Olá, Nesta edição, o Boletim destaca as principais movimentações das autoridades nacionais de proteção de dados de diferentes países, dois artigos acadêmicos sobre responsabilidade civil dos agentes de tratamento de […]
Olá,
Nesta edição, o Boletim destaca as principais movimentações das autoridades nacionais de proteção de dados de diferentes países, dois artigos acadêmicos sobre responsabilidade civil dos agentes de tratamento de dados pessoais e sobre a influência do uso de Big Data em tecnologias relacionadas à Saúde Pública, um projeto de lei sobre ensino à distância e a decisão do TRT-4 sobre o acesso a dados pessoais de funcionários pelo empregador.
Damos ênfase à opinião publicada pela CNIL sobre o uso de reconhecimento facial em aeroportos. A Autoridade apontou para a proibição, a priori, da coleta de dados biométricos, que são considerados sensíveis e destacou a necessidade de, caso a coleta seja necessária, respeitar os princípios previstos no GDPR, inclusive, com a coleta de consentimento livre, expresso e informado dos passageiros. No Brasil, o Governo Federal quer implementar, em todos os aeroportos, o uso de reconhecimento facial, através do projeto “embarque seguro”. Cabe salientar nesse sentido, que dados biométricos são considerados sensíveis pela Lei Geral de Proteção de Dados e, portanto, o regime é mais restritivo do que de outros dados pessoais e as salvaguardas que devem ser adotadas pelo agente de tratamento precisam ser mais robustas.
Nessa toada, consideramos que, como apontou a Autoridade de Proteção de dados francesa, a realização do Relatório de Impacto à Proteção de Dados Pessoais do projeto “Embarque Seguro” anteriormente à implementação da tecnologia de reconhecimento facial nos aeroportos é importante e indicada, a fim de mensurar quais são os possíveis riscos e quais salvaguardas serão adotadas para mitigá-los.
Ressaltamos, ainda, a decisão do Tribunal Regional de Trabalho da 4ª Região, que determinou como ilegal a prática de consulta, por parte do empregador, a banco de dados a cadastros de restrição ao crédito (SPC e SERASA), situação fiscal perante à Receita Federal, processos cíveis, inquéritos policiais, ocorrência policiais e processos criminais sem sentença transitada em julgado sobre o empregado, apontando para a violação do direito constitucionalmente previsto à privacidade.
Boa leitura!
Bruno Bioni, Iasmine Favaro & Mariana Rielli
Proteção de Dados nas Autoridades
Bélgica
Novo documento com perguntas frequentes sobre pequenas e médias empresas
O documento com perguntas frequentes explica certos aspectos e obrigações da GDPR, com exemplos concretos e referências a fontes adicionais de informação. O documento contém, por exemplo, respostas a perguntas práticas como: se a GDPR se aplica à organização, em que casos se atua como controlador ou processador ou como redigir uma política de privacidade.
Segundo o documento, a autoridade implementou um sistema de monitoramento que lhe permite conhecer ativamente os desenvolvimentos tecnológicos e sociais relacionados à proteção de dados. A autoridade pôde, assim, reagir rapidamente ao tomar conhecimento de operações de tratamento que envolvam possíveis riscos para os direitos dos cidadãos em termos de proteção de dados. Segundo a Autoridade, com o desenvolvimento do serviço de fiscalização, 2019 foi um ano importante para a implementação da tarefa de controle. Foram iniciadas as primeiras investigações e, em maio de 2019, a Autoridade proferiu a sua primeira multa, no valor de 2 mil euros, contra um parlamentar que tinha desviado endereços de e-mail obtidos durante o seu mandato para efeitos de propaganda política. No mesmo ano, aplicou mais duas multas, de 5 mil euros cada, por fatos semelhantes. Para a Autoridade, os agentes e autoridades públicas devem dar o exemplo em termos de proteção de dados, razão pela qual decidiu fazer do setor público uma das suas grandes prioridades estratégicas.
República Tcheca
O presidente reafirmou, principalmente, a missão principal de uma Autoridade Nacional de Proteção de Dados, que consiste em regular o tratamento de dados pessoais. Segundo o presidente, especialmente hoje, essas informações são uma grande fonte de energia: “a regulamentação legal do tratamento de dados pessoais não é um fim em si mesmo. A razão não é principalmente ‘proteção por proteção’, mas porque protegendo a privacidade dos cidadãos, protege-se sua dignidade por meio dos dados pessoais. As ameaças são tipicamente práticas injustas de outros particulares e, como se constata, não apenas em conexão com a pandemia do coronavírus, especialmente a interferência excessiva do estado em nossa liberdade”, disse ele. Neste ponto, o presidente da Autoridade quer se concentrar principalmente nas parcerias com governos locais. Segundo ele, o relacionamento com os municípios e regiões não deve ser baseado no confronto, mas no princípio da cooperação: “acima de tudo, devemos ajudar os municípios e seus comissários a estabelecer processos para que realizem suas tarefas necessárias de uma forma que respeite a privacidade de seus cidadãos”.
Dinamarca
Nova decisão quanto a violações por falta de testagem de sistema de segurança
A Autoridade tomou uma decisão em três casos de violação da segurança de dados pessoais. O que há de comum entre os casos é que – devido à falta de controles básicos – muitas informações foram transmitidas aos destinatários ou foi concedido acesso a informações relativas a muitos cidadãos. Em dois dos casos, trata-se de informações relacionadas a emprego sobre 1.5 milhões cidadãos e, no segundo caso, até 4,2 milhões de cidadãos. A Autoridade de Proteção de Dados dinamarquesa proferiu críticas severas às empresas que tratam dados para os municípios. Em um dos casos, houve divulgação não intencional de nome, endereço e CPF, quando uma pessoa preencheu o formulário digital de um município para fins de complemento ou benefício único em nome de outro cidadão. Este último incidente é um exemplo de caso em que o município controlador dos dados não fez a verificação básica de quais informações foram repassadas quando um sistema de TI foi colocado em operação. Da mesma forma, nos casos anteriores, os operadores não realizaram verificações básicas na informação repassada e na informação fornecida após a alteração do sistema diante de uma atualização.
Autoridade dinamarquesa inicia investigação a uma série de atividades na área de pesquisa
Em 22 de junho de 2020, a Autoridade publicou uma notícia de que examinaria mais de perto os relatórios do Advogado da Câmara sobre o tratamento de dados pessoais do Statens Serum Instituts (SSI) para uso em pesquisa. Com base nas conclusões preliminares dos relatórios do Advogado da Câmara, a Autoridade decidiu abrir um caso por sua própria conta contra a SSI. A este respeito, solicitou ao instituto que explicasse uma série de questões recorrentes nos relatórios preliminares. A Autoridade também está aguardando o relatório final do Advogado da Câmara, que deve ser publicado em novembro de 2020, para, então, decidir em que medida isso dá ensejo a novas reações à SSI. A fim de investigar se os mesmos problemas que aparentemente ocorrem com a SSI estão ocorrendo com outros controladores semelhantes, a Autoridade também deu início a uma série de inspeções por escrito de autoridades públicas que realizam pesquisas. As auditorias se concentram em: (i) funções e responsabilidades (responsabilidade pelos dados); (ii) base legal para tratamento; (iii) transferência de dados pessoais para destinatários em países do EEE e para destinatários em países fora da UE; (iv) supervisão de operadores; (v) a possível permissão da Autoridade para divulgação, conforme a Lei de Proteção de Dados, seção 10, subseção 3; (vi) de acordo com o Artigo 30 do Regulamento de Proteção de Dados e (vii) políticas/diretrizes sobre proteção de dados em conexão com a implementação de projetos de pesquisa.
França
CNIL publica diretrizes para coleta de dados de saúde em práticas desportivas
Muitas estruturas desportivas (associações, clubes) pretendem implementar medidas adequadas para limitar a propagação do vírus e garantir o reinício das atividades e eventos desportivos em total segurança (treinos, torneios, amistosos, etc.). Nesta perspectiva, questionam as condições em que podem ser utilizados os dados pessoais de atletas, treinadores, árbitros ou supervisores, em particular relativos à saúde: medição sistemática de temperaturas antes de aceder aos equipamentos desportivos, organização de testes sorológicos antes da organização de um evento desportivo, comunicação de um teste sorológico negativo em caso de ausência do atleta ao treino, preenchimento de um questionário de saúde especificamente dedicado aos riscos de exposição à COVID-19, etc. Para responder a estas questões, a CNIL recordou dos princípios de proteção da privacidade e dos dados pessoais aplicados à prática desportiva. Em primeiro lugar, a Autoridade definiu que qualquer leitura de temperatura, qualquer resultado de um teste sorológico, qualquer atestado médico enviado a estruturas desportivas para avaliar um risco de exposição ao COVID-19, constituem dados pessoais de saúde na acepção da GDPR. Devido à sua natureza sensível, os dados de saúde das pessoas envolvidas em estruturas esportivas ou durante eventos esportivos estão sujeitos a proteção legal muito específica. Assim, o tratamento destes dados, quer se trate da coleta, registro, transmissão, utilização das temperaturas ou dos resultados dos testes sorológicos efetuados, é em princípio proibido. Porém, no âmbito da COVID-19, os dados de saúde podem, a título excepcional, ser tratados por estruturas desportivas, desde que se enquadrem, nomeadamente, numa das seguintes hipóteses: (i) as estruturas desportivas obtêm, antes da recolha dos dados de saúde, o consentimento das pessoas envolvidas (atletas, treinadores, árbitros, etc.) e (ii) a coleta de dados de saúde se justifica por motivos de importante interesse público.
CNIL publica diretrizes para uso de reconhecimento facial em aeroportos
Segundo a Autoridade, há uma generalização do uso de dispositivos de reconhecimento facial biométrico em aeroportos, na França e, particularmente, a nível internacional. De acordo com o relatório “Air Transport IT Insights 2018” da empresa internacional de telecomunicações aeronáuticas (SITA), 59% dos aeroportos e 63% das companhias aéreas planejam implantar dispositivos de reconhecimento facial até 2021. É neste contexto que vários gestores aeroportuários ou prestadores de serviços franceses apelaram à CNIL para que os apoie na experimentação deste tipo de dispositivo. Para a Autoridade, dentro de um aeroporto, o reconhecimento facial pode possibilitar a automatização das várias etapas de controle (como entrega de bagagem ou embarque), substituindo o controle de documentos de viagem e de identidade, com o objetivo de agilizar a jornada do viajante e garantir uma melhora em sua experiência, reduzindo o tempo de espera. Na prática, a fotografia do rosto do passageiro em seu documento de identidade é comparada por reconhecimento facial ao rosto capturado durante sua passagem pelos postos de controle do aeroporto. Os dados biométricos têm a particularidade de serem produzidos pelo próprio corpo e o caracterizam definitivamente. Eles são, portanto, únicos, permanentes ao longo do tempo. Ao contrário de quaisquer outros dados pessoais, os dados biométricos não são atribuídos por terceiros ou mesmo escolhidos pela pessoa. Ao contrário de uma senha ou de um identificador, não pode, portanto, ser modificado em caso de comprometimento (perda, intrusão no sistema, etc.). Os dados biométricos são, portanto, dados “sensíveis” na acepção da legislação de proteção de dados e, como tal, estão sujeitos a um regime específico. Seu tratamento é proibido em princípio e só pode ser implementado, a título de exceção, em alguns casos listados pela GDPR. Nesse sentido, os principais princípios a serem respeitados são: (i) justificar a necessidade e proporcionalidade do dispositivo de reconhecimento facial previsto; (ii) obter o consentimento prévio dos passageiros em questão; (iii) manter os dados biométricos sob o controle exclusivo dos passageiros envolvidos e (iv) realizar uma avaliação de impacto de proteção de dados (DPIA).
Alemanha
O presidente da Autoridade alemã, Professor Ulrich Kelber, apela ao Governo Federal para que encare o julgamento do Tribunal de Justiça Europeu (TJE) sobre a retenção de dados como um limite para leis futuras: “é incompreensível que, um ano antes das eleições federais, futuras leis no campo das telecomunicações estejam planejadas de maneira contraditória à linha do TJCE. Em vez disso, a Alemanha deveria trabalhar para garantir que não surjam novos regulamentos para a retenção de dados a nível europeu.’’ Isso se aplica em particular ao Regulamento de privacidade eletrônica atualmente discutido. A Autoridade critica a retenção de dados não razoável há anos e recebe o julgamento do TJCE como validação de suas críticas. Segundo a publicação, com esta decisão inovadora, a retenção incondicional e generalizada de dados de tráfego e localização, que documenta quem telefonou para quem, quando, por quanto tempo e de onde, é declarada incompatível com a legislação europeia. Aponta, ainda, que o TJE deixa claro que a retenção de dados ainda é possível sob certas condições, a fim de evitar infrações penais graves e garantir a segurança nacional. A respectiva ordem nacional para efetuar o armazenamento deve, no entanto, ser limitada no tempo e ser objeto de revisão efetiva por um tribunal ou uma autoridade administrativa independente.
Holanda
Autoridade holandesa publica recomendações para privacidade no ensino doméstico digital
Pais, alunos e professores manifestaram à Autoridade preocupações quanto ao tratamento de dados pessoais no ensino à distância. Eles se perguntam, por exemplo, se os sistemas que as escolas usam para chamadas de vídeo são realmente seguros. E se os dados não podem cair nas mãos erradas. O objetivo da pesquisa da Autoridade era, portanto, obter uma visão sobre como as instituições de ensino tratam dados pessoais durante chamadas de vídeo online e supervisão online. E com base nisso, fez recomendações concretas sobre a melhor forma de proteger a privacidade de seus alunos e funcionários, agora e no futuro. Com as chamadas de vídeo online, é especialmente importante que as instituições educacionais elaborem uma política clara sobre quais aplicativos podem ser usados. Deve-se especificar inclusive, para que as imagens de vídeo podem ser usadas. Se não for necessário, a instituição educacional deve garantir que nenhum aluno esteja enquadrado ao capturar imagens de uma aula digital. A instituição de ensino também deve prestar atenção na contratação do fornecedor do software, inclusive em relação ao período de retenção das imagens. As imagens não podem ser mantidas por mais tempo do que o estritamente necessário.
Noruega
Tribunal de Justiça da União Europeia proíbe coleta em massa de dados de comunicação
Em 11 de junho de 2020, foi aprovada uma nova lei sobre o serviço de inteligência, que permite a chamada defesa digital de fronteira, em que os provedores de serviços de comunicação podem ser obrigados a fornecer acesso a metadados que o serviço de inteligência armazenará por 18 meses. Nos acórdãos Privacy International (Processo C-623/17 ) e La Quadrature du Net e Outros (Processo C-511/18) , o Tribunal considera que uma coleta e armazenamento geral e indiscriminado de informações de comunicação é contrária aos direitos fundamentais e à Diretiva de Proteção das Comunicações (2002/58 / EC), implementada na lei norueguesa na Lei de Comunicações Eletrônicas. Decorre do artigo 5.º, n.º 1, da Diretiva que os Estados-Membros são obrigados a garantir a confidencialidade das comunicações e dos dados de tráfego relacionados. O Tribunal afirma que a legislação nacional não pode impor aos prestadores a obrigação de fornecerem informações e acesso a dados de comunicação em massa, o que implicaria um armazenamento prévio geral e indiscriminado desses dados. A coleta direcionada de dados de tráfego e localização pode ser aceitável se o armazenamento for limitado ao estritamente necessário, com base em uma ameaça real, limitada a categorias específicas de dados, os meios de comunicação usados, as pessoas envolvidas e a duração do tempo de coleta e armazenamento.
Tentativa semelhante ocorreu no “PL das Fake News” no Brasil, em que se buscava o armazenamento de metadados a fim de identificar contas propagadoras de notícias falsas. A retenção de metadados foi retirada da minuta de substitutivo do deputado Orlando Silva (PCdoB – SP) após forte incidência de organizações da sociedade civil.
Reino Unido
ICO conclui investigação sobre uso de dados pessoais em campanhas políticas
A Autoridade analisou todo um ecossistema – empresas de análise de dados, plataformas, partidos políticos e data brokers – e depois procurou fazer alterações na forma como as informações pessoais das pessoas estavam sendo usadas. A ação levou a multas pagas por Vote Leave, Leave.EU, Emma’s Diary e Facebook, este último considerando a penalidade financeira máxima que o ICO poderia cobrar de acordo com a lei da época. Se a Cambridge Analytica tivesse continuado a existir, segundo a Comissária Elizabeth Denham, também teria procurado agir contra suas práticas lesivas em relação à proteção de dados. Para Denham, a investigação foi concluída, mas o trabalho nesta área não termina aqui. Em breve a Autoridade irá publicar um relatório de auditorias dos principais partidos políticos, além do trabalho com as principais agências de referência de crédito e data brokers.
Proteção de Dados nas Universidades
A responsabilidade civil dos agentes de tratamento à luz da Lei Geral de Proteção de Dados
Manuela Albertoni Tristão; Temis Chenso da Silva Rabelo Pedroso.
O artigo analisa a responsabilidade civil dos agentes de tratamento sob a ótica da Lei Geral de Proteção de Dados Pessoais (LGPD). Nesse sentido, ante a crescente demanda da utilização da tecnologia, tornou-se necessária a regulamentação do uso dos dados pessoais. Assim, o texto legal inovou com a criação dos “agentes de tratamento”, os quais são os responsáveis pelo tratamento de dados, estando, por isso, imersos em uma gama de deveres. Estes deveres, por sua vez, são necessários para o equilíbrio da relação, tornando possível a concretização dos direitos dos titulares dos dados pessoais, conforme preceitua a lei. Dessa forma, a responsabilidade surge do exercício da atividade de tratamento de dados que viole os comandos da legislação vigente, causando dano material ou moral a um titular ou a uma coletividade. A partir disso, a LGPD separa as responsabilidades dos agentes de tratamento, mas estipula hipóteses de responsabilização solidária, bem como situações de exclusão. Para este estudo, foi realizada pesquisa de caráter bibliográfico com base em artigos científicos de revistas atualizadas e especializadas em Direito e Tecnologia.
Reflexões sobre o uso do Big Data em modelos preditivos de vigilância epidemiológica no Brasil
Rui Massato Harayama
O objetivo do estudo é discutir as implicações bioéticas a partir do anúncio da Saúde Digital por parte da Organização Mundial da Saúde e do uso do big data na produção de sistemas preditivos de vigilância em saúde no Brasil. Realizou-se revisão de literatura a partir da busca de artigos nas plataformas Scielo, Bireme, Jstor e na página da Organização Mundial da Saúde e do Ministério da Saúde do Brasil, com os descritores big data, bioética e ética, de maio a julho de 2020. Foram evidenciados limites no uso do big data como ferramenta de vigilância epidemiológica preditiva, notadamente com o seu uso durante a pandemia de Covid-19, apesar de justificável a partir da teoria da bioética da proteção e da ética da saúde pública. Os maiores limites observados foram ausência de legislação de proteção de dados adequada e viés dos dados obtidos. Para análise dos impactos bioéticos do uso do big data na medicina do futuro é imprescindível aprofundar a discussão sobre os possíveis impactos que o uso dessas tecnologias podem gerar na vida em sociedade, com ênfase no desenvolvimento do capitalismo de vigilância, na interferência na vida social e no acirramento das desigualdades regionais.
Proteção de Dados no Legislativo
Apresentado no dia 05 de outubro pelo Dep. Fed. Vanderlei Macris, o Projeto de Lei 4816/2020, pretende regular a relação entre instituições de ensino remoto ou híbrido e seus respectivos professores. No que diz respeito à proteção de dados pessoais, o Projeto de Lei define que se deve exigir consentimento prévio e expresso do docente para a produção de atividades acadêmicas difundidas em plataformas virtuais abertas, extracurriculares, em que sejam utilizados dados pessoais (imagem, voz, nome) ou material pedagógico produzido pelo profissional.
Proteção de Dados no Judiciário
TRT-4 decide em caso de acesso indevido a dados pessoais de funcionário
O processo nº 0000241-06.2013.5.04.0802, relatado pela Ministra Tânia Regina Silva Reckziegel, dizia respeito à prática de investigação da vida privada dos motoristas que prestam serviço à ré, a partir da contratação de empresas especializadas nesse tipo de investigação, a fim de criar perfis dos funcionários. A ministra apontou para o ferimento do direito à privacidade, previsto na Constituição Federal e determinando a prática como ilícita. O voto da relatora foi seguido pelo Ministro MARCELO JOSÉ FERLIN D AMBROSO e foi acolhido o recurso do sindicato autor para determinar a proibição das empresas reclamadas de pesquisarem, utilizarem, armazenarem e/ou repassarem informações sobre motoristas profissionais baseadas em consultas a cadastros de restrição ao crédito (SPC e SERASA), situação fiscal perante à Receita Federal, processos cíveis, inquéritos policiais, ocorrência policiais e processos criminais sem sentença transitada em julgado, sob pena de multa diária consistente em valor não inferior a 10 mil reais para cada violação.
