoridade é baseado em dois responsáveis ​​solidários. A responsabilidade conjunta também pode incluir mais partes contratantes. Além disso, o modelo de contrato pressupõe que ambos os parceiros contratuais estejam sujeitos à GDPR.

Noruega

Governo norueguês decide descontinuar aplicativo de contact tracing

O Instituto Nacional de Saúde Pública norueguês irá desenvolver um novo aplicativo, apenas para rastreamento de contato e com base na estrutura desenvolvida pelas empresas Apple e Google. Segundo a autoridade, foram analisados diferentes tipos de tecnologia e concluiu-se que a desenvolvida pelas empresas seria a que representa menor risco à privacidade dos cidadãos.

Reino Unido

ICO publica orientação para coleta de informações de clientes

O governo britânico tornou obrigatória para todas as empresas no setor hoteleiro, de lazer e turismo, além de setores que envolvem contato próximo, como barbeiros e esteticistas, a coleta de informações de clientes para o programa de teste e rastreamento de contato. Com isso, a autoridade definiu cinco diretrizes para respeitar a privacidade dos indivíduos: (i) pedir às pessoas apenas as informações específicas que foram estabelecidas nas orientações do governo; (ii) ser claro, aberto e honesto com as pessoas sobre o que está sendo feito com suas informações pessoais; (iii) manter os dados das pessoas seguros. As organizações não devem usar livros de registro abertos e devem garantir que as informações pessoais de seus clientes sejam mantidas em sigilo; (iv) não usar as informações pessoais coletadas para rastreamento de contatos para outros fins, como marketing direto, criação de perfis ou análise de dados; e (v) apagar ou descartar as informações pessoais coletadas após 21 dias.

ICO publica considerações sobre app NHS COVID-19

A autoridade apontou que mantém uma boa relação com as partes desenvolvedoras do app e que está sendo amplamente consultada quanto a questões de privacidade e proteção de dados pessoais, apontando algumas mudanças positivas específicas: (i) informações sobre privacidade aprimoradas, informando melhor os indivíduos sobre as implicações que o aplicativo pode ter sobre sua privacidade, as medidas tomadas para mitigar esses riscos e como os indivíduos podem exercer seus direitos de informação; (ii) informações mais claras sobre a tomada de decisão automatizada, incluindo a oportunidade, concedida aos indivíduos, de falar com algum funcionário sobre a decisão em questão e o raciocínio por trás do algoritmo; (iii) mais transparência para os indivíduos sobre como e quando os dados pessoais são considerados anônimos e com quem são compartilhados e (iv) maior clareza de fluxos de dados e considerações de segurança. A autoridade ainda apontou que fará auditoria de todo o ecossistema de teste e rastreamento.

ICO multa empresa que desrespeitou a lei para lucrar com a pandemia do coronavírus

A empresa Digital Growth Experts Limited foi multada em 60 mil libras por enviar milhares de textos de marketing considerados incômodos durante a pandemia. Com o objetivo de capitalizar e lucrar com a pandemia, a DGEL enviou os textos, dos quais 16.190 foram recebidos entre 29 de fevereiro e 30 de abril de 2020, promovendo um produto higienizante para as mãos que afirmava ser “eficaz contra o coronavírus”. As mensagens foram todas enviadas para pessoas que não consentiram em recebê-las. O chefe das investigações do ICO apontou que “A DGEL brincou com as preocupações das pessoas em um momento de grande incerteza pública, agindo com flagrante desrespeito à lei, e tudo para encher o próprio bolso. Iremos priorizar ações contra organizações que realizam atividades semelhantes.”.

Proteção de Dados nas Universidades

“Proteção de dados para além do consentimento: tendências contemporâneas de materialização”

SCHERTEL, Laura. FONSECA, Gabriel.

O artigo tem como objetivo debater o enfoque no consentimento do titular dos dados como instrumento regulatório nuclear da proteção de dados pessoais. Para tanto, são brevemente abordados três aspectos que demonstram as insuficiências do paradigma do consentimento: (i) as limitações cognitivas do titular dos dados pessoais para avaliar os custos e benefícios envolvidos quanto aos seus direitos; (ii) a lógica binária “take it or leave it”, que reflete a ausência de uma vontade livre em razão da assimetria de poderes entre ele e o agente responsável pelo tratamento, bem como a sua dependência em relação a muitos serviços da sociedade da informação; e (iii) as modernas técnicas de tratamento e de análise dos dados pessoais, que possibilitam a agregação de informações e que dificilmente podem ser gerenciadas pelo titular de dados no momento da coleta dos dados. Para superar essas insuficiências, tendências contemporâneas de ‘’materialização’’ da proteção de dados apresentam-se como soluções interessantes, tornando-a mais responsiva tanto aos riscos gerados pelo tratamento, como aos obstáculos concretos a uma decisão livre e autônoma. Neste texto, exploraram-se três caminhos nesse sentido: (i) estratégias a partir da tecnologia e do desenho dos sistemas informacionais (privacy by design) a fim de auxiliar o titular no controle de seus dados; (ii) implementação da regulação pautada na prestação de contas pelos agentes de tratamento (accountability), dimensionando os riscos prévios ao tratamento de dados pessoais; e (iii) o controle contextual do consentimento.

“Big data e inteligência artificial: desafios para o Direito”

HOFFMANN-RIEM, Wolfgang.

O artigo aborda as possíveis respostas jurídicas aos desafios colocados pela transformação digital da sociedade, usando o exemplo da lei nacional alemã e da UE. O foco está no desenvolvimento e uso de big data, ou seja, grandes volumes de dados que variam em termos de natureza e qualidade e que podem ser tratados em alta velocidade para uma variedade de propósitos. O direito tem a tarefa de facilitar as oportunidades associadas ao big data, mas também de afastar ou minimizar os riscos para os interesses individuais e coletivos juridicamente protegidos. De especial importância é a proteção dos direitos de liberdade, incluindo o direito à autodeterminação informacional (proteção de dados). O direito também exige inovações. Além das estruturas jurídicas, a proteção por meio da tecnologia é importante (como a proteção por design/ por padrão). Também são necessárias garantias de transparência e controle suficientes, além de proteção judicial. Além disso, deve-se garantir que sejam desenvolvidas estruturas de governança adequadas.

Proteção de Dados no Legislativo

Apresentado Projeto de Lei que determina que dados sejam armazenados em território nacional

O Projeto de Lei 4723/2020, apresentado pelo Dep. Fed. Luiz Philippe de Orleans e Bragança, do PSL de São Paulo, altera o art. 3º LGPD para determinar que os dados pessoais de brasileiros mantenham-se armazenados em território nacional. Além disso, o Projeto de Lei altera o art. 55-D da LGPD, dispondo sobre a nomeação de conselheiros e vedando “a nomeação de cônjuge, companheiro ou parente em linha reta, colateral ou por afinidade, até o terceiro grau, de autoridades do Poder Legislativo, Executivo e Ministros do Judiciário”. O Projeto de Lei está em Mesa Diretora.

Projeto de Lei de Conversão que dispõe sobre conta do tipo poupança social digital vai para o Plenário

O PLV 39/2020, apresentado pelo Dep. Fed. Gastão Vieira, do PROS-MA, foi conversão da Medida Provisória 982/2020 que dispões sobre a conta do tipo poupança social digital. Atualmente, o PLV está em Plenário.  

Apresentado Projeto de Lei que estabelece diretrizes para o tratamento de dados em ensino à distância

O Projeto de Lei 4695, apresentado pelo Dep. Fed. Danilo Cabral, do PSB de Pernambuco, estabelece algumas diretrizes como, por exemplo, as instituições de ensino preferencialmente optarem por tecnologias que não demandem fornecimento e compartilhamento de dados pessoais, não haver coleta ou disponibilização de dados pessoais sensíveis, sempre que possível, entre outras ferramentas de proteção à privacidade dos alunos. Atualmente, o PL está em Mesa Diretora.

Proteção de Dados no Judiciário

Primeira ação com base da LGPD é extinta sem resolução do mérito

Decisão do Juiz Wagner Pessoa Vieira, do Tribunal de Justiça do Distrito Federal, decidiu pela extinção de Ação Civil Pública nº 0730600-90.2020.8.07.0001, ajuizada pelo Ministério Público do Distrito Federal, sob a alegação de comercialização ilegal de dados pessoais por uma empresa mineira. O juiz afirmou que não se vislumbra a presença de interesse processual, uma vez que, ao consultar o sítio eletrônico da empresa, constatou-se que este estava em manutenção, de modo que ficou demonstrado que a empresa estava buscando se adequar à recém vigente Lei Geral de Proteção de Dados.

Compartilhar: