Car@ leitor@, É com enorme orgulho que apresentamos o 29º Boletim e último do ano de 2020, com novas publicações, diretrizes, opiniões, artigos científicos, projetos de lei e decisões judiciais […]
Car@ leitor@,
É com enorme orgulho que apresentamos o 29º Boletim e último do ano de 2020, com novas publicações, diretrizes, opiniões, artigos científicos, projetos de lei e decisões judiciais que indicam que 2021 será um ano de discussão ainda mais intensa, com consolidações e aprimoramentos dos processos que se iniciaram em 2020.
Nesta edição, destacamos a primeira publicação da Autoridade Nacional de Proteção de Dados brasileira, com um documento importante para o pontapé inicial da atuação do órgão no país. No formato perguntas e respostas, a Autoridade buscou dar clareza a conceitos básicos da proteção de dados pessoais, explicitando a importância da entrada em vigor da LGPD para a sociedade brasileira.
No mundo, destacamos as instruções da Autoridade tcheca para a realização da Avaliação de Impacto à Proteção de Dados pessoais, com uma série de explicações quanto ao objetivo do documento, em quais situações é obrigatório e quais os procedimentos e componentes devem ser levados em consideração para a sua realização. Essa é uma diretriz importante, uma vez que a Lei Geral de Proteção de Dados adota relatório de impacto à proteção de dados pessoais/RIPDP como mecanismo de salvaguarda à proteção de dados pessoais e, com a vigência da Lei, muitas organizações deverão realizá-lo. Importante frisar que a LGPD não obriga a realização da Avaliação de Impacto previamente ao tratamento, mas, como se observa nas diretrizes publicadas pela Autoridade tcheca e como é determinado pelo GDPR, a abordagem baseada no risco é importante para evitar violações à privacidade e à proteção de dados dos indivíduos. Nesse sentido, é urgente que, em 2021, a ANPD também expresse direcionamentos e posicionamentos quanto à adoção da ferramenta da Avaliação de Impacto à Proteção de Dados Pessoais.
Salientamos, ainda, o movimento mundial de discussão da proteção de dados pessoais sob o ponto de vista concorrencial. O caso Google-Fitbit movimentou o campo desde o final do ano passado e, nos últimos meses, o debate sobre proteção de dados e direito da concorrência ganhou protagonismo, como mostra o caso do Reino Unido. No dia 8 de dezembro, foi noticiado que a Autoridade de Concorrência e Mercado britânica, em conjunto com a Autoridade de Proteção de Dados (ICO) estava aconselhando o Governo britânico para a produção de um novo regime regulatório para as Big Techs, em que a prioridade fosse o estímulo à concorrência. Do outro lado do Atlântico, também ocorrem fortes movimentos de regulação das gigantes da tecnologia, com consequências para a proteção de dados, como é o caso dos quarenta e oito estados americanos que processaram o Facebook por abuso do poder de mercado.
Acreditamos que, em 2021, esse será um dos temas mais quentes a serem explorados na intersecção com a proteção de dados pessoais no mundo e também no Brasil. Como aponta Ana Frazão, em o Direito Antitruste para o século XXI, a visão single-pointed do Direito Antitruste deverá ser superada para maximizar a proteção do consumidor.
Gostaríamos de agradecer a tod@s @s leitor@s que nos acompanharam no intenso ano de 2020 e esperamos que as 29 edições do Boletim da Privacidade e da Proteção de Dados pessoais tenham contribuído para pesquisas, debates, dúvidas e análises. Esperamos, ainda, que possamos contribuir cada vez mais no ano de 2021.
Uma boa leitura à todas e a todos!
Bruno Bioni, Iasmine Favaro & Mariana Rielli
Proteção de Dados nas Autoridades
Brasil
O documento visa explicar conceitos básicos ligados à função da Lei Geral de Proteção de Dados, qual a sua importância para o país e definição de conceitos dado pessoal, dado pessoal sensível, tratamento e processamento de dados, bases legais, etc. Também se preocupa em explicar o que é a ANPD, qual a sua função e de que forma se desenvolvem suas atividades, além de apontar o perfil estrutural do órgão e meios para a participação da sociedade nos processos que serão desenvolvidos pelo órgão.
Bélgica
Autoridade belga impõe multa por processamento ilegal de imagens de câmeras de vigilância
O caso diz respeito a alguns indivíduos que instalaram em sua propriedade um sistema de vigilância por vídeo composto por cinco câmeras. Os vizinhos do casal reclamaram à Autoridade porque algumas dessas câmeras estavam filmando parte da via pública, além de sua propriedade privada. Os denunciantes tomaram como prova as imagens que lhes dizem respeito, as quais foram posteriormente compartilhadas com um perito no âmbito de um procedimento com a Secretaria do Ambiente. A Autoridade considerou ilegítima a transferência de imagens obtidas através da câmera para um perito no âmbito de um litígio. Por um lado, as imagens foram obtidas sem uma base legal válida. Por outro lado, a lei prevê a possibilidade de transferência de imagens para serviços policiais ou judiciais, mas o perito em questão não fazia parte de nenhuma delas. Dessa forma, a Autoridade aplicou multa de 1,5 mil euros ao casal, pelas duas infrações: a má colocação das câmeras e o compartilhamento com terceiros.
República Tcheca
Autoridade tcheca publica instruções para a realização do Relatório de Impacto à Proteção de Dados
Segundo a Autoridade, o objetivo do DPIA é que o responsável pelo tratamento de dados pessoais, que considera o início de um novo tratamento de dados pessoais ou uma alteração importante do existente, cumpra corretamente as suas obrigações de proteção de dados pessoais. O objetivo da avaliação de impacto é determinar se o processamento planejado ou modificado de dados pessoais cria ou aumenta o risco para os titulares dos dados. A abordagem baseada no risco (RBA), que exige que os controladores de dados pessoais, como em outros setores, avaliem e minimizem o risco para os titulares dos dados, bem como outros riscos decorrentes do tratamento de dados pessoais, é uma das inovações introduzidas pelo GDPR e se trata do conjunto de procedimentos adequados para identificar e mitigar ou eliminar os riscos à privacidade das pessoas afetadas pela interferência causada por ou resultante de determinado processamento de dados pessoais. Sobre o conteúdo do DPIA, a Autoridade aponta que, em primeiro lugar, é necessário determinar e declarar explicitamente na saída se foi estabelecido algum novo tratamento de dados pessoais e se o mesmo procedimento se aplica se o tratamento existente de dados pessoais for alterado. Nesse caso, é necessário indicar claramente a natureza da alteração – parâmetros individuais, especialmente extensão ou redução do processamento, parâmetros de processamento alterados, por exemplo, período de retenção de dados pessoais, extensão do número ou gama de itens de dados individuais. Além disso, a avaliação de impacto da proteção de dados pessoais aborda sempre explicitamente os direitos do titular dos dados. O conteúdo das autorizações do titular dos dados em questão é expresso verbalmente, ou seja, através da nomenclatura das autorizações individuais. O documento segue com uma série de indicações e procedimentos importantes para a implementação adequada de um DPIA.
European Data Protection Supervisor
Em 23 de setembro de 2020, a Comissão Europeia apresentou o Novo Pacto sobre Migração e Asilo, que inclui cinco propostas legislativas: i) uma Proposta alterada de Regulamento Eurodac; ii) uma Proposta de Procedimento de Asilo alterada; iii) uma Proposta de Regulamento de Gestão de Asilo e Migração; iv) uma Proposta de Regulamento de Seleção; v) Proposta de Regulamento de Crise e Força Maior. Também inclui uma série de iniciativas não legislativas.
A EDPS aponta que reconhece a necessidade de uma gestão mais eficaz da migração e do asilo. Ao mesmo tempo, tal como estabelecido na Estratégia 2020-2024 da AEPD, a proteção de dados é uma das últimas linhas de defesa para os indivíduos vulneráveis, como os migrantes e requerentes de asilo que se aproximam das fronteiras externas da UE. Nesse sentido, considera que a abordagem abrangente da proposta deve basear-se no pleno respeito pelos direitos fundamentais das pessoas que procuram proteção internacional e outros migrantes, incluindo o seu direito à proteção de dados e à privacidade. Afirma, ainda, que deve ser realizada uma avaliação aprofundada do impacto sobre os direitos fundamentais e a proteção de dados. É também de opinião que as propostas legislativas devem atribuir claramente as respetivas responsabilidades aos diferentes atores envolvidos no tratamento de dados pessoais.
Mais especificamente, no que diz respeito à proposta alterada de Regulamento Eurodac, a EDPS recomenda que as autoridades dos Estados-Membros e dos órgãos da União continuem a poder ver apenas os dados que são relevantes para o desempenho das suas funções específicas, mesmo que o conjunto de dados estejam ligados.
No que diz respeito à proposta de rastreio do pacto, a EDPS sublinha que a exatidão das informações tratadas é de fundamental importância e que o direito de retificar e/ou complementar os dados pessoais de nacionais de países terceiros deve ser garantido em todos os casos. Além disso, considera que a proposta permanece muito geral no que diz respeito aos métodos que podem ser utilizados para coletar dados fornecidos por ou obtidos do nacional de país terceiro para a sua identificação ou verificação, especialmente tendo em conta o vasto leque de práticas utilizadas a nível nacional, com diferentes graus de intrusão e eficácia.
França
CNIL aplica sanções de 2,25 milhões e 800 mil euros às empresas Carrefour France e Carrefour Banque
Tendo recebido várias reclamações contra o grupo CARREFOUR, a CNIL procedeu a verificações entre maio e julho de 2019. Nesta ocasião, a CNIL observou deficiências no processamento de dados de clientes e potenciais usuários. O Presidente da Autoridade decidiu, portanto, iniciar um procedimento de sanção contra estas empresas. As informações fornecidas aos usuários dos sites carrefour.fr e carrefour-banque.fr, bem como às pessoas que desejam aderir ao programa de fidelidade ou ao cartão Pass, não eram facilmente acessíveis (acesso às informações muito complicado, em muito longo contendo outras informações), nem facilmente compreensível (informações escritas em termos gerais e imprecisos, às vezes usando formulações desnecessariamente complicadas). Além disso, estava incompleto no que diz respeito à duração da retenção de dados, representando uma violação da obrigação de informar os titulares. A CNIL observou que, quando um usuário se conecta ao site carrefour.fr ou ao site carrefour-banque.fr, vários cookies são colocados automaticamente em seu terminal, antes de qualquer ação de sua parte. Vários desses cookies são usados para publicidade e , portanto, o consentimento do usuário deve ter sido coletado antes do depósito dos cookies. Além disso, a empresa Carrefour France não respeitou os prazos de retenção de dados por ela fixados. Os dados de mais de vinte e oito milhões de clientes inativos por cinco a dez anos foram mantidos como parte do programa de fidelidade. O mesmo aconteceu com 750.000 usuários do site carrefour.fr que estiveram inativos por cinco a dez anos. A empresa Carrefour France exigiu, salvo oposição à prospecção comercial, prova de identidade para qualquer pedido de exercício de direitos. Este pedido sistemático não se justificava, pois não havia dúvidas sobre a identidade das pessoas que exercem os seus direitos. Além disso, a empresa não conseguiu processar diversos pedidos de exercício de direitos nos prazos exigidos pelo GDPR.
O Governo enviou mensagens de texto aos assinantes dos operadores telefónicos com o objectivo de comunicar na nova aplicação TousAntiCovid (ex-StopCovid) e sua utilização no âmbito da reabertura de lojas. Segundo a CNIL, essa operação está prevista no disposto no decreto de 27 de novembro de 2020, que dispõe sobre medidas para fazer frente à epidemia de COVID-19 no âmbito do estado de emergência sanitária. Permite ao Governo pedir aos operadores de telecomunicações que difundam aos seus assinantes, numa base ad hoc, “mensagens de aviso e informação para mitigar os efeitos da catástrofe sanitária”. Afirma, ainda, que no âmbito destas operações, não é transmitido ao Governo qualquer número de telefone: a mensagem é enviada pelo Governo aos operadores de telemóveis, que se encarregam, com bases de dados próprias, de o encaminhar aos assinantes.
Itália
Em um dos trechos do extenso discurso, Ferroni aponta que “Acompanhar a evolução da robótica é, portanto, essencial para compreender o desafio cultural, ético, jurídico e político que a quarta revolução industrial traz consigo. Paradoxalmente, significa fazer uma viagem ao futuro da humanidade, tentando entender sua essência, olhando precisamente para o não-humano, mas sendo inteligente. O conceito de “inteligência” deve, portanto, ser redefinido. A operação, em si mesma, de forma alguma deve ser tomada como certa, pois diferentes significados podem ser incluídos neste conceito: capacidade de raciocínio lógico, compreensão, planejamento, autoconsciência, criatividade, resolução de problemas, aprendizagem, etc. Vale a pena tomar uma definição ampla de inteligência, como sugerido por Max Tegmark (Vita 3.0. Seres humanos na era da inteligência artificial, Raffaello Cortina Editore, 2018): inteligência é a “capacidade de atingir objetivos complexos”, ou mesmo “habilidade adquirir e aplicar conhecimentos e competências “. Posto o tema desta forma, a questão que se segue é: para falar de uma entidade inteligente, a capacidade de calcular, isto é, de fazer cálculos automaticamente, é suficiente, ou é necessário um certo grau de compreensão? Ou seja, para ser considerada inteligente, a máquina só terá que retornar uma resposta correta após ter processado a informação adquirida, ou melhor, também demonstrar que entendeu a pergunta e responder de certa forma, com base em elementos não só memorizados, mas também compartilhou e fez seu próprio?”. E termina: “A perspectiva deve, portanto, ser invertida. Devemos reivindicar o direito de cometer erros, cientes de nossa falibilidade fisiológica. Do contrário, o risco é encontrar-se presa de um totalitarismo de eficiência, sustentável, talvez, do ponto de vista econômico e ecológico, mas não humano. Realmente desumano. Uma eficiência que poderia até vir a prever cenários paradoxais como a autodestruição, quando calculada em termos de benefício coletivo. Perturbadoras são as muitas questões que se colocam sobre o destino de nossas liberdades e de nossa democracia. É por isso que se torna realmente crucial, no método, antes mesmo do mérito, iniciar uma nova fase de constitucionalização na “projeção moderna”. Que tem o propósito de “orientar o design, desenvolvimento e uso de soluções de inteligência artificial em uma direção ética e legalmente sustentável” (A. Longo, G. Scorza).”.
Holanda
O EDPB publicou uma declaração sobre o futuro regulamento de privacidade eletrônica. Nesta declaração, preocupa-se com a fiscalização do Regulamento e-Privacidade. O EDPB, em parceria com outros órgãos reguladores de privacidade da União Europeia, tem se manifestado sobre a fiscalização do Regulamento de Privacidade Eletrônica, que substituirá a Diretiva e-Privacidade de 2002. O Conselho considera que a supervisão do tratamento de dados pessoais ao abrigo do Regulamento da Privacidade Eletrônica deve ser confiada às mesmas autoridades nacionais que supervisionam o GDPR, pois isto garantiria um elevado nível de proteção, condições de concorrência equitativas e uma interpretação e aplicação harmonizadas por parte da UE, de acordo com o EDPB. Além disso, sublinhou a sua posição anterior de que o Regulamento de Privacidade Eletrônica não deve diminuir o nível de proteção da atual diretiva e-privacidade de 2002. Por fim, aponta que o regulamento de privacidade eletrônica deve complementar o GDPR, fornecendo fortes salvaguardas de confidencialidade e proteção de todos os tipos de comunicações eletrônicas.
Dinamarca
Autoridade dinamarquesa publica nota sobre transferência internacional de dados para o Brexit
A Autoridade aponta que, para transferir dados pessoais para um país terceiro, ou seja, países fora do EEE, normalmente é necessária uma base legal para a transferência. Além disso, deve-se seguir os termos adicionais do acórdão Schrems II e isso pode envolver avaliações complexas e demoradas. No entanto, essas medidas não precisam ser tomadas se a Comissão da UE tiver dado ao país em questão uma chamada decisão de adequação. A Comissão pode emitir uma decisão de adequação se concluir que o nível de proteção no país é equivalente ao do EEE. Nesses casos, os dados pessoais podem ser transferidos livremente para o país. A Comissão Europeia está considerando se deve dar ao Reino Unido uma decisão de adequação. Atualmente, não se sabe se este trabalho será concluído antes de 1 de janeiro. Nesse sentido, existem dois cenários: (i) se a Comissão Europeia der ao Reino Unido uma decisão de adequação antes do Ano Novo, as empresas não precisam tomar qualquer medida em relação à transferência de dados pessoais e (ii) se a Comissão Europeia não der ao Reino Unido uma decisão de adequação antes do Ano Novo, as empresas que transferem dados pessoais para o Reino Unido devem garantir uma base de transferência e cumprir os termos adicionais da decisão Schrems II se quiserem continuar a transferir dados pessoais após 31 de dezembro.
Reino Unido
A CMA está aconselhando o governo britânico quanto à concepção e implementação do novo regime pró-concorrência do Reino Unido para os mercados digitais. O novo regime moldará proativamente o comportamento das empresas de tecnologia mais poderosas e isso garantirá que os consumidores e as empresas sejam tratados de forma justa e ajudará a nivelar as regras do jogo para empresas de tecnologia rivais menores. O conselho foi produzido pelo Digital Markets Taskforce, encomendado pelo governo em março e liderado pela Autoridade de Concorrência e Mercados (CMA), trabalhando em conjunto com o Ofcom, o ICO e a FCA. As principais propostas são:
- Um novo código de conduta legalmente vinculativo, feito sob medida para cada empresa e para onde as evidências demonstram que problemas podem ocorrer, projetado e supervisionado pelas Unidades de Mercado Digitais (DMU). O código ajudará a moldar o comportamento de empresas digitais poderosas, desde o início, e governar os elementos de como fazem negócios com outras empresas e tratam seus usuários. Haverá uma gama de poderes disponíveis para a DMU para tratar de quaisquer preocupações, incluindo o potencial de penalidades significativas.
- Intervenções pró-competitivas, que podem ser usadas para abordar as fontes de poder de mercado, permitem que a competição floresça e desbloqueie o potencial de inovação transformadora por outros no mercado. Um exemplo de tal intervenção poderia ser a imposição de requisitos de interoperabilidade às empresas de tecnologia e uma melhor capacitação dos consumidores para controlar e compartilhar dados.
- Regras de fusão aprimoradas, que permitiriam à CMA aplicar um exame mais detalhado às transações envolvendo empresas de Status de Mercado Estratégico (SMS). Isso incluiria a obrigatoriedade de notificar o CMA de uma transação, impondo um bloqueio na conclusão de um negócio até que o CMA tivesse investigado e uma mudança para um teste legal mais cauteloso ao examinar a probabilidade de dano aos consumidores, a fim de resolver as preocupações sobre subexecução histórica de fusões envolvendo grandes empresas de tecnologia.
Proteção de Dados nas Universidades
Designing Remedies for Digital Markets: The Interplay Between Antitrust and Regulation
LANCIERI, Filippo. PEREIRA NETO, Caio Mario.
“Este artigo primeiro mapeia a fronteira do design de remédios no mundo digital. A seção I resume os remédios antitruste impostos às empresas digitais para ambos os casos de grupo de acordo com as diferentes preocupações subjacentes que eles enfrentam e para identificar possíveis interações com intervenções regulatórias que compartilham o mesmo raciocínio. A Seção II complementa essa análise revisando dezoito relatórios independentes importantes sobre a concorrência nos mercados digitais para identificar propostas para promover intervenções antitruste ou regulatórias. A conclusão geral é que, embora a interação entre antitruste e regulamentação deva crescer, as autoridades carecem de uma estrutura coerente que lhes permita aplicar essas políticas de maneira coerente e racional.
A Seção III, o cerne do documento, preenche essa lacuna ao apresentar uma nova estrutura para integrar as intervenções antitruste e regulatórias no mundo digital – uma que se concentra em dois níveis diferentes de design de remédios. Em primeiro lugar, ele desenvolve uma estrutura composta de custos de erro que as autoridades podem aplicar ao escolher entre os remédios para uma determinada conduta: quando as autoridades aceitam riscos mais elevados de aplicação excessiva ao decidir intervir, elas devem compensar assumindo riscos menores de aplicação excessiva no desenho de medidas corretivas, e vice versa. Em segundo lugar, propõe quatro critérios nos quais as autoridades podem confiar para alocar entre diferentes reguladores três atividades-chave conectadas, mas diferentes, no desenho de soluções: (i) a identificação de comportamento prejudicial; (ii) a concepção da intervenção; e (iii) monitoramento e adequação do recurso.
A Seção IV conclui aplicando esta estrutura a sete tipos de conduta que as Seções I e II identificaram como potencialmente problemáticas: (i) discriminação, tratamento injusto e auto-preferência; (ii) relações de exclusividade com fornecedores, distribuidores ou clientes; (iii) vinculação ou agrupamento por meio de acordos contratuais; (iv) MFNs e outras cláusulas de paridade de preços; (v) recusas de negociação, interoperabilidade limitada e falta de portabilidade de dados; (vi) regras e termos de serviço impostos pelas plataformas digitais; e (vii) nudges, sludges e outras preocupações nas interfaces de usuário.” (tradução livre)
Proteção de Dados no Legislativo
Apresentado Projeto de Lei que institui Regime Especial de Tributação para os Data Centers
Apresentado em 02 de dezembro pelo Deputado Federal Luiz Philippe de Orleans e Bragança, o Projeto de Lei 5313/2020 propõe a instituição de Regime Especial de Tributação, com uma série de benefícios fiscais aos Data Centers, sob a justificativa de que “A entrada em vigor da Lei Geral de Proteção de Dados Pessoais – LGPD, Lei nº 13.709, de 14 de agosto de 2018, cria uma perspectiva de crescimento expressivo da demanda por armazenamento seguro de dados no País. Trata-se de uma perspectiva que deve ser encarada com preocupação, pois o investimento na expansão de data centers e na adequação de critérios e procedimentos de segurança demandará um prazo relativamente prolongado para sua efetiva realização” e continua: “As exigências de segurança e integridade de bases de dados devem, também, adequar-se às exigências específicas da legislação brasileira aplicáveis a cada tipo de informação armazenada. A complexidade da nossa legislação civil e comercial e das normas infralegais expedidas por entidades do Poder Executivo ou decorrentes de decisões judiciais agregam uma acrescida variedade de dispositivos e interpretações a serem incorporadas a softwares de tratamento e preservação de dados, o que requer um esforço de desenvolvimento, codificação e validação de programas e rotinas específicas.”. O Projeto de Lei atualmente está na Mesa Diretora.
Proposto Projeto de Lei que visa alterar a nomeação do Conselho Diretor da ANPD
Apresentado em 02 de dezembro, o Projeto de Lei 5314/2020, de autoria do Deputado Federal Luiz Philippe de Orleans e Bragança, e visa alterar o artigo 55-D da Lei Geral de Proteção de Dados para determinar que “Os membros do Conselho Diretor serão escolhidos dentre brasileiros que tenham reputação ilibada, nível superior de educação, elevado conceito no campo de especialidade dos cargos para os quais serão nomeados e aprovados pela comissão de sindicância de vida pregressa e investigação social.” e, ainda, que “Os membros do Conselho Diretor da ANPD passarão por uma sindicância de vida pregressa e investigação social em uma comissão composta por: I – Diretor-geral da Polícia Federal; I – Diretor-geral da Agência Brasileira de Inteligência; III – Ministro da Defesa; IV – Ministro da Justiça e Segurança Pública; V – Ministro-chefe do Gabinete de Segurança Institucional da Presidência da República; VI – Procurador-Geral da República; VII – um membro da Mesa Diretora da Câmara dos Deputados; VIII – um membro da Mesa Diretora do Senado Federal”. Determina ainda, que “A comissão de sindicância de vida pregressa e investigação social disporá dos meios de investigação necessários de cada órgão de seus membros para que ao final considerem os indicados aptos ou não a exercerem os cargos aos quais serão nomeados”. E que “é vedada a nomeação de cônjuge, companheiro ou parente em linha reta, colateral ou por afinidade, até o terceiro grau, de autoridades do Poder Legislativo, Executivo e Ministros do Judiciário.”. O Projeto de Lei atualmente está na Mesa Diretora.
Proteção de Dados no Judiciário
O Mandado de Segurança 2076403-78.2020.8.26.0000, foi impetrado contra o Governador do Estado de São Paulo, para a concessão da segurança para que sejam excluídos os efeitos do ACORDO DE COOPERAÇÃO celebrado entre as operadoras TIM, VIVO, OI e CLARO e o Governador do Estado de São Paulo, em relação ao impetrante, a fim de que as suas linhas de telefonia móvel não sejam objeto de monitoramento de dados pelas operadoras Vivo e Claro com o Governo do Estado de São Paulo. A Ministra Cristina Zucchi utiliza conceitos como anonimização, ao citar trecho de texto publicado na Folha de São Paulo pelo colunista Ronaldo Lemos e conclui que os dados utilizados pelo SIMI-SP de fato se encaixam no conceito de dado anonimizado, além de trazer outras decisões que permitiram o uso de dados agregados para o combate à pandemia. Dessa forma, negou provimento ao recurso.
