Olá, Nesta 26ª edição do Boletim, nós destacamos os diversos posicionamentos das Autoridades Nacionais de Proteção de Dados, em especial as diretrizes publicadas pelo European Data Protection Board para Privacy […]
Olá,
Nesta 26ª edição do Boletim, nós destacamos os diversos posicionamentos das Autoridades Nacionais de Proteção de Dados, em especial as diretrizes publicadas pelo European Data Protection Board para Privacy by Design & Default, os dois artigos acadêmicos sobre a tutela coletiva na proteção de dados pessoais e sobre a gratuidade compulsória dos serviços digitais como elemento de flexibilização de proteção de dados pessoais, além do Projeto de Lei que versa sobre admissibilidade de provas digitais e, na mesma toada, a decisão do Tribunal de Justiça de São Paulo que determinou que não é prova ilícita disponibilizar mensagens trocadas em grupos de Whatsapp no processo, ainda que sem decisão judicial que a determine.
Salientamos, ainda, a abertura de dois inquéritos contra o Facebook pela autoridade irlandesa, sob a alegação de que ocorreram diversas reclamações acerca do tratamento de dados de crianças e adolescentes na plataforma Instagram. Ainda, nesta edição, temos o inquérito aberto pela autoridade italiana contra o Telegram, após receber denúncias de compartilhamento de deep fakes envolvendo exposição íntima de mulheres desenvolvidas a partir do software “DeepNude” disponibilizado na plataforma.
Também a nota publicada pela autoridade alemã quanto à lei de segurança alemã demonstra a emergência em se discutir de que forma as normas e políticas ligadas à inteligência e à segurança pública devem respeitar os princípios da proteção de dados pessoais em prol da manutenção do ambiente democrático. O Professor Ulrich Kelber, presidente da autoridade, pediu a moratória da lei de segurança alemã até que pudessem discutir, tecnicamente, o que a rastreabilidade proposta representaria para o país: “Há o risco de que a extensão da vigilância do Estado na aplicação prática exceda o que é tolerável para uma democracia.”.
No Brasil, a formação do Conselho Diretor da Autoridade Nacional de Proteção de Dados foi representada em três das cinco cadeiras por militares. O momento é de atenção e cautela para o que isso pode representar em termos de seleção de prioridades para o órgão, de seus posicionamentos e de possíveis confusões entre a disciplina proteção de dados pessoais e pautas mais conectadas à cibersegurança, atividades de inteligência e segurança nacional.
Desejamos uma ótima leitura à todas e a todos!
Bruno Bioni, Iasmine Favaro & Mariana Rielli
Proteção de Dados nas Autoridades
República Tcheca
O presidente comentou sobre a conferência internacional IS2 – Information Security Summit, afirmando que não basta esperar por uma solução global. O objetivo deve ser alcançar o maior grau possível de autossuficiência no domínio técnico da proteção de dados. “A autossuficiência mencionada nos dará controle sobre como nossos dados são realmente tratados e que os dados excluídos não terão sua versão de backup armazenada em nenhum lugar. Infelizmente, o Estado enfrenta problemas de segurança persistentes na gestão e construção de sistemas de TIC, o que foi confirmado por muitos relatórios anuais do BIS ou do SAO nos últimos anos “, apontou o presidente. Ainda destacou que a segurança cibernética está se tornando cada vez mais relevante durante as medidas atuais contra a pandemia COVID-19, quando trabalhar em casa se tornou algo comum. Afirmou que tal prática vem se mostrando um grande desafio de segurança não só para as pequenas e médias empresas, que podem não estar totalmente preparadas para uma realidade semelhante, mas também para a administração estatal. Ao mesmo tempo, reafirmou o Presidente, existe um perigo significativo no que diz respeito às grandes bases de dados públicas do Estado.
Segundo o documento, a autoridade implementou um sistema de monitoramento que lhe permite conhecer ativamente os desenvolvimentos tecnológicos e sociais relacionados à proteção de dados. A autoridade pôde, assim, reagir rapidamente ao tomar conhecimento de operações de tratamento que envolvam possíveis riscos para os direitos dos cidadãos em termos de proteção de dados. Segundo a Autoridade, com o desenvolvimento do serviço de fiscalização, 2019 foi um ano importante para a implementação da tarefa de controle. Foram iniciadas as primeiras investigações e, em maio de 2019, a Autoridade proferiu a sua primeira multa, no valor de 2 mil euros, contra um parlamentar que tinha desviado endereços de e-mail obtidos durante o seu mandato para efeitos de propaganda política. No mesmo ano, aplicou mais duas multas, de 5 mil euros cada, por fatos semelhantes. Para a Autoridade, os agentes e autoridades públicas devem dar o exemplo em termos de proteção de dados, razão pela qual decidiu fazer do setor público uma das suas grandes prioridades estratégicas.
Dinamarca
A Global Privacy Assembly (GPA) é um fórum global que visa promover a cooperação entre as autoridades nacionais de proteção de dados, por exemplo, por meio da adoção de relatórios e resoluções sobre temas da atualidade, que devem ser preparados antes da reunião anual de vários grupos de trabalho. Recentemente, o GPA se concentrou nas questões de proteção de dados às quais o tratamento do surto de coronavírus deu origem. Neste contexto, foi criada uma força-tarefa que reuniu as melhores práticas e trabalhou no desenvolvimento de capacidades nos Estados-Membros. Na reunião, a GPA adotou resoluções sobre, por exemplo, a gestão do surto de COVID-19, inteligência artificial e reconhecimento facial. Uma resolução também foi adotada para permitir que a GPA desempenhe um papel mais ativo na conscientização global sobre questões legais de proteção de dados. A resolução completa pode ser acessada aqui.
A autoridade apontou que os controladores não devem encorajar os cidadãos a enviarem informações pessoais de natureza sensível ou confidencial por meio de uma conexão de Internet não criptografada e, por isso, devem disponibilizar soluções de comunicação seguras para transmissão. A autoridade ainda afirmou que as autoridades e as empresas devem, como controladoras, garantir – com base numa avaliação do risco para os direitos dos cidadãos – que se estabeleçam as medidas de segurança adequadas. Isso significa, entre outras coisas, que as autoridades e empresas são responsáveis por estabelecer soluções de transmissão seguras que abordam os riscos identificados para os cidadãos – não apenas quando enviam informações a eles, mas também quando coletam suas informações para o processamento de um caso ou serviço.
Estônia
A autoridade afirmou que como as fronteiras entre os países não são tão claramente marcadas no mundo digital como no mundo físico, deve-se prestar atenção e garantir a segurança no tratamento de dados transfronteiriços com países terceiros, incluindo os EUA e, neste contexto, a autoridade recomendou, definitivamente, priorizar os prestadores de serviço da Estônia. Além disso, a autoridade afirmou que o julgamento Shrems II do Tribunal de Justiça Europeu não mudou os princípios de cooperação entre os EUA e Europa, mas limitou as possibilidades de transferência de dados, o que por sua vez afeta o uso de soluções de autenticação fornecidas por provedores de serviços dos EUA.
Finlândia
Autoridade finlandesa publica conselhos para vítimas de vazamento de dados
A autoridade está investigando uma invasão do sistema de dados de um centro de psicoterapia chamado Vaastaamo. Os conselhos são: (i) Faça uma denúncia à polícia, se você perceber que a informação vazada foi disseminada ou se você recebeu uma mensagem de extorsão relacionada à invasão do sistema de dados. Não responda à mensagem de extorsão nem pague o extorsionário. Insira todas as informações sobre o remetente e a hora em que a mensagem foi recebida com precisão na denúncia da ofensa. Salve e armazene as mensagens de e-mail, outras mensagens e outras evidências possíveis que você recebeu. (ii) Monitore suas transações bancárias. Se notar transações em sua conta bancária que não foram feitas por você mesmo, apresente uma reclamação ao seu banco. O serviço de atendimento ao cliente do seu banco fornecerá mais instruções. (iii) Prepare-se para a possibilidade de que as informações vazadas possam surgir novamente mais tarde. Pense com antecedência em como você reagirá a tal situação. Se você sabe onde suas informações foram publicadas ou processadas, pode pedir ao gerenciador do arquivo de dados em questão para apagar as informações sobre você.
França
Autoridade francesa analisa a evolução da aplicação “StopCovid”
O governo anunciou a implantação do “TousAntiCovid”, aplicação que substitui o “StopCovid”, sobre o qual a CNIL votou nos dias 24 de abril e 25 de maio de 2020, e que visa permitir o rastreamento de contato em situações de risco quando os usuários não conseguem garantir o respeito às medidas de distanciamento e prevenção (usar máscara, respeitar o distanciamento social, etc.). O anúncio do governo francês apontou que os elementos estruturais do sistema não são afetados por alterações na aplicação. Assim, o protocolo chamado “ROBERT”, desenhado com o objetivo de minimizar o uso de dados, continua a ser o utilizado pela aplicação “TousAntiCovid”. À semelhança do “StopCovid”, a aplicação baseia-se numa abordagem voluntária por parte das pessoas e permite o rastreamento de contato por meio da tecnologia Bluetooth, sem utilizar a geolocalização dos indivíduos. O “TousAntiCovid” oferece novas funcionalidades ao usuário: a aplicação passou a incluir, por um lado, informação atualizada sobre a circulação do vírus e, por outro lado, ligações a outras ferramentas digitais já existentes e utilizadas pelas autoridades de saúde (por exemplo, o mapa de locais a serem testados ou o certificado de viagem excepcional). A CNIL observa que a aplicação “TousAntiCovid” estará sujeita a alterações regulares. Portanto, a autoridade permanecerá vigilante ao examinar esses desenvolvimentos futuros.
Alemanha
O Professor Ulrich Kelber critica os planos do Governo Federal de permitir que os serviços de inteligência monitorem plataformas de trocas de mensagem, apontando que o quadro legal existente não comporta a introdução de tais usurpações da privacidade. O professor afirma: “os tribunais mostraram uma necessidade clara de reforma nas leis dos serviços de inteligência. Em vez de enfrentar essas reformas urgentes, novas opções de monitoramento foram criadas. Peço novamente uma moratória sobre a lei de segurança e uma análise científica independente das leis existentes.”. A autoridade vê várias lacunas no atual projeto de lei, como por exemplo, não especificar o escopo da coleta de informações. Como resultado, existe o risco de que o monitoramento de telecomunicações se torne uma fonte de vigilância. Na opinião do professor, isso viola o requisito de separação constitucional entre as autoridades policiais e os serviços de inteligência: “Há o risco de que a extensão da vigilância do Estado na prática exceda o que é tolerável para uma democracia.”.
Irlanda
Foram abertos dois inquéritos sobre o processamento de dados de crianças pelo Facebook no Instagram
A autoridade apontou que tem monitorado ativamente as reclamações recebidas de indivíduos nesta área e identificou potenciais preocupações em relação ao tratamento de dados pessoais das crianças no Instagram que requerem uma análise mais aprofundada. A plataforma Instagram pertence ao Facebook Ireland Limited (“Facebook”), que é o controlador dos dados pessoais processados via Instagram. O primeiro inquérito irá avaliar o uso do Facebook de certas bases legais para o tratamento de dados pessoais de crianças, buscando determinar se a empresa tem uma base legal adequada e se emprega proteções e/ou restrições na plataforma do Instagram para proteger a privacidade e os dados dessas crianças. O inquérito também considerará se o Facebook cumpre suas obrigações como controlador no que diz respeito aos requisitos de transparência. O segundo inquérito se concentrará no perfil do Instagram, nas configurações da conta e na adequação dessas configurações para crianças. Entre outras questões, o inquérito explorará a adesão do Facebook aos requisitos da GDPR em relação à Privacy by Design e Privacy by Default.
Itália
Autoridade italiana abre investigação contra o Telegram por deep fake
A imprensa italiana noticiou o caso de mulheres que são vítimas de um determinado tipo de “deep fake”, ou seja, vídeos e imagens feitas através de aplicativos que permitem transformar o rosto, voz e corpo das pessoas, criando verdadeiras “falsificações”. Sem o conhecimento delas, as mulheres se viram despidas no Telegram depois que alguns usuários manipularam suas fotos usando um programa de computador – derivado de um software chamado “DeepNude” – disponível no canal social e que usa inteligência artificial para reconstruir a aparência do corpo sob a roupa. A autoridade decidiu abrir inquérito contra o Telegram. A nota afirma que são evidentes os graves danos à dignidade e à privacidade a que o uso de tais softwares expõe as pessoas, especialmente se menores, considerando também o risco de tais imagens serem utilizadas para extorsão ou pornografia de vingança. Além disso, a facilidade de uso desse programa torna qualquer pessoa com uma foto na web potencialmente vítima de deep fakes. A autoridade solicitará ao Telegram informações para verificar o cumprimento das normas de proteção de dados na disponibilização do programa de computador aos usuários, bem como para averiguar a possível conservação das imagens manipuladas e a finalidade desta conservação.
EDPB
EDPB adota diretrizes sobre Privacy by Design e Privacy by Default
Após consulta pública, o EDPB adotou a versão final das Diretrizes sobre Proteção de Dados desde a Concepção e por Padrão. A principal obrigação consagrada no artigo 25 do GDPR é a aplicação efetiva dos princípios de proteção de dados e dos direitos e liberdades das pessoas desde a concepção. Isso significa que os responsáveis pelo tratamento devem implementar medidas técnicas e organizacionais adequadas e as salvaguardas necessárias, destinadas a concretizar os princípios de proteção de dados na prática e a proteger os direitos e liberdades dos titulares dos dados. Além disso, os controladores devem ser capazes de demonstrar que as medidas implementadas são eficazes. O Conselho decidiu criar um Quadro Coordenado de Execução (CEF). O CEF proporciona uma estrutura de coordenação das atividades anuais recorrentes das Autoridades de Supervisão do EDPB. O objetivo do CEF é facilitar ações conjuntas de uma forma flexível e coordenada, que vão desde a sensibilização e recolhimento de informações até ações de fiscalização e investigações conjuntas. O objetivo das ações coordenadas anuais é promover a conformidade, capacitar os titulares dos dados para exercerem os seus direitos e aumentar a conscientização.
Noruega
O pano de fundo da multa, segundo a autoridade, é que, no período de 2013-2019, os extratos e relatórios armazenados pelo hospital, contendo registros de pacientes, foram armazenados sem a segurança adequada. A lista continha informações como histórico de saúde, data de nascimento, motivo da internação, entre outros. Não houve controle de acesso à área de armazenamento/pastas onde os relatórios foram armazenados e, tampouco foi registrado se os funcionários tiveram acesso a tais informações.
Reino Unido
Uma investigação da ICO descobriu que a companhia aérea estava processando uma quantidade significativa de dados pessoais sem medidas de segurança adequadas em vigor. Esta falha violou a lei de proteção de dados e, posteriormente, a BA foi alvo de um ataque cibernético durante 2018, que não detectou por mais de dois meses. Os investigadores da ICO descobriram que a BA deveria ter identificado os pontos fracos em sua segurança e resolvido com as medidas de segurança disponíveis na época. Abordar esses problemas de segurança teria evitado que o ataque cibernético de 2018 fosse realizado dessa forma, concluíram os investigadores. A comissária de informações Elizabeth Denham disse: “As pessoas confiaram seus dados pessoais à BA e a BA não tomou as medidas adequadas para manter esses detalhes protegidos.”.
Proteção de Dados nas Universidades
A Tutela Coletiva em Proteção de Dados Pessoais: Tendências e Desafios
ZANATTA, Rafael. SOUZA, Michel.
‘’O presente artigo sustenta que a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) também passa a compor a disciplina comum das ações coletivas, em razão de seus dispositivos de harmonização com o Código de Defesa do Consumidor e seu olhar estratégico para a tutela coletiva na defesa dos direitos dos titulares de dados pessoais. Mais do que isso, o argumento sustentado neste artigo é de que a LGPD absorveu parte da tradição de tutela coletiva no Brasil, abrindo espaço para que a proteção dos direitos assegurados na legislação seja feita de forma coletiva, ao lado das múltiplas formas de proteção individual dos direitos.”
CAMARGO, Gustavo.
“Plataformas digitais, estruturadas como mercados de dois ou múltiplos lados, onde o consumidor não paga, em dinheiro, para acessá-las, são utilizadas diariamente por bilhões de pessoas espalhadas pelo mundo. Movidas por um imenso poder computacional, vendem a atenção das pessoas a anunciantes, em complexos sistemas de leilão de espaços publicitários ultra segmentados, que buscam incessantemente a individualização do alvo e cuja precisão está diretamente ligada à imensa quantidade de dados pessoais capturados e associados a cada pessoa que as utilizam, o que as transformam em grandes máquinas de vigilância, ameaçando os Direitos Fundamentais relacionados à proteção de dados pessoais. Este trabalho apresenta uma proposta de regulação que objetiva elevar o nível de proteção dos Direitos Fundamentais ligados à proteção de dados pessoais dos usuários pela vedação à gratuidade compulsória desses serviços. Para tanto, analisa as plataformas digitais por três diferentes prismas: a) os elementos articulados em seu funcionamento: poder computacional, dados pessoais, tempo e conteúdo dos outros; b) as três posições simultâneas ocupadas pelos indivíduos, em um processo circular, ao utilizá-las: consumidor, fornecedor de matéria prima e produto e c) as externalidades positivas aproveitadas pelas plataformas para fixarem posições dominantes no mercado e até se consolidarem como monopólios. O trabalho também apresenta os limites das legislações de proteção de dados, como a Regulamento Geral de Proteção de Dados (GDPR) europeia e a Lei Geral de Proteção de Dados – Lei 13.709/2018 (LGPD) brasileira, além da necessidade de se articular outros mecanismos jurídicos como o Direito do Consumidor e o Direito Antitruste para, de forma conjunta, aumentar a eficácia dos Direitos Fundamentais. Por fim, apresenta a sugestão de regulação, onde as plataformas passariam a ser obrigadas a disponibilizar uma opção de oferta em que o consumidor pagaria, em dinheiro, para utilizá-las, vedando a utilização dos dados pessoais e da atenção dos usuários para fins próprios da plataforma ou de terceiros, como forma de minimizar o tratamento desses dados e, consequentemente, aumentar o nível de proteção dos direitos da personalidade dos usuários consumidores. Para tanto, adotou-se como método de procedimento o funcionalista, como método de abordagem o dedutivo e como técnicas as pesquisas bibliográfica e documental.”
Proteção de Dados no Legislativo
Apresentado Projeto de Lei que versa sobre obtenção e admissibilidade de provas digitais
O Projeto de Lei 4939/2020, apresentado pelo Dep. Fed. Hugo Leal do PSD do Rio de Janeiro, dispõe sobre as diretrizes do direito da Tecnologia da Informação e as normas de obtenção e admissibilidade de provas digitais na investigação e no processo, além de outras providências. O Projeto de Lei atualmente está em Mesa Diretora. O PL define conceitos básicos como o de dispositivo eletrônico, sistema informático, protocolo de redes, entre outros e propõe os seguintes princípios: I – Direito fundamental à proteção de dados, assegurados e o seu uso de forma adequada, necessária e proporcional; II – A garantia de acesso dos legítimos interessados à prova digital sob controle ou disponibilidade de terceiros; III – Respeito à soberania nacional; IV – A cooperação jurídica internacional; V – Garantia de autenticidade e da integridade da informação; VI – A Preservação da Empresa e sua função social; VII – Transparência dos meios de tratamento da informação.
Proteção de Dados no Judiciário
Em Apelação Cível nº 1027067-43.2019.8.26.0361, o Desembargador Luiz Sergio Fernandes de Souza negou provimento do recurso que alegava que o compartilhamento de mensagens trocadas pelo Whatsapp com órgão competente sem decisão judicial que o determinasse seria ilegal. O magistrado alegou que “Quem participa de um grupo de conversas de aplicativo responde por aquilo que fala e posta. A Internet não é um território livre, um vale-tudo. Intimidade existe no recesso da própria casa, no convívio com familiares, e não nas redes sociais. Aliás, não por outra razão, são redes sociais. Sob outro aspecto, inexiste o dever da Administração Pública Municipal de informar o nome do participante que lhe enviou o conteúdo das conversas mantidas no aplicativo WhatsApp.”. Citou, ainda a Lei Geral de Proteção de Dados: “E nem se argumente dizendo que as mensagens não poderiam ser compartilhadas – por integrante do grupo mantido no aplicativo WhatsApp – com a Administração Pública Municipal, pois é certo que a proteção de dados pessoais, disciplinada pela Lei Federal nº 13.709/18 (Lei Geral de Proteção de Dados Pessoais), não trata das comunicações estabelecidas nas redes sociais, mas apenas da proteção dos dados pessoais dos usuários.”.