Seja bem-vind@ à 31ª edição do Boletim! Destacamos, nessa rodada, os pareceres conjuntos do European Data Protection Board (EDPB) e do European Data Protection Supervisor (EDPS) sobre as novas cláusulas […]
Seja bem-vind@ à 31ª edição do Boletim!
Destacamos, nessa rodada, os pareceres conjuntos do European Data Protection Board (EDPB) e do European Data Protection Supervisor (EDPS) sobre as novas cláusulas contratuais padrão para transferência internacional de dados pessoais e para elaboração de contratos entre controladores e operadores. Trata-se de documento para o qual havia muitas expectativas, já que fatores como a necessidade de adequação aos requisitos da GDPR e às decisões nos casos Schrems I e II, do TJUE, exigiram esclarecimentos e harmonização por parte das autoridades. O primeiro webinar da série ‘’LGPD em movimento: temas chave de implementação’’ foi, justamente, sobre os desafios relacionados à transferência internacional de dados pessoais e contou com a participação de especialistas nacionais e internacionais. Confira!
Ressaltamos, também, as notas das autoridades italiana e mexicana sobre a atualização da política de privacidade e dos termos de uso do Whatsapp, que gerou muitas repercussões na última semana, alertando para os potenciais riscos e a necessidade de compreensão dos termos por parte dos usuários. Salientamos a proposta da Autoridade mexicana de simplificar a compreensão, ponto-a-ponto, da nova política de privacidade, com destaque para a descrição dos dados que são coletados e compartilhados pela empresa.
Na seção “Proteção de Dados nas Universidades” frisamos a importância dos artigos selecionados “Tecnologias de perfilamento de dados agregados de geolocalização no combate à COVID-19 no Brasil” e “Os dados e o vírus”, duas novas contribuições para o debate jurídico acadêmico sobre as tecnologias adotadas para o combate à COVID-19 e as suas eventuais consequências e reflexões para o direito à proteção de dados pessoais dos cidadãos.
Desejamos à tod@s uma ótima leitura!
Bruno Bioni, Iasmine Favaro e Mariana Rielli
Proteção de Dados nas Autoridades
República Tcheca
Em outubro de 2020, foram proferidos dois acórdãos (C-623/17 e C-511/18) pelo Tribunal de Justiça da União Europeia, confirmando a jurisprudência de que poderia existir (i) armazenamento abrangente e indiscriminado de dados de tráfego e localização no caso de uma ameaça real e grave à segurança nacional; (ii) armazenamento direcionado de dados de tráfego e localização de certas categorias de pessoas, a fim de garantir a segurança nacional, combater a criminalidade grave e prevenir ameaças graves à segurança pública, com base em fatores objetivos e não discriminatórios, e (iii) implementação da retenção acelerada de dados de tráfego e localização, a fim de garantir a segurança nacional e o combate à criminalidade grave. Essas categorias são exceções à regra, estabelecida pelos julgados, de que não pode haver retenção preemptiva geral e indiscriminada de dados de comunicação, especialmente de tráfego e localização. A Autoridade tcheca apontou, diante disso, que consideraria apropriado estabelecer períodos de retenção de forma individual, de modo que fossem identificadas as finalidades específicas e também estabelecidos canais de comunicação especiais para diferentes tipos de caso.
Dinamarca
Como parte do trabalho da Autoridade para fortalecer a proteção de dados e a abordagem baseada no risco, foi lançada uma pesquisa realizada por meio de questionários aplicados a controladores (sete autoridades públicas e sete empresas), que deveriam buscar esclarecer a maturidade geral das entidades em áreas de segurança da informação. A avaliação da Autoridade é de que todos os controladores pesquisados têm um forte foco no trabalho com segurança da informação, incluindo, mas não se limitando ao aspecto da proteção de dados. Em vários casos, entretanto, a Autoridade avaliou que os controladores poderiam ter um foco maior no estabelecimento de planos de contingência.
European Data Protection Supervisor
EDPS realiza evento online “dados para o bem público: construindo um futuro digital mais saudável”
O evento será realizado no dia 25 de janeiro, e terá o objetivo de avaliar, em termos gerais, o impacto das medidas tomadas em resposta à pandemia da COVID-19 e identificar maneiras pelas quais os dados podem ser usados para lidar melhor com uma eventual próxima situação de necessidade e calamidade pública.
EDPS e EDPB adotam pareceres conjuntos sobre dois novos conjuntos de CCP
O EDPB e o EDPS adotaram pareceres conjuntos sobre dois conjuntos de cláusulas contratuais padrão: um parecer sobre as CCP para contratos entre controladores e operadores e outro sobre as CCP para a transferência de dados pessoais para países terceiros. Várias alterações foram solicitadas a fim de dar mais clareza ao texto e garantir sua utilidade prática nas operações do dia-a-dia dos controladores e operadores. Isso inclui a interação entre os dois documentos, a chamada “cláusula de encaixe”, que permite que entidades adicionais adiram às CCPs, e outros aspectos relacionados às obrigações dos operadores. Além disso, EDPB e EDPS sugerem que os Anexos às CCP esclareçam tanto quanto possível as funções e responsabilidades de cada uma das partes em relação a cada atividade de tratamento – qualquer ambiguidade tornaria mais difícil para os controladores e operadores cumprirem suas obrigações de acordo com o princípio da responsabilização e prestação de contas. As novas CCP para a transferência de dados pessoais para países terceiros, nos termos do art. 46 (2) da GDPR, substituirão as CCP existentes, que foram adotadas com base na Diretiva 95/46 e que precisam ser atualizadas conforme os requisitos da GDPR, também tendo em conta o Julgamento Schrems II do TJUE e para melhor refletir as operações de tratamento novas e mais complexas, muitas vezes envolvendo vários importadores e exportadores de dados. Em particular, as novas CCP incluem salvaguardas mais específicas no caso de a legislação do país de destino impactar o cumprimento das cláusulas, em particular no caso de pedidos vinculativos de autoridades públicas para divulgação de dados pessoais.
TechDispach #3/2020: Sistemas de Gerenciamento de Informações Pessoais
O EDPB publicou opinião sobre Sistemas de Gerenciamento de Informações Pessoais, esclarecendo que os chamados “PIMS” são novos produtos e serviços que ajudam os indivíduos a ter mais controle sobre seus dados pessoais. O PIMS permite que os indivíduos gerenciem seus dados pessoais em sistemas de armazenamento seguro, local ou online, e os compartilhem quando e com quem quiserem. Os indivíduos podem decidir quais serviços podem usar seus dados e quais terceiros podem compartilhá-los. Isso permite uma abordagem centrada no ser humano aos dados pessoais e a novos modelos de negócios, buscando evitar técnicas ilegais de rastreamento e criação de perfis que visam contornar os principais princípios de proteção de dados. Uma característica básica da ferramenta é que indivíduos, provedores de serviços e aplicativos precisam se autenticar para acessar um centro de armazenamento pessoal de dados, o que permite que as pessoas rastreiem quem teve acesso ao seu comportamento digital. Outros elementos geralmente comuns do PIMS são armazenamento seguro de dados, transferência segura de dados (entre sistemas e aplicativos) e interoperabilidade e portabilidade de dados.
França
O documento, elaborado pela CNIL e pelo Conselho Superior do Audiovisual (CSA), tem como finalidade atingir professores, que terão acesso a documentação exaustiva e ferramentas educacionais que permitam sensibilizar o público para os desafios da cidadania digital e, também, pais, adultos, jovens e até os mais novos, que encontrarão no documento várias ferramentas para melhor compreender os usos e supervisionar as suas práticas online. Os principais temas abordados são: (i) Direitos na Internet; (ii) Proteção da privacidade online; (iii) Respeito pela criação; e (iv) O uso racional e responsável de telas. Aqui você pode acessar o kit completo.
Em 12 de janeiro de 2021, a CNIL sancionou o Ministério do Interior por ter utilizado ilegalmente drones equipados com câmeras, em particular para fiscalizar o cumprimento das medidas de contenção da pandemia. Parecendo-lhe provável que o uso desses drones envolvesse o tratamento de dados pessoais, o presidente da CNIL enviou uma carta ao Ministério do Interior em abril de 2020, a fim de obter detalhes sobre estes dispositivos e suas características. Até o momento, aponta a Autoridade, nenhum texto autoriza o Ministério do Interior a usar drones equipados com câmeras que capturem imagens nas quais as pessoas sejam identificáveis. Da mesma forma, apontou a Autoridade, embora seja obrigatório, nenhuma avaliação de impacto foi comunicada à CNIL sobre a utilização dos drones. O público também não foi informado. Dessa forma, a Autoridade impôs uma sanção administrativa ao Ministério. A decisão completa pode ser acessada aqui.
CNIL publica resultados de inquérito e consulta pública sobre direitos digitais e menores
A CNIL organizou dois estudos: (i) uma pesquisa em fevereiro de 2020, com 1.000 pais e 500 crianças de 10 a 17 anos. Esta pesquisa focou nas práticas digitais de menores e a percepção que seus pais têm delas e (ii) uma consulta pública, publicada no seu site de abril a junho de 2020 e que recolheu cerca de 700 contribuições, de profissionais da educação, pessoas que trabalham na área da infância, empresas digitais ou mesmo profissionais jurídicos. Os resultados da pesquisa apontam que 82% das crianças de 10 a 14 anos afirmam que costumam ficar online sem os pais, contra 95% das crianças de 15 a 17 anos. Em média, 70% das crianças de todas as idades relatam assistir a vídeos apenas na Internet, um número que os pais minimizam. Pais de adolescentes de 15 a 17 anos estimam que o primeiro uso da web foi por volta dos 13 anos. Os pais de crianças de 8 a 9 anos relatam que elas se conectam à Internet sozinhas desde os 7 para jogar online ou assistir a vídeos. 46% dos pais de jovens de 8 a 17 anos implantaram soluções para monitorar a atividade dos filhos na Internet, mas a solução mais utilizada é a proibição de falar com estranhos na rede. Por fim, a pesquisa indica que os pais subestimam a frequência com que os jovens entre 10 e 14 anos jogam sozinhos online. Da mesma forma, muitas vezes não são informados de sua presença em uma rede social (mais da metade das crianças dessa faixa etária na pesquisa). Quanto à consulta pública, permitiu identificar duas tendências principais: (i) o desejo de que os menores ganhem autonomia e (ii) o desejo de fortalecer sua proteção online, dois elementos que, conforme sublinha o texto, não são contraditórios, mas se complementam.
CNIL multou empresa NESTOR por disparo de e-mails sem obtenção de consentimento
Desde 2017, 653.033 clientes potenciais receberam e-mails de prospecção da empresa sem consentimento. Tratava-se de pessoas que criaram uma conta no site ou aplicativo da empresa. mas não fizeram nenhum pedido, ou cujos dados foram coletados na Internet. Durante o procedimento, a empresa implementou medidas para realizar as alterações necessárias para adequar-se à legislação. A empresa indicou que deixará de recolher dados na Internet e colocará em prática um sistema de obtenção de consentimento para o envio de emails de prospecção quando da criação de uma conta no seu site e na sua aplicação. No entanto, o comitê responsável pelas sanções emitiu uma espécie de liminar contra a empresa para justificar a exclusão de todos os dados pessoais coletados sem o consentimento dos clientes potenciais. O formulário de coleta de dados pessoais usado para o registro no site da empresa não continha todas as informações exigidas pela GDPR e não fazia referência a uma página dedicada que contivesse as informações ausentes. A este respeito, a política de privacidade do site também era incompleta, geral e imprecisa. A empresa não cumpriu a obrigação de fornecer cópia dos dados pessoais que mantinha na sua base de dados, bem como informação relativa à origem desses dados, a duas pessoas que os solicitaram, respondendo parcialmente aos seus pedidos. A Autoridade multou a empresa em 20 mil euros e decidiu tornar pública a sua decisão. Ordenou ainda à empresa que procedesse à conformidade do seu tratamento com o CPCE e com o GDPR e que o justificasse no prazo de três meses a contar da notificação da deliberação, sob pena de 500 euros por dia de atraso.
Itália
Autoridade italiana publica nota sobre atualização do Whatsapp
A mensagem com a qual o Whatsapp alertou os seus usuários sobre as atualizações que serão efetuadas, a partir de 8 de fevereiro, nos termos de uso e política de privacidade – nomeadamente no que se refere ao compartilhamento de dados com outras empresas do grupo – e as informações sobre o tratamento que será dado ao seus dados pessoais não foram considerados claros e inteligíveis pela Autoridade, que indicou que devem ser avaliados cuidadosamente à luz dos regulamentos de proteção de dados. A Autoridade entendeu que, a partir das novas informações, não é possível perceber de forma clara quais as alterações introduzidas, nem compreender a integralidade do tratamento de dados pessoais e que a informação não parece, portanto, ser adequada para permitir que os usuários do Whatsapp expressem uma vontade livre e consciente.Após a enorme repercussão da atualização no Brasil e no mundo, a empresa decidiu prorrogar a atualização das políticas de privacidade e termos de uso para o dia 15 de maio. Alguns pedidos de cancelamento da atualização foram pedidos, por exemplo, pelo governo indiano, que apontou para “graves preocupações em relação à escolha e autonomia dos cidadãos indianos” em carta enviada à empresa.
Letônia
Os prestadores de serviço (instituições estaduais e municipais, empresas privadas, organizações) muitas vezes desejam obter informações para proteger seus funcionários e clientes, mas a Autoridade afirmou que não há base legal e necessidade para exigir que as pessoas forneçam obrigatoriamente confirmação de que não estiveram no exterior ou que não contataram alguma pessoa infectada com COVID-19. A Autoridade afirmou que se a organização em questão desejar e considerar necessário, pode atingir o mesmo objetivo – limitar a propagação da infecção Covid-19 – sem tomar depoimentos de indivíduos, mas informando-os sobre suas responsabilidades, levando em consideração as decisões tomadas pelo Ministério da Saúde, autoridades competentes e decretos regulamentares.
Polônia
Universidade multada por não notificar Autoridade sobre violação de dados
As informações e a descrição da reclamação revelaram que os alunos foram identificados durante os exames realizados no final de maio de 2020 por meio de videoconferência. Após o exame, as gravações ficaram disponíveis não apenas para os participantes do exame, mas também para outras pessoas que tiveram acesso ao sistema. Além disso, por meio de um link direto, qualquer terceiro poderia ter acesso às gravações do exame e aos dados dos alunos examinados, apresentados durante a identificação. Como as informações preliminares indicavam que poderia haver um alto risco para os direitos e liberdades das pessoas que realizaram o exame, a Autoridade solicitou ao controlador que esclarecesse a situação. Em resposta à carta, a Universidade argumentou que não era necessário notificar a Autoridade em relação à violação, pois em sua opinião o risco para os direitos ou liberdades das pessoas afetadas pelo incidente era baixo. A Autoridade constatou que houve uma violação da proteção de dados e que o responsável pelo tratamento não cumpriu as obrigações relacionadas à notificação, inclusive das pessoas afetadas pela violação. Tais obrigações surgem quando, devido à violação, existe um alto risco para os direitos ou liberdades das pessoas afetadas e a Autoridade considerou que o controlador, no caso, avaliou incorretamente o risco envolvido. Dessa forma, aplicou multa de 25 mil euros à Universidade.
Noruega
Autoridade norueguesa multa loja por compartilhamento ilegal de imagens de câmera de vigilância
O gerente da loja em questão filmou imagens de vigilância com um telefone celular e compartilhou o filme posteriormente. O filme se espalhou rapidamente na internet. A Autoridade afirmou que qualquer tratamento de dados pessoais requer uma base legal. Depois de investigar o caso, a avaliação da Autoridade é que a loja Coop Finnmark não tinha uma base legal para o compartilhamento da filmagem do monitoramento pelo gerente da loja. Ressalta-se que a filmagem da câmera mostrou crianças, e que a divulgação apresenta um risco potencialmente grande para sua privacidade. A Autoridade decidiu, então, multar a loja em 400 mil coroas norueguesas.
EDPB
EDPB adota diretrizes sobre exemplos de notificação de violação de dados
O EDPB adotou orientações sobre exemplos de notificação de violação de dados. Estas diretrizes complementam a orientação do WP 29 sobre o tema, introduzindo mais recomendações para a prática. Elas visam ajudar os controladores a decidir como lidar com violações e quais fatores devem ser considerados durante a avaliação de risco. As diretrizes contêm um inventário de casos de notificação de violação de dados considerados mais comuns pelas autoridades supervisoras nacionais, como ataques de ransomware; ataques de exfiltração de dados; e dispositivos e documentos em papel perdidos ou roubados. As diretrizes apresentam as boas ou más práticas mais típicas por categoria, além de fornecer conselhos sobre como os riscos devem ser identificados e avaliados. As diretrizes estão abertas para consulta pública pelo período de seis semanas.
Reino Unido
ICO e Comissão Nacional de Privacidade das Filipinas assinam Memorando de Entendimento (MOU)
O MOU, assinado virtualmente, estabelece o compromisso da Autoridade britânica e da Autoridade filipina em promover uma colaboração e cooperação mais estreitas na proteção de dados nas duas jurisdições. Sob o MOU, as duas autoridades irão buscar a cooperação regulatória necessária para apoiar suas economias baseadas em dados e proteger os direitos fundamentais dos cidadãos de cada jurisdição. O documento estabelece uma base de trabalho reforçada para que as duas autoridades avancem em questões de interesse regulatório mútuo.
Funcionária de empresa automotiva é condenada à prisão em processo aberto pelo ICO
Kim Doyle, que trabalhava para o RAC, transferiu dados pessoais para uma empresa de gerenciamento de sinistros sem autorização. A ré admitiu ser culpada de acusações de conspiração para garantir acesso não autorizado a dados de computador e venda de dados pessoais obtidos ilegalmente, em uma audiência em janeiro de 2020. A funcionária compilou listas de dados de acidentes de trânsito, incluindo nomes parciais, números de telefone celular e números de registro, apesar de não ter permissão de seus empregadores. Com isso, foi condenada a 8 meses de prisão.
Estados Unidos
Em sua reclamação , a FTC alega que a empresa Flo prometeu manter os dados de saúde dos usuários privados e apenas usá-los para fornecer os serviços do aplicativo. Na verdade, de acordo com a reclamação, Flo divulgou dados de saúde de milhões de usuários de seu aplicativo Flo Period & Ovulation Tracker para terceiros que forneceram serviços de marketing e analytics para o aplicativo, incluindo a divisão de analytics do Facebook, do Google, AppsFlyer e Flurry. De acordo com a denúncia, a Flo divulgou informações de saúde sensíveis, como a gravidez de uma usuária, a terceiros na forma de “eventos de app”, que são dados do app transferidos a terceiros por diversos motivos. Além disso, a empresa não limitou como terceiros poderiam usar esses dados de saúde. A FTC também alega que a Flo violou as estruturas EU-US Privacy Shield e Swiss-US Privacy Shield, que, entre outras coisas, exigem proteção de dados pessoais transferidos a terceiros. Como parte do acordo proposto, a empresa está proibida de deturpar, na comunicação com os usuários e autoridades, os fins para os quais ela ou as entidades a quem divulga os dados coletam, mantêm, usam ou divulgam os dados; quanto os consumidores podem controlar o uso desses dados; sua conformidade com qualquer programa de privacidade, segurança ou compliance; e como ela coleta, mantém, usa, divulga, exclui ou protege as informações pessoais dos usuários. Além disso, deve notificar os usuários afetados sobre a divulgação de suas informações pessoais e instruir qualquer terceiro que recebeu informações de saúde dos usuários para eliminar esses dados. O acordo estará sujeito a comentários públicos por 30 dias após a publicação no Federal Register, após o qual a Comissão decidirá se deve torná-lo definitivo.
Em sua denúncia , a FTC alega que, em fevereiro de 2017, o Everalbum lançou um novo recurso no aplicativo Ever, chamado “Friends”, que usava tecnologia de reconhecimento facial para agrupar as fotos dos usuários pelos rostos das pessoas que nelas apareciam e permitia que usuários “marcassem” as pessoas pelo nome. A Everalbum supostamente habilitou o reconhecimento facial por padrão para todos os usuários de aplicativos móveis quando lançou o recurso. A reclamação da FTC alega que a aplicação de reconhecimento facial da Everalbum às fotos dos usuários do aplicativo Ever não se limitou a fornecer o recurso Friends. Entre setembro de 2017 e agosto de 2019, a empresa combinou milhões de imagens faciais que extraiu das fotos dos usuários Ever com imagens faciais que obteve de conjuntos de dados disponíveis publicamente para criar quatro conjuntos de dados usados no desenvolvimento de sua tecnologia de reconhecimento facial. Como parte do acordo proposto, a Everalbum, Inc. deve obter o consentimento expresso dos consumidores antes de usar a tecnologia de reconhecimento facial em suas fotos e vídeos. O acordo proposto também exige que a empresa exclua modelos e algoritmos que desenvolveu usando as fotos e vídeos enviados por seus usuários. “Usando o reconhecimento facial, as empresas podem transformar fotos de seus entes queridos em dados biométricos confidenciais”, disse Andrew Smith, diretor do setor de proteção ao consumidor da FTC. “Garantir que as empresas cumpram suas promessas aos clientes sobre como usam e manipulam dados biométricos continuará a ser uma alta prioridade para a FTC.”.
México
A Autoridade aponta que ao aceitar os termos, os usuários permitirão que o WhatsApp compartilhe certos dados com provedores de serviços de tecnologia como Facebook ou terceiros; mesmo que o usuário não tenha uma conta no Facebook, a empresa e suas subsidiárias podem coletar informações de contas, números de telefone, mensagens e até transações. Como contribuição, a Autoridade realizou uma revisão da política de privacidade, apontando que (i) na seção denominada “Informações que coletamos”, fica estabelecido que o WhatsApp poderá coletar ‘’informações adicionais’’ para fornecer funcionalidades opcionais, sem especificar quais são essas funções e que tipo de dados serão coletados, mencionando que, quando aplicável, informarão o usuário sobre a natureza dos dados e para que fins essas novas informações serão usadas; (ii) a seção “Informações que você nos fornece” descreve os dados que os usuários devem fornecer para usar o aplicativo; é detalhado que o usuário pode compartilhar informações sobre os números de telefone de seus contatos e, no caso de utilizar serviços de pagamento, compras ou outras transações financeiras, fica estabelecido que o WhatsApp processará informações adicionais que incluem dados sobre transações, contas e forma de pagamento; (iii) a seção “Informações coletadas automaticamente” indica que serão obtidos dados e registros sobre a utilização do serviço e as opções utilizadas como mensagens, ligações, status, grupos, empresas ou pagamentos e a foto do perfil. A seção também informa quais dados são coletados sobre o dispositivo e a conexão, a localização do usuário e quando as opções relacionadas a esses dados são usadas. E (iv) a seção “Informações de terceiros” estabelece como trabalhar em conjunto com fornecedores externos, serviços de terceiros e outras empresas do Facebook. Embora se observe que o WhatsApp recebe e compartilha informações com outras empresas, as medidas de segurança para proteger as informações compartilhadas não estão claramente definidas.
Argentina
Autoridade Argentina faz ranking de empresas mais multadas em 2020
O ranking mostra que os três primeiros lugares são de empresas de telecomunicações, multadas por práticas de marketing abusivo, incluindo o descumprimento do Registro Nacional ‘’Não Ligue’’. As sanções impostas às empresas chegam a 78 milhões de pesos. São elas: 1. Telefónica Móviles Argentina SA (Movistar), 2. Telecom Argentina SA (Pessoal) e 3. AMX Argentina SA (Claro) e DIRECTV Argentina SA.
Chile
Autoridade chilena analisa circulação de conteúdo falso ou manipulado nas redes sociais
Diante do número significativo de processos eleitorais entre 2021 e 2022, a Autoridade organizou uma discussão sobre o impacto que pode ter a circulação de informações falsas, manipuladas ou enganosas nas redes sociais e os riscos que isso implica para a legitimidade desses processos e da democracia. A chefe da Autoridade, Gloria de la Fuente, contextualizou o fenômeno, referindo-se a uma crise de confiança nas instituições –incluindo os meios de comunicação, que possuem protocolos de verificação-, ao aumento do uso das redes sociais e da Internet pelos chilenos e a mudanças nas formas de geração e consumo de informação. De la Fuente destacou que a desinformação pode ser abordada de vários ângulos, entre eles o binômio liberdade de expressão x limitação de mensagens de ódio e o uso de big data ou dados de forma massiva, o que instala uma discussão a respeito do proteção de dados pessoais e as lacunas de uma lei que não foi modernizada desde 1999.
Peru
A Autoridade fiscalizou 305 entidades públicas e privadas, gerando 277 laudos finais de fiscalização. Deles derivaram uma centena de procedimentos sancionatórios administrativos (PAS) e a emissão de semelhante número de medidas corretivas, que, quando implementadas pelos órgãos fiscalizadores, evitaram a constituição de um PAS e a aplicação de multas. Foram processadas 142 reclamações, o que representa um acréscimo de 178% em relação ao ano anterior. Da mesma forma, foram emitidas mais de 100 resoluções sobre procedimentos sancionatórios entre a primeira e a segunda instância. Durante 2020, foram aplicadas 829 multas (3.564.700 Soles). Nota-se, também, que mais de uma centena de entidades corrigiram seus comportamentos infratores desde a fase de inspeção. Entre as entidades sancionadas por mau tratamento de dados pessoais estão bancos, clínicas, universidades, supermercados, redes sociais, agências de risco de crédito, entre outros. Uma entidade financeira, por exemplo, foi sancionada por 40 infrações, por ter desrespeitado o dever de confidencialidade ao não implementar as medidas de segurança necessárias para salvaguardar os dados pessoais de seus clientes, o que gerou violações de segurança. Da mesma forma, a Autoridade sancionou diversas entidades pelo descumprimento da obtenção do consentimento válido ou do dever/direito de informar.
Proteção de Dados nas Universidades
Tecnologias de perfilamento de dados agregados de geolocalização no combate à COVID-19 no Brasil
MENDES, Laura Schertel. MACHADO, Diego Carvalho.
O trabalho visa analisar os riscos à privacidade e à proteção de dados pessoais – nas suas dimensões individual e coletiva – gerados pelo perfilamento baseado no uso de dados agregados de geolocalização de dispositivos móveis, buscando investigar a existência de parâmetros normativos encontrados na Lei Geral de Proteção de Dados (LGPD) aplicáveis aos riscos identificados. Para tanto, o artigo propõe as seguintes questões de pesquisa: (i) quais riscos aos direitos fundamentais à privacidade e à proteção de dados pessoais as tecnologias de perfilamento baseadas no uso de dados agregados de geolocalização de dispositivos móveis geram, nos níveis individual e coletivo, na luta contra a pandemia de COVID-19 no Brasil? (ii) a LGPD prevê parâmetros normativos aplicáveis a fim de lidar com esses riscos, em especial a grupos criados a partir de sistemas algorítmicos? Neste contexto, o artigo propõe a afirmação da dimensão coletiva dos direitos à privacidade e à proteção de dados pessoais. Os riscos detectados a ambos direitos são o de reidentificação dos usuários de dispositivos móveis por ataques inferenciais (membership inference attacks) e de desvirtuamento de função e finalidade originária do tratamento dos dados. A fim de lidar com tais riscos, o artigo sugere uma interpretação sistemática de parâmetros normativos da LGPD, que tratam de perfilamento automatizado e de relatório de impacto à proteção de dados pessoais.
ZANATTA, Rafael A. BIONI, Bruno. KELLER, Clara I. FAVARO, Iasmine.
O artigo apresenta os principais achados do projeto de pesquisa “Os Dados e o Vírus” (que acompanhou e documentou a utilização de tecnologias da informação e de comunicação – TICs para o combate à pandemia da Covid-19). Considerando que esses usos fomentaram o debate sobre a legitimidade dessas tecnologias, o artigo também oferece uma análise, voltada para o caso brasileiro, sobre como o quadro institucional da proteção de dados no país foi afetado pela pauta. São descritas as principais tecnologias baseadas em coleta e tratamento de dados utilizadas em nível global e os principais exemplos de adoção no Brasil. Foram abordadas também as tensões judiciais provocadas por esse usos e pelas tentativas de compartilhamento de dados pessoais no contexto da Covid-19 (Ação Popular nº 1019257-34.2020.8.26.0053 e da ADI 6387). Em seguida, foram analisados os impactos desses debates e ações judiciais sobre a matéria de proteção de dados no país. Dentre as conclusões, destaca-se o fortalecimento desse quadro institucional, contrariando as preocupações iniciais de que o avanço das tecnologias em questão o enfraquecesse.
Proteção de Dados no Judiciário
Decisão em Recurso Extraordinário com Agravo 649.379, interposto pela empresa Universo Online S/A. O Relator Ministro Gilmar Mendes, em seu voto, apontou que se compreende por dados quaisquer informações armazenadas pelas empresas públicas e privadas que digam respeito à vida privada do consumidor. A data de vencimento de cobranças, objeto do caso em discussão, estaria, para o Relator, ligada à intimidade do consumidor. A determinação de exibição da data de pagamento na parte externa das cartas de cobrança é, nesse contexto, forma de exposição indevida do indivíduo, que acaba por ter informações pessoais disponibilizadas a terceiros, inclusive o fato de que está a receber um boleto de cobrança – e não uma simples correspondência. O relator ainda apontou que “sabe-se que a proteção aos dados decorre da inviolabilidade da intimidade e da vida privada. Mesmo sem uma previsão expressa, ‘é possível extrair-se da Constituição Federal um verdadeiro direito fundamental à proteção de dados pessoais’ (MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor. São Paulo: Saraiva, 2014. p. 172)”, consolidando, mais uma vez, o caráter fundamental do direito à proteção de dados pessoais.
