07.01.21
Intervalo: 12/10/2020 - 12/10/2020

Seja [email protected] à mais uma edição do Boletim da Privacidade e Proteção de Dados! É com enorme entusiasmo que iniciamos o ano de 2021 com a 30ª edição desse projeto.  […]

Seja [email protected] à mais uma edição do Boletim da Privacidade e Proteção de Dados! É com enorme entusiasmo que iniciamos o ano de 2021 com a 30ª edição desse projeto. 

Destacamos o início das atividades da Autoridade Nacional de Proteção de Dados (ANPD) brasileira, com a publicação de importantes guias para conformidade com a Lei Geral de Proteção de Dados, em áreas como contratos, incidentes de segurança e segurança da informação e produção de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD). 

Ainda, salientamos as orientações da Autoridade de Proteção de Dados francesa (CNIL) para o tratamento de dados pessoais no contexto da vacinação contra a COVID-19. A Autoridade buscou dar transparência ao processo, destrinchando quais dados são coletados, em que hipóteses, quais órgãos têm acesso a eles e qual o período de retenção. Além disso, também reforçou os direitos do titular, como o direito de acesso, retificação e oposição (caso o titular não tenha dado seu consentimento para receber a vacina). Trata-se de posicionamento importante, que vem a complementar a série de orientações que a Autoridade francesa e outras Autoridades vêm produzindo sobre o uso de dados pessoais no contexto da pandemia da COVID-19.

Na mesma toada, com a necessidade gerada pela pandemia de se compartilhar um número massivo de dados e para tanto dar-se maior transparência ao processo, a Autoridade de Proteção de Dados britânica (ICO) publicou um guia para o compartilhamento de dados. O guia, aliado a um conjunto de novos recursos, fornece orientações práticas para empresas e organizações sobre como realizar o compartilhamento responsável de dados.

Outro documento interessante produzido no período, pela ICO, foi uma série de seis considerações para a utilização de sistemas automatizados no contexto de decisões empregatícias. O tema foi considerado de grande urgência pelo órgão, uma vez que identificou uma crescente tendência em se automatizar as relações de trabalho, inclusive no contexto de contratação de pessoas de forma remota, em razão de elementos contextuais como a pandemia e o movimento Black Lives Matter. 

Ressaltamos, ainda, o artigo de autoria de Bruno Bioni e Daniel Dias sobre a responsabilidade civil na proteção de dados pessoais, tema de extrema relevância para a aplicação prática da LGPD e que é um dos debates de maior temperatura para 2021, tendo em vista as diferentes visões e embates sobre a responsabilidade civil no contexto da proteção de dados pessoais. 

Desejamos à [email protected] uma ótima leitura!

Bruno Bioni, Iasmine Favaro & Mariana Rielli

Proteção de Dados nas Autoridades

Brasil

Órgãos devem indicar responsável por tratamento de dados pessoais nas instituições da Administração Pública

Órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional deverão indicar um membro para ser responsável pelo tratamento de dados pessoais da instituição correspondente. Os requisitos e procedimentos para a indicação dos encarregados de cada órgão constam na Instrução Normativa SGD/ME nº 117. O “encarregado” está previsto na Lei Geral de Proteção de Dados Pessoais (LGPD) e atuará como canal de comunicação entre os órgãos, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), quanto à aplicação das práticas necessárias à garantia da privacidade do cidadão e da proteção de seus dados pessoais. Os órgãos terão prazo de 30 dias para indicar o responsável pelo tratamento das informações.

ANPD publica guias operacionais para adequação à LGPD

Foram publicados, no site oficial da Autoridade, alguns documentos como o guia ‘’Programa de Governança em Privacidade’’, que apresenta os principais pontos da Lei Geral de Proteção de Dados, fornecendo os subsídios para a criação de um programa institucional de gerenciamento de privacidade. Além desse documento geral, a Autoridade também disponibilizou o ‘’Guia de elaboração de Termos de Uso e Política de Privacidade para serviços públicos’’, o ‘’Guia de Avaliação de Riscos de Segurança e Privacidade’’, o ‘’Guia de Boas Práticas para Especificação de Requisitos de Segurança da Informação e Privacidade em Contratações de Tecnologia da Informação’’. Por fim, foi publicado um template para a produção de Relatórios de Impacto à Proteção de Dados, complementado por um estudo de caso e um exemplo de template preenchido.

Dinamarca

Decisão da autoridade dinamarquesa invalida solução de consentimento utilizada por empresa

Após denúncia de usuário do site da empresa DGU Commercial S/A, a autoridade dinamarquesa verificou o mecanismo de coleta do consentimento e concluiu que esta não atendia aos requisitos da GDPR, como, por exemplo, voluntariedade, granularidade e expressão inequívoca da vontade dos usuários. No caso, o visitante do site era inicialmente apresentado a informações sobre as atividades de tratamento e, depois disso, poderia clicar na opção “permitir todos os cookies”, não sendo possível optar por outra alternativa de coleta de cookies. A Autoridade ainda concluiu que a empresa vinha considerando o uso contínuo do site como expressão do consentimento do usuário.

Três decisões da autoridade dinamarquesa ilustram tratamento de dados em contexto puramente privados

As regras de proteção de dados estabelecidas pela GDPR não se aplicam ao tratamento de dados pessoais realizado por uma pessoa singular no âmbito de atividades puramente pessoais ou familiares. Em dois casos, a Agência Dinamarquesa de Proteção de Dados concluiu que a publicação de informações pessoais em um site e no YouTube, respectivamente, deveria ser considerada como tendo ocorrido em contextos puramente privados e, portanto, fora do escopo das regras de proteção de dados. A avaliação realizada levou em consideração a natureza da informação publicada, o contexto em que a informação foi publicada (especificamente, se comercial ou não) e o objetivo da publicação. Para a consultora-chefe da Autoridade, “as decisões nesses dois casos não significam que indivíduos particulares possam agora publicar informações pessoais sobre terceiros na Internet. Portanto, é preciso continuar a pensar com cuidado antes de publicar esse tipo de dado, você deve usar o bom senso e pensar se isso pode incomodar a pessoa de que se trata. Em caso de dúvida, pergunte a ela”, diz Karina Kok Sanderhoff.

Acordo de saída UE-Reino Unido

Em 24 de dezembro de 2020, a Comissão Europeia e o Reino Unido chegaram a um acordo para regulamentar as relações UE-Reino Unido a partir de 1 de janeiro de 2021. A partir dessa data, o  Reino Unido será considerado um país terceiro para os fins da GDPR. A transferência de dados pessoais para um país terceiro requer, de acordo com o Capítulo V do Regulamento (artigos 44 a 50), conformidade com uma das hipóteses de transferência listadas, como o uso de Cláusulas Contratuais Padrão, normas corporativas globais, decisões de adequação, etc. O acordo entre o Reino Unido e a UE estabelece, entretanto, que as transferências da UE / EEE para o Reino Unido podem continuar inalteradas até seis meses a partir de 1 de janeiro de 2021, o que significa que durante este período não haverá necessidade de aderência a uma dessas opções. Portanto, os controladores da UE podem, nos termos do acordo, continuar a transferir dados pessoais para o Reino Unido até o final de junho de 2021.

Estônia

Autoridade estoniana publica nota sobre regras para vigilância por vídeo

Segundo a Autoridade, o estoniano médio pode entrar na área de  cobertura de pelo menos dez câmeras de segurança por dia e, por isso, regras para o uso, coleta e processamento de dados pessoais devem existir. Para a Autoridade, primeiro, a pessoa que entra na área de vigilância por vídeo deve ser notificada sobre a câmera de segurança. Isso requer um rótulo de notificação. Em segundo lugar, uma pessoa na área de vigilância por vídeo deve poder solicitar informações sobre o processamento de sua gravação. Para tal, é necessário estabelecer condições que dêem transparência ao tratamento. Além disso, a Autoridade afirma que a vigilância por vídeo só é possível se seu propósito for legítimo e se limitar à proteção de pessoas, propriedades ou o combate a crimes.

European Data Protection Supervisor

Blog: “O que a COVID-19 revela sobre nossos recursos de engenharia de privacidade?”

O artigo aborda como a discussão pública sobre ferramentas de privacidade específicas para um novo aplicativo de contact tracing, que estava apenas nas fases iniciais de desenvolvimento, foi um fenômeno completamente novo, já que historicamente esse tipo de discussão ocorria apenas depois de falhas graves ou incidentes de segurança que afetam muitas pessoas. 

Isso aconteceu no início de 2020, quando vários grupos de pesquisadores discutiram as possíveis salvaguardas de privacidade do Corona Tracing App, e suas preocupações e sugestões encontraram amplo eco, mesmo na grande mídia. Na época, o foco principal da discussão pública era uma escolha arquitetônica, com diferentes implicações para a privacidade: armazenamento centralizado ou descentralizado das informações sobre os contatos entre os usuários do aplicativo.

Posteriormente, a grande maioria dos aplicativos de rastreamento de contatos implantados em países na UE acabou optando pelo modelo descentralizado. Quase todos eles decidiram confiar em uma estrutura criada pelos principais fornecedores de sistemas operacionais móveis, Google e Apple. Para Thomas Zerdick, chefe de tecnologia e privacidade do EDPS, as apresentações dos desenvolvedores ilustraram que a escolha de uma arquitetura que favoreça o controle dos indivíduos sobre seus dados pessoais é uma etapa importante para proteger esses dados, mas é apenas uma etapa, e muitas outras são necessárias. Entre os riscos que os desenvolvedores buscavam abordar está a análise de tráfego: se apenas aplicativos móveis para os quais um resultado de teste positivo é registrado fornecessem uploads para o banco de dados central, observar quais dispositivos móveis enviam essas atualizações revelaria quais usuários têm um resultado de teste positivo. Além disso, a implementação prática da arquitetura descentralizada requer muitas decisões de design, que podem afetar a proteção real dos usuários.”. Sobre o assunto, a Associação Data Privacy Brasil de Pesquisa produziu a reportagem “Tudo o que você precisa saber sobre as tecnologias de rastreamento utilizadas no combate à COVID-19”, que explica os diferentes modelos adotados nas tecnologias de rastreamento.

França

CNIL publica nota sobre coleta de dados no contexto da vacinação contra a COVID-19

Para permitir a realização e acompanhamento da campanha de vacinação contra o coronavírus SARS-CoV-2, o governo francês decidiu criar por decreto uma solução sobre a qual a CNIL emitiu parecer no dia 10 de dezembro. Nesta ocasião, a Autoridade reafirmou o respeito aos direitos e liberdades dos titulares dos dados e recordou que exerceria o seu poder de controle assim que a solução fosse implementada. A iniciativa, denominada Sistema de Informação (SI) “Vacina Covid”, inclui informações sobre as pessoas vacinadas com o objetivo de organizar a campanha de vacinação, monitorando fornecimento de vacinas e consumíveis (seringas, etc). 

Para atingir os objetivos do SI “Vacina Covid”, as seguintes informações são coletadas: identidade e detalhes de contato, número do seguro social (NIR), dados de saúde, como critérios para elegibilidade para vacinação determinada pelo Ministério da Saúde, etc. Também são coletados dados relativos a profissionais de saúde e pessoas sob a responsabilidade do titular e o período de retenção dos dados é de dez anos, com exceção daqueles necessários para o atendimento de pessoas vacinadas em caso de identificação de novos riscos, que serão mantidos pelo Poder Público por trinta anos. Alguns desses dados são transmitidos aos profissionais de saúde e equipes responsáveis por realizar triagens ou a própria vacinação. Outras estruturas públicas, como o Fundo Nacional de Seguro Saúde (CNAM) ou a Agência Nacional de Segurança de Medicamentos e Produtos de Saúde (ANSM), têm acesso a determinados dados para o cumprimento de suas missões. 

Os dados pseudonimizados, ou seja, sem o nome próprio, número da segurança social, dados de contato estão acessíveis a determinados funcionários da Agência Nacional de Saúde Pública (ANSP) e Agências regionais de saúde (ARS) para monitorar a cobertura vacinal e organizar a campanha de vacinação. Estes dados também podem ser comunicados ao Departamento de Investigação, Estudos, Avaliação e Estatística (DREES) do Ministério da Saúde para o estabelecimento de estatísticas. Dados pseudonimizados também são transmitidos ao Health Data Hub e ao CNAM para fins de gerenciamento da emergência sanitária e para melhorar o conhecimento sobre o vírus. 

No seu parecer, a CNIL solicitou ao Ministério que informe todas as pessoas envolvidas, nomeadamente no que se refere aos seus direitos de acesso, retificação e de se opor ao tratamento dos seus dados até que expressem o seu consentimento para a vacinação. Após esse momento, a CNIL entendeu que não é possível se opor ao tratamento, uma vez que ele cumpre um importante objetivo de interesse público, nomeadamente no âmbito da farmacovigilância.

CNIL sanciona dois médicos por vazamento de dados de saúde

Após uma investigação realizada em setembro de 2019, a CNIL constatou que milhares de imagens médicas hospedadas em servidores pertencentes a dois médicos estavam acessíveis gratuitamente na internet. Durante as audiências, os médicos reconheceram que as violações de dados se deviam a más escolhas de configuração de internet e do seu software de imagem médica. As investigações realizadas também permitiram constatar que as imagens médicas mantidas em seus servidores não estavam criptografadas. 

Com base nestes elementos, o órgão da CNIL encarregado das sanções constatou que os dois médicos desrespeitaram os princípios elementares em matéria de segurança da informação e proteção de dados, considerando que deveriam ter garantido que a configuração das suas redes não tornasse os dados livremente acessíveis na internet. O comitê também identificou uma violação à obrigação de notificar as violações de dados à CNIL (artigo 33 do GDPR). Dessa forma, foram aplicadas multas de € 3.000 e € 6.000 contra os dois médicos.

Alemanha

Autoridade alemã elogia decisão do Tribunal Constitucional Alemão sobre mineração de dados

O pano de fundo para a decisão foi uma reclamação constitucional contra uma disposição da Lei de Arquivos Antiterrorismo. Tal norma regula o uso dos dados reunidos em arquivos de contraterrorismo no país e efetivamente amplia o acesso a dados pessoais para tal finalidade. O Professor Ulrich Kelber vê sua opinião jurídica confirmada pela decisão do Tribunal Constitucional Federal, já que os juízes decidiram que a expansão do uso de dados sob a Lei de Arquivos Antiterrorismo era parcialmente inconstitucional. Segundo Kelber, “a decisão fortalece a proteção de dados. Pela primeira vez, o Tribunal Constitucional Federal emitiu uma declaração sobre aplicativos de mineração de dados em bancos de dados das autoridades de segurança. Confirmou a minha visão de longa data: a análise de dados pessoais com o uso de tecnologia representa uma interferência no direito à autodeterminação informativa, que requer, para ser legítima, uma base legal clara com limites de intervenção’’.

Irlanda

Autoridade irlandesa elabora o Children Front and Center: fundamentos para uma abordagem de tratamento de dados voltada para crianças

Os Fundamentos para uma Abordagem de Processamento de Dados Voltada Para Crianças foram elaborados pela Comissão de Proteção de Dados (DPC) para impulsionar melhorias nos padrões de tratamento de dados desse grupo etário. Eles introduzem princípios interpretativos de proteção de dados específicos para crianças e medidas concretas contra os riscos de tratamento de dados decorrentes do uso/acesso a serviços no mundo online e offline. Paralelamente, os Fundamentos ajudarão organizações que tratam dados de crianças, esclarecendo os princípios e normas às quais elas devem aderir.  O documento foi informado pelo resultado da consulta pública que a DPC realizou durante o primeiro semestre de 2019. Uma vertente desta consulta foi dirigida diretamente a crianças e jovens e os encorajou a dar as suas opiniões sobre o uso de seus próprios dados pessoais e seus direitos em um contexto de mídia social. O outro fluxo da consulta foi dirigido a todas as outras partes interessadas, incluindo pais, educadores e organizações de direitos da criança, bem como organizações que tratam dados de crianças.

Autoridade irlandesa anuncia decisão em inquérito do Twitter

A Autoridade anunciou, em 15 de dezembro, a conclusão de uma investigação que conduziu sobre a Twitter International Company. A investigação da DPC começou em janeiro de 2019, após receber uma notificação, do próprio Twitter, em relação a um incidente de segurança.  A Autoridade concluiu que o Twitter infringiu o Artigo 33 (1) e 33 (5) da GDPR, pois falhou em notificar a violação a tempo e documentar adequadamente a violação. Foi aplicada uma multa administrativa de € 450.000 como medida eficaz, proporcional e dissuasiva. A decisão provisória no inquérito foi submetida à análise de outras Autoridades Interessadas, nos termos do Artigo 60 da GDPR, em maio deste ano. Foi o primeiro caso a passar pelo processo do Artigo 65 (“resolução de conflitos”) desde a introdução do Regulamento e também a primeira decisão provisória em um caso de “big tech” em que todas as autoridades da UE foram consultadas.

Itália

Autoridade italiana publica guia sobre deep fakes

Deep fakes são fotos, vídeos e áudio criados graças a softwares de inteligência artificial que, a partir de conteúdos reais (imagens e áudio), são capazes de modificar ou recriar, de forma extremamente realista, as características e movimentos de um rosto ou um corpo ou fielmente imitar uma certa voz. A Autoridade italiana desenvolveu um folheto informativo para conscientizar os usuários sobre os riscos associados aos usos maliciosos dessa nova tecnologia, cada vez mais frequentes, inclusive pela disseminação de aplicativos e softwares que possibilitam a realização de falsificações elaboradas e sofisticadas, usando um smartphone comum.

Autoridade italiana inicia processo contra TikTok

A investigação lançada pela Autoridade em março de 2020 evidenciou um conjunto de tratamentos de dados efetuados pela rede social que não estão em conformidade com o novo quadro regulatório da proteção de dados pessoais. A Autoridade considera, em primeiro lugar, que os métodos de inscrição na rede social não protegem adequadamente os menores. Para a Autoridade, a proibição de inscrição de menores de 13 anos, instituída pela rede social, é facilmente contornada, uma vez que se pode utilizar uma falsa data de nascimento. Consequentemente, Tik Tok não impede que as crianças se inscrevam, nem verifica se os regulamentos de privacidade europeus, que prevêem a necessidade de autorização dos pais ou daqueles que têm responsabilidade parental pelo menor que não completou 14 anos, são respeitados. 

As informações passadas aos usuários – a Autoridade também destaca – são padronizadas e não levam em consideração especificamente a situação dos menores, sendo necessária a criação de uma seção especial dedicada às crianças, redigida em linguagem mais simples e com mecanismos de alerta que denunciem os riscos a que estão expostos. Os tempos de retenção de dados são indefinidos em relação aos fins para os quais são coletados, assim como os métodos de anonimização que a rede social afirma aplicar. A mesma falta de clareza existe quanto à transferência de dados para países terceiros, uma vez que não são especificados os países para os quais a empresa pretende transferir os dados, nem se indica a adequação ou não desses países à legislação europeia em matéria de privacidade. 

Por fim, segundo a Autoridade, a rede social pré-define o perfil do usuário como “público”, permitindo a máxima visibilidade dos conteúdos nele publicados. Esta predefinição contrasta com a legislação de proteção de dados que prevê a adoção de medidas técnicas e organizacionais para a proteção de dados pessoais, desde a concepção, especialmente de crianças e adolescentes.

Holanda

EDPB publica estratégias para 2021-2023, Brexit e transferência internacional de dados

A Estratégia EDPB 2021-2023 discute os objetivos estratégicos para os próximos anos. Essas metas são agrupadas em 4 pilares: (i) promover a harmonização e facilitar o cumprimento das normas e princípios pelos agentes de tratamento; (ii) apoiar a aplicação eficaz e a cooperação eficiente entre reguladores; (iii) abordar as novas tecnologias na perspectiva dos direitos fundamentais e (iv) promover a proteção global de dados. Parte da estratégia está sendo levada a cabo por meio de um projeto piloto com um Grupo de Apoio de Especialistas.
Por meio desse grupo, os reguladores europeus podem se apoiar mutuamente, compartilhando capacidade e experiência, por exemplo, ao conduzir investigações. Além disso, o EDPB também descreve em 2 documentos as consequências do Brexit para a transferência internacional de dados pessoais que envolva o Reino Unido:  a declaração sobre o final do período de transição Brexit e a nota informativa sobre transferências de dados ao abrigo da GDPR para o Reino Unido após o período de transição.

Reino Unido

ICO publica novo Guia Prático sobre Compartilhamento de Dados

O guia, aliado a um conjunto de novos recursos, fornece orientações práticas para empresas e organizações sobre como realizar o compartilhamento responsável de dados. O compartilhamento de dados é fundamental para a inovação digital nos setores público e privado. Pode levar a muitos benefícios econômicos e sociais, incluindo maior crescimento, inovações tecnológicas e a entrega de serviços mais eficientes e direcionados. A Comissária de Informação Elizabeth Denham disse que a pandemia COVID-19 deu maior foco à necessidade de compartilhamento de dados justo, transparente e seguro.
O documento foi construído da seguinte forma: numa primeira etapa, o governo britânico incluiu disposições no Data Protection Act 2018 exigindo que o ICO produzisse um guia prático que fornecesse orientação sobre o compartilhamento de dados. Um código de compartilhamento de dados anterior foi publicado em 2011, sob a Lei de Proteção de Dados de 1998. Depois, o primeiro rascunho do novo guia foi colocado em consulta pública em julho de 2019, precedido por uma chamada de opiniões em 2018. Foi informado por opiniões iniciais e evidências coletadas de uma ampla gama de organizações privadas, públicas e do terceiro setor, bem como indivíduos agindo a título privado.
A ICO submeteu o Guia Prático de Compartilhamento de Dados ao Secretário de Estado em 17 de dezembro de 2020. O Secretário de Estado precisará agora apresentar o código ao Parlamento para sua aprovação. Depois de apresentado o documento, ele permanecerá no Parlamento por 40 dias consecutivos. Se não houver objeções, entrará em vigor 21 dias depois.

ICO publica nota apontando seis coisas a serem consideradas ao usar algoritmos para decisões de emprego

Primeiro, com muitos perdendo seus empregos devido à pandemia de Covid-19, a Autoridade observa uma tendência de mais pessoas se inscrevendo para vagas limitadas. Isso pode fazer com que os empregadores busquem algoritmos para aliviar a carga dos departamentos de RH. Em segundo lugar, o movimento Black Lives Matter fez com que os empregadores procurassem maneiras de lidar com o racismo e outras formas de preconceito em seus locais de trabalho. Algoritmos podem ser uma das ferramentas usadas para lidar com práticas discriminatórias de contratação. A partir desse contexto, os seis pontos destacados são: (i) Preconceito e discriminação são um problema na tomada de decisão humana, portanto, também são um problema na tomada de decisão por IA; (ii) Todos os algoritmos precisam estar em conformidade com o princípio de justiça da proteção de dados, o que a própria Autoridade considera complexo. Isso significa que o tratamento de dados por um sistema de IA não deve gerar nenhum efeito adverso injustificado sobre um indivíduo. Isso inclui discriminação contra pessoas que têm alguma característica protegida; (iii) O avanço dos algoritmos de big data e aprendizado de máquina está dificultando a detecção de vieses e discriminação; (iv) Deve-se considerar tanto as normas de proteção de dados quanto aquelas relacionadas à igualdade ao se desenvolver sistemas de IA; (v) O uso de decisões exclusivamente automatizadas para fins de contratação do setor privado provavelmente resultará em uma ilegalidade de acordo com a GDPR e, por fim, (vi) Algoritmos e automação também podem ser usados ​​para resolver os problemas de preconceito e discriminação. São parte do problema, mas também podem ser da solução.

Resposta de empresas de videoconferência à declaração conjunta sobre as expectativas globais de privacidade das empresas de videoconferência

Microsoft, Cisco, Zoom e Google responderam à carta aberta elaborada pelo ICO e outras cinco autoridades de proteção de dados pessoais. Em suas respostas, as empresas destacaram várias práticas, medidas e ferramentas de privacidade e segurança que pretendem implementar ou integrar a seus serviços de videoconferência. Para a Autoridade, as informações fornecidas por essas empresas são animadoras. Nos próximos passos do processo, os signatários conjuntos irão se engajar ainda mais com essas empresas, buscando esclarecimentos adicionais sobre alguns pontos questionados e dando às empresas a oportunidade de demonstrar como alcançam, monitoram e validam as medidas estabelecidas em suas respostas.

Proteção de Dados nas Universidades

Responsabilidade civil na proteção de dados pessoais: construindo pontes entre a Lei Geral de Proteção de Dados Pessoais e o Código de Defesa do Consumidor

BIONI, Bruno. DIAS, Daniel.

O artigo aponta que a doutrina brasileira tem focado a sua atenção em responder essencialmente uma pergunta: se o regime da responsabilidade é objetivo ou subjetivo, mas, por mais relevante que isso seja, não é essa questão que deve pautar o debate. Para os autores, tal pergunta parece partir de uma premissa falsa de dualidade de regimes jurídicos de responsabilidade, objetiva ou subjetiva. Mais importante do que essa tentativa de classificação binária de responsabilidade, se objetiva ou subjetiva, é analisar mais de perto e, em detalhes, os elementos normativos que restringiriam ou alargariam a discussão de culpabilidade para fins de responsabilização no tratamento de dados pessoais. Concluem que, ainda que a LGPD tenha esculpido um regime de responsabilidade civil subjetiva, as barreiras para a deflagração do dever de indenizar foram substancialmente diminuídas.

WhatsApp Marketing: A Study on WhatsApp Brand Communication and the Role of Trust in Self-Disclosure

ZAROUALI, Brahim. BROSIUS, Anna. HELBERGER, Natali. VREESE, Claes H.

O artigo aponta que, recentemente, o WhatsApp permitiu que marcas comerciais iniciassem conversas de bate-papo privadas com usuários por meio de sua plataforma de mensagens diretas. Com mais de 1 bilhão de usuários, o artigo aponta para a importância de ter insights sobre a confiança dos usuários nas marcas e no WhatsApp, bem como sua disposição em divulgar informações pessoais para essas marcas. Para tanto, o estudo utiliza dados de uma pesquisa de representação nacional, que apontam para a conclusão de que a segurança percebida, a privacidade percebida e a sociabilidade percebida do WhatsApp como uma plataforma estão positivamente associadas à confiança em marcas na plataforma. Por sua vez, a confiança da marca influencia positivamente as intenções dos consumidores de divulgar informações às marcas no WhatsApp. Por fim, esses resultados também são comparados com o Facebook Messenger. O estudo aponta que existem diferenças significativas entre as duas plataformas de mensagens.

Proteção de Dados no Legislativo

Apresentado Projeto de Lei que dispõe sobre teletrabalho

O Projeto de Lei 5581/2020, apresentado pelo Deputado Federal Rodrigo Agostinho, dispõe sobre o teletrabalho, definindo o conceito de home office, e possui uma seção para a proteção da privacidade e dos dados pessoais, apontando que o empregador deve respeitar a privacidade e proteger os dados pessoais do teletrabalhador, além de determinar que o empregador poderá adotar monitoramento do teletrabalhador, por meios telemáticos e de controle da prestação de serviço com o acesso a imagens, sons e outros dados pessoais para os fins específicos da relação de trabalho, em especial para fins de segurança da informação, gestão do trabalho pelo empregador e para confirmar o cumprimento de obrigações contratuais e legais, desde que o empregador informe ao teletrabalhador sobre local, alcance, horário e formas de monitoramento, controle e uso dos dados pessoais; oriente o teletrabalhador sobre como manter a sua privacidade e intimidade diante do monitoramento realizado; e respeite adequadamente o direito à privacidade, à intimidade e à proteção de dados pessoais do teletrabalhador e de pessoas que habitem sua residência.

Compartilhar: