Olá, leitora! Na 27ª edição do Boletim, destacamos as multas milionárias aplicadas pela ICO, com a colaboração de todas as autoridades europeias, às empresas British Airways e ao grupo hoteleiro […]
Olá, leitora!
Na 27ª edição do Boletim, destacamos as multas milionárias aplicadas pela ICO, com a colaboração de todas as autoridades europeias, às empresas British Airways e ao grupo hoteleiro Marriott por vazamento de dados de clientes. Vale frisar que essa cooperação entre as autoridades é uma novidade, proposta pelo artigo 60 do GDPR, que trata da cooperação entre as lead supervisory authorities (no caso, ICO) e concerned authorities (CNIL). Também ressaltamos o guia publicado pela ICO quanto ao tratamento de dados relacionados a ofensas criminais e o acordo firmado entre FTC e Zoom após constatação de declarações falsas da empresa quanto à privacidade e proteção de dados dos usuários.
Ao mesmo tempo em corre o acordo com o Zoom por conta do não cumprimento dos requisitos apontados como necessários à preservação da privacidade, inclusive por meio do uso da criptografia, noticiou-se em um jornal austríaco, no dia 8 de novembro, que há uma resolução do Conselho da Europa para proibir o uso de criptografia ponta-a-ponta sob a justificativa de possibilitar, às autoridades competentes, o combate ao terrorismo. Não há, ainda, o texto definitivo da resolução, mas, do ponto de vista da proteção de dados pessoais e outros direitos, trata-se de uma proposta preocupante, já que, com uma finalidade genérica de garantia da segurança nacional, ficam diretamente prejudicados direitos como a privacidade e a liberdade de expressão.
Destacamos, ainda, o posicionamento enfático da Autoridade holandesa sobre a utilização de tecnologia de reconhecimento facial e como, sob a égide da GDPR, ela deve ser uma exceção. Dessa forma, a Autoridade apontou para a inadequação do uso do reconhecimento facial no setor em que ele é mais comum no país: o do varejo. O emprego do reconhecimento facial em lojas não é novidade no Brasil, que conta com o caso emblemático de redes como Hering e Carrefour, que utilizam a tecnologia para captar as emoções dos clientes e, a partir delas, direcionar publicidade a eles. A prática é contestada por entidades como o Instituto Brasileiro de Defesa do Consumidor – Idec. Sobre o assunto, o Instituto Brasileiro de Defesa do Consumidor em conjunto com o InternetLab publicaram o relatório “Reconhecimento Facial e Setor Privado”, que é um guia para a adoção de boas práticas para o uso da tecnologia especialmente por estabelecimentos privados.
Desejamos à todas e a todos uma boa leitura!
Bruno Bioni, Iasmine Favaro & Mariana Rielli
Proteção de Dados nas Autoridades
República Tcheca
A Autoridade apontou que a entrega de documento por decreto público pode ser feita de duas maneiras, postando um documento, ou postando uma mera notificação da possibilidade de retomada de um documento, no quadro de avisos oficial do órgão administrativo que entrega o documento. Ao escolher entre estas duas opções, é necessário levar em consideração a finalidade da publicação do documento e o fato de o documento conter dados pessoais. Também definiu que o órgão administrativo deve ter em consideração as circunstâncias de um determinado caso e o conteúdo do documento citado para o cumprimento da obrigação de fixar um documento ou notificação. Por exemplo, a publicação de um aviso da possibilidade de assumir um documento não é possível quando ele é entregue a destinatários desconhecidos cujas identidades são desconhecidas e são determinadas por outra característica, mas quando é entregue a uma pessoa singular conhecida específica, esta pessoa pode ser identificada e pode ser utilizada a opção de publicar um aviso sobre a possibilidade de retirada do documento. No âmbito do presente aviso, apenas podem ser publicados os dados pessoais necessários à identificação do destinatário, para além disso, é investigado o direito do destinatário à privacidade, quando os dados constantes do referido documento não sejam publicados. O responsável pelo tratamento dos dados pessoais também é obrigado a tomar as medidas adequadas para evitar a possível divulgação injustificada de dados pessoais, tendo em conta o GDPR. Em casos justificados, em particular se o texto integral do documento for disponibilizado mediante a entrega por decreto público, é necessário que o responsável pelo tratamento dos dados pessoais tome as medidas adequadas para garantir que o endereço eletrônico não seja indexado, na medida em que os documentos publicados através do boletim oficial eletrônico contém dados pessoais que, sem impedir a indexação das páginas da web relevantes ou seu armazenamento em cache em um mecanismo de pesquisa da internet, permanecem acessíveis ao usar mecanismos de pesquisa e arquivos da web por algum tempo após terem sido removidos do quadro de avisos eletrônico. Se os dados pessoais são para os quais os documentos deviam ser publicados de forma a permitir o acesso à distância, se ainda for acessível por toda a população, trata-se de uma situação indesejável que o responsável pelo tratamento dos dados pessoais é obrigado a tentar evitar. A Autoridade decidiu, portanto, que o procedimento de proibição geral de indexação pode ser considerado, neste e em casos semelhantes, como uma medida padrão por parte do responsável pelo tratamento dos dados pessoais.
Estônia
A “Pesquisa de Direitos Humanos e Proteção de Dados Pessoais 2020”, encomendada pelo Ministério da Justiça e realizada como parte do programa da Constituição 100 da Estônia, revelou, a partir da resposta de 640 estonianos, que as pessoas percebem várias ameaças à sua privacidade ao usar a Internet, mas não planejam abrir mão dos serviços. Em vez disso, é considerado importante ser um usuário da Internet cada vez mais consciente, que compartilha o mínimo possível de informações sobre si mesmo, lê os termos de uso dos serviços, usa diferentes senhas nos ambientes e geralmente considera os perigos da Internet. A pesquisa mostrou que o país tem alto nível de confiança em relação à segurança da informação, uma vez que aproximadamente 2/3 dos entrevistados com idades entre 15 e 74 anos acreditam que, se o agente de tratamento de dados for o Estado, os dados estão protegidos. A Autoridade ressaltou, ainda, que um dos fundamentos da lei de proteção de dados é que sempre deve haver uma base legal para o uso de dados pessoais e, se não for o consentimento, tal permissão deve ser encontrada nas disposições da lei. No entanto, ao analisar os resultados da pesquisa concluiu-se que, em geral, a maior ameaça à privacidade na internet, conforme percebida pelas pessoas, é a dúvida sobre ‘’quem faz o quê’’ e como uma pessoa ou empresa usa os dados pessoais. Embora as pessoas tenham mais confiança no país sobre o uso de seus dados, há motivo para preocupação, pois 32% dos entrevistados não estão convencidos. Além disso, a pesquisa mostra que 74% dos entrevistados acreditam que os dados coletados não são usados apenas para os fins para os quais foram originalmente coletados.
O Supremo Tribunal entendeu que a instalação de câmeras de segurança que possam ser utilizadas para filmar o que está acontecendo em propriedades conjunta não pode ser presumida como objeto do condomínio. O Tribunal decidiu que proprietários de apartamentos podem decidir sobre a instalação de câmeras de gravação em propriedades conjuntas por maioria de votos. Se o proprietário de um apartamento considerar que, por razões de segurança, devem ser instaladas câmeras que registrem o que se passa no condomínio, pode propor a outros proprietários que tomem uma decisão nesse sentido. Se a maioria dos condôminos não concordar com a decisão de instalação de câmeras, elas não poderão ser instaladas.
EDPS
A Autoridade de Proteção de Dados europeia emitiu hoje um documento estratégico com o objetivo de monitorar o cumprimento, por parte das instituições, órgãos, organismos e agências europeias, do acórdão “Schrems II” em relação às transferências de dados pessoais para países terceiros, em particular, os Estados Unidos. O objetivo é que as transferências internacionais em curso e as futuras sejam realizadas de acordo com a legislação da UE em matéria de proteção de dados. Como uma ação de conformidade de curto prazo, a Autoridade emitiu uma ordem às instituições para que elas concluam um exercício de mapeamento, identificando quais contratos em andamento, aquisições, procedimentos e outros tipos de cooperação envolvem transferências de dados. Espera-se que as instituições elaborem relatório à Autoridade sobre certos tipos de transferências, tais como as que não têm uma base legal, transferências que são baseadas em derrogações e transferências para entidades privadas para os EUA que apresentem riscos elevados para os titulares dos dados. Com relação a novas operações de tratamento ou novos contratos com prestadores de serviços, a AEPD incentiva fortemente que as instituições europeias evitem o tratamento que envolva transferência de dados pessoais para os Estados Unidos. Como uma ação de conformidade de médio prazo, a Autoridade fornecerá orientações e buscará ações de conformidade e/ou execução para transferências para os EUA ou outros países terceiros, caso a caso. Às instituições será solicitada a realização do Relatório de Impacto à Proteção de Dados, para identificar, em cada transferência específica, se um nível equivalente de proteção, conforme previsto na UE, é oferecido no país terceiro de destino. Com base nessas avaliações, as instituições devem decidir se é possível continuar as transferências identificadas no exercício de mapeamento. Também, a Autoridade apontou que começará a explorar a possibilidade de avaliações conjuntas do nível de proteção de dados pessoais em países terceiros, a fim de fornecer orientações para os controladores.
França
A autoridade de proteção de dados do Reino Unido, ICO, impôs recentemente as maiores multas previstas pelo Regulamento Geral de Proteção de Dados (GDPR). As multas, de £ 20 milhões (aprox. € 22 milhões) para a British Airways e £ 18,4 milhões (aprox. € 20 milhões) para a rede de hotéis Marriott, decorrem de violações de dados pessoais que os tornaram acessíveis a terceiros. No caso da British Airways, os dados de aproximadamente 430.000 pessoas, entre nomes, sobrenomes, endereços e, no caso de 200.000 delas, dados bancários (números de cartão de crédito e códigos CVV) foram disponibilizados. Em relação ao grupo hoteleiro Marriott, 339 milhões de contas de clientes foram afetadas, incluindo 30 milhões de contas europeias, contendo nomes, sobrenomes, e-mails e números de passaporte. Em ambos os casos, trata-se de empresas que tratam uma grande quantidade de dados pessoais e que dispõem de meios financeiros e de pessoal altamente qualificado para garantir um elevado nível de segurança. A Autoridade afirmou que a GDPR fez da segurança da informação um princípio geral a ser observado, criando novas obrigações nessa área, e que estas decisões são um lembrete de que a segurança dos dados requer vigilância constante,, com graves consequências em caso de violação. Lembrou, ainda, que uma decisão anterior da autoridade de proteção de dados alemã com base na obrigação de segurança já havia levado a uma multa de quase 10 milhões de euros contra uma operadora de telecomunicações. Além da multa, ressaltou a CNIL, essas sanções geralmente levam a investimentos significativos destinados a prevenir a recorrência de violações de dados pessoais e fortalecer a segurança das organizações.
Holanda
Autoridade holandesa publica alerta quanto a câmeras de reconhecimento facial
A Autoridade requereu aos fornecedores e fabricantes de câmeras de reconhecimento facial informações sobre quais os setores para os quais eles mais fornecem e quais os setores mais interessados em adquirir seus sistemas no futuro. Por exemplo, lojas, o número 1 da lista, usam o reconhecimento facial para detectar pessoas que furtam com mais frequência. Empresas de segurança, locais de feiras e parques de diversões desejam usar a tecnologia para controle de acesso. “Se enchermos o país com tais sistemas, você pode ser monitorado continuamente. Essas câmeras não apenas gravam você, elas sabem quem você é”, diz a vice-presidente da Autoridade, Monique Verdier e continua: “Eles podem reconhecê-lo quando você entra na loja de bebidas para comprar uma garrafa de vinho, por exemplo, e também podem registrá-lo se você fizer isso com mais frequência do que outra pessoa. Isso não é apenas uma ideia desagradável, mas também ilegal. Entendemos que, como varejista, você deseja evitar furtos, mas isso não é permitido desta forma”. A Autoridade ressaltou que, em princípio, é proibido usar dados biométricos para identificar alguém. Mas existem duas exceções a esta proibição: (i) as pessoas filmadas deram expressamente o seu consentimento e (ii) o reconhecimento facial é usado para fins de segurança ou autenticação, mas apenas para servir a um ‘interesse público relevante’. Um exemplo seria a segurança de uma usina nuclear. Mas, segundo a Autoridade, a segurança de uma loja, por exemplo, não é tão importante a ponto de permitir o tratamento de dados biométricos.
Reino Unido
A Marriott estima que 339 milhões de registros de hóspedes em todo o mundo foram afetados após um ataque cibernético em 2014 na Starwood Hotels and Resorts Worldwide Inc. O ataque, de uma fonte desconhecida, permaneceu não detectado até setembro de 2018, quando a empresa foi adquirida pela Marriott. Os dados pessoais envolvidos diferiam entre os indivíduos, mas podem incluir nomes, endereços de e-mail, números de telefone, números de passaporte não criptografados, informações de chegada / partida, status VIP dos hóspedes e número de membro do programa de fidelidade. O número exato de pessoas afetadas não está claro, pois pode haver vários registros de um único hóspede. A investigação da ICO constatou que a Marriott não implementou medidas técnicas ou organizacionais adequadas para proteger os dados pessoais tratados em seus sistemas, conforme exigido pelo Regulamento Geral de Proteção de Dados (GDPR). A investigação da ICO rastreou o ataque cibernético até 2014, mas a penalidade se refere apenas à violação a partir de 25 de maio de 2018, quando as novas regras do GDPR entraram em vigor. A ação e a penalidade imposta foram aprovadas pelas outras DPAs da UE por meio do processo de cooperação da GDPR. Em julho de 2019, a ICO emitiu à Marriott uma notificação com a intenção de multar. Como parte do processo, a ICO considerou as representações da Marriott, as medidas tomadas pela Marriott para mitigar os efeitos do incidente e o impacto econômico da COVID-19 em seus negócios antes de estabelecer uma penalidade final.
No guia, a Autoridade se refere a esses dados como ‘dados de ofensa criminal’, embora este não seja um termo usado na GDPR. Isso inclui não apenas dados que se referem a uma condenação criminal ou julgamento específico, mas também a quaisquer outros dados pessoais “relacionados a” condenações criminais e infrações. “Relacionar-se a”, segundo a ICO, deve ser interpretado de forma ampla. Abrange todos os dados pessoais relacionados a infrações criminais ou que sejam especificamente usados para depreender algo sobre o registo criminal ou comportamento de um indivíduo. A presunção é que esse tipo de dado deve ser tratado com mais cautela, pois a coleta e o uso têm mais chances de interferir em direitos fundamentais ou de sujeitar a pessoa à discriminação. Isso faz parte da abordagem baseada em risco da GDPR. Apesar disso, o guia ressalta que esta espécie de dado é tratada de forma diferente de outros tipos, como dados de categorias especiais, que são considerados particularmente sensíveis. Isso ocorre porque os interesses da sociedade em geral e a necessidade de proteger o público de atividades criminosas provavelmente significam que se pode justificar o uso de dados de ofensa criminal em uma variedade de circunstâncias mais ampla, apesar do impacto potencial sobre os direitos individuais.
Estados Unidos
FTC firma acordo com Zoom para proteger melhor as informações pessoais
A FTC acaba de anunciar um caso sobre a segurança das informações dos consumidores de videoconferências do aplicativo Zoom. A FTC alegou que o Zoom falhou em proteger as informações dos usuários de várias maneiras: (i) o Zoom disse que fornece criptografia ponta a ponta – uma maneira de proteger as comunicações de forma que apenas o remetente e o destinatário possam ter acesso a elas – para as reuniões do Zoom. Isso não foi confirmado. (ii) o Zoom disse que garantiu um nível de criptografia mais alto para as reuniões do que realmente fornecia. (iii) o Zoom informou aos usuários que gravaram uma reunião que salvaria uma versão criptografada e segura da gravação tão logo a reunião terminasse. Na realidade, o Zoom manteve gravações não criptografadas em seus servidores por até 60 dias antes de movê-las para seu armazenamento seguro em nuvem. (iv) o Zoom instalou o software, denominado ZoomOpener, em computadores de usuários Mac. Este software contornou uma configuração de segurança do navegador Safari e colocou os usuários em risco – por exemplo, poderia ter permitido que estranhos espionassem os usuários por meio das câmeras da web de seus computadores ou que explorassem a vulnerabilidade para baixar malwares e assumir o controle dos computadores dos usuários. Se os usuários excluíram o aplicativo Zoom, o ZoomOpener permaneceu, assim como essas vulnerabilidades de segurança. O Zoom pode reinstalar o aplicativo sem a permissão do usuário e sem avisá-lo. (A Apple removeu o servidor da web ZoomOpener dos computadores dos usuários em 2019.) e (v) o Zoom não deu aos usuários informações diretas sobre o software ZoomOpener. A empresa resolveu fazer um acordo e, embora já tenha descontinuado muitas das práticas contestadas na reclamação, o acordo exige que a empresa cumpra suas promessas de privacidade e segurança e implemente um programa de segurança abrangente projetado para proteger as informações dos usuários – ou será sancionada.
Proteção de Dados nas Universidades
GDPR Compliance in Light of Heavier Sanctions to Come – at Least in Theory
VOSS, Gregory. BOUTHINON-DUMAS, Hugues.
No artigo, os autores exploram as bases teóricas para as sanções da GDPR e testam a a ação das DPAs em relação a elas. Utilizam uma análise das várias funções das sanções (confisco, retribuição, incapacitação, etc.) para determinar que o seu objetivo principal no contexto da GDPR é agir como um dissuasor, incitando o cumprimento das obrigações previstas. Para chegar à dissuasão, argumentam, as sanções devem ser severas o suficiente, o que não foi o caso com a GDPR, conforme demonstrado por meio de um exame do valor real das sanções. Isso pode parecer paradoxal, já que há um aumento substancial no potencial máximo de multas ao abrigo da GDPR. As sanções anteriores à lei, com certas exceções, eram geralmente limitadas a valores abaixo de € 1 milhão (por exemplo, £ 500.000 no Reino Unido, € 100.000 na Irlanda, € 300.000 na Alemanha e € 105.000 na Suécia). Nas ocasiões em que a GDPR foi aplicada, as sanções variaram de € 28 para o Google Ireland Limited na Hungria a € 50 milhões para o Google Inc na França, valores muito inferiores à multa máxima potencial de 4% do faturamento, ou aproximadamente € 5,74 bilhões para o Google Inc. no ano 2019. Embora as sanções mais elevadas de acordo com a GDPR tenham sido substancialmente maiores do que aquelas avaliadas de acordo com a legislação anterior, elas ainda estão longe das multas máximas permitidas pela lei.
PETIT, Nicolas.
O livro busca explorar a questão: os gigantes da tecnologia formam monopólios? No ambiente atual de suspeita em relação às principais empresas de tecnologia, como resultado de preocupações sobre seu poder e influência, tornou-se comum falar do Google, Facebook, Amazon, Apple, Microsoft ou Netflix como a versão moderna dos cartéis do século XIX. Os gigantes da tecnologia são vilipendiados por uma série de danos decorrentes da concentração, que afeta consumidores, trabalhadores e até mesmo o processo democrático. O livro constrói uma teoria de “moligopólio”, segundo a qual os gigantes da tecnologia, ou pelo menos alguns deles, coexistem tanto como monopólios quanto como oligopólios que competem entre si em um ambiente de grande incerteza e dinamismo econômico. Com isso, o livro avalia os esforços contínuos de políticas regulatórias e antitruste e busca demonstrar que é contraproducente buscar políticas que introduzam mais rivalidade em mercados de moligopólio sujeitos a descontinuidades tecnológicas. E que danos não econômicos, como violações de privacidade, desinformação ou discurso de ódio, são questões difíceis que pertencem ao reino da regulação, não aos remédios do antitruste.
Proteção de Dados no Legislativo
O Projeto de Lei, apresentado em maio de 2020 pelo Dep. Fed. Julio Cesar Ribeiro do REPUBLICANOS, propõe alterar o Estatuto da Criança e do Adolescente para limitar o acesso aos portais na internet que disponibilizam conteúdo de cunho pornográfio a pessoas maiores de 18 anos previamente cadastradas junto aos provedores de aplicações. O PL foi apensado ao Projeto de Lei 3595/2015, que propõe alterar o Estatuto da Criança e do Adolescente para dificultar o acesso de crianças e adolescentes a sítios de conteúdo adulto na internet. Nenhuma das Proposições faz menção aos meios de cadastramento utilizados e tampouco a salvaguardas à proteção de dados pessoais das pessoas cadastradas.
Os Projetos de Lei 811/2020 e 329/2020, de autoria do Dep. Fed. José Guimarães do PT e Julio Cesar Ribeiro do REPUBLICANOS, respectivamente, foram apensados. Ambas proposições prevêem a identificação biométrica do usuário no momento de início de prestação do serviço de transporte de passageiros. As proposições, no entanto, não demonstram por meio de dados qual seria a necessidade e efetividade da medida, nem as salvaguardas à proteção dos dados biométricos, que, segundo a Lei Geral de Proteção de Dados, são dados sensíveis, sujeitos a um regime jurídico mais restrito.
Rodrigo Maia recebe anteprojeto para controle de dados de investigações criminais
O presidente da Câmara dos Deputados recebeu, no dia 5, a proposta que foi apresentada a partir de relatório apresentado por grupo de juristas coordenado pelo Ministro Nefi Cordeiro do Superior Tribunal de Justiça. O anteprojeto precisa ser apresentado por algum deputado federal na Câmara para que possa iniciar a tramitação na Casa.
Proteção de Dados no Judiciário
O mandado de segurança nº No 0101473-97.2020.8.26.9000 foi interposto pela Google Ireland contra decisão judicial que determinou o fornecimento de informações pessoais do e-mail de um indivíduo acusado de realizar ameaças. As informações requeridas pelo juízo foram: os registros de conexão, constituídos pelo endereço I.P. com respectiva data, hora, fuso horário e porta lógica; todo conteúdo armazenado em suas caixas de mensagem; todas as informações referentes aos dispositivos conectados à conta do Google; demais informações úteis à identificação do responsável pelo e-mail. A empresa interpôs recurso afirma que, nesse caso, só poderia fornecer os dados dessa conta de e-mail para uma autoridade brasileira mediante um procedimento de cooperação internacional entre Brasil e Irlanda. Aponta, ainda, que em razão da prova a ser obtida estar na Irlanda, ela estaria sujeita ao Regulamento Geral de Dados da União Europeia (GPDR), segundo o qual a transferência de dados pessoais para fora dos limites do Espaço Econômico Europeu exige que o país destinatário seja considerado adequado para esse fim e o Brasil não estaria certificado como garantidor de um nível adequado de proteção aos dados pessoais. A magistrada Maria Carolina de Mattos utiliza o Marco Civil da Internet para defender que em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros. Por fim, dá provimento parcial ao recurso apenas para que as impetrantes se abstenham de fornecer todo conteúdo armazenado nas caixas de mensagem da conta de e-mail, mas para que forneça os metadados (IP, data e horário, etc).