Bem-vind@ a mais uma edição do Boletim! Nesta edição destacamos os dois documentos publicados pela Autoridade Nacional de Proteção de Dados brasileira, com planejamento estratégico para os anos de 2021, […]
Bem-vind@ a mais uma edição do Boletim!
Nesta edição destacamos os dois documentos publicados pela Autoridade Nacional de Proteção de Dados brasileira, com planejamento estratégico para os anos de 2021, 2022 e 2023, além da agenda regulatória bianual para 2021 e 2022. Os documentos contêm objetivos e princípios norteadores de extrema relevância para a atividade do órgão, especialmente nos primeiros anos de implementação da Lei Geral de Proteção de Dados.
Frisamos, também, as orientações publicadas pela Autoridade de Proteção de Dados dinamarquesa sobre quando e de que forma os cidadãos ou organizações devem compartilhar informações pessoais com a polícia, garantindo que haja segurança e proporcionalidade no compartilhamento de dados para fins de segurança pública ou investigação criminal.
Salientamos também o relatório elaborado pela Associação Data Privacy Brasil de Pesquisa, sobre a base legal do legítimo interesse na Lei Geral de Proteção de Dados. O documento tem como objetivo responder algumas questões que permanecem incertas no âmbito interpretativo da base legal, e ainda fornece uma série de ferramentas e caminhos para a aplicação e uso adequado do legítimo interesse, uma das – se não a mais – controversa base legal da Lei Geral de Proteção de Dados.
Desejamos a tod@s uma ótima leitura!
Bruno Bioni, Iasmine Favaro e Mariana Rielli
Proteção de Dados nas Autoridades
Brasil
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no dia 01 de fevereiro, o seu Planejamento Estratégico para 2021-2023. O documento apresenta os avanços que a ANPD pretende alcançar, tendo definido três objetivos estratégicos: (i) promover o fortalecimento da cultura de proteção de dados pessoais; (ii) estabelecer o ambiente normativo eficaz para a proteção de dados pessoais; e (iii) aprimorar as condições para o cumprimento das competências legais. O documento contém breve explicação sobre como se constrói a estrutura da Autoridade, seu corpo diretor e Conselho Nacional de Proteção de Dados e, nas ações estratégicas, define vários ‘’horizontes temporais’’, como por exemplo, o prazo de até dois anos para detectar infrações à LGPD e também para elaborar guias e recomendações sobre proteção de dados.
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no dia 28 de janeiro, a Portaria nº 11 de 2021, que torna pública a agenda regulatória aprovada pelo Conselho Diretor em sua primeira reunião deliberativa do dia 20 de janeiro de 2021. A publicação da Portaria se insere nas atividades da Autoridade no âmbito da semana internacional de proteção de dados e privacidade. A agenda, que vale para os dois próximos anos, elenca 10 temas prioritários para esse período de vigência, estabelecendo se serão regulados por portaria, resolução ou eventual orientação por guia de boas práticas. O anexo apresenta, ainda, o prazo previsto para o início do processo de regulamentação dos temas, dividindo o lapso temporal em três fases distintas.
Dinamarca
Autoridade dinamarquesa transfere caso do TikTok para a Irlanda
Em junho, a Autoridade dinamarquesa iniciou um processo contra a mídia social TikTok para investigar a segurança no tratamento de dados pessoais do serviço. Desde então, a TikTok declarou que se estabelece na Europa com sede na Irlanda, e a Autoridade irlandesa informou que a TikTok está, de fato, sediada nesse país. A Autoridade dinamarquesa irá, portanto – de acordo com as regras do GDPR – transferir o caso para a Autoridade de Proteção de Dados da Irlanda. “O estabelecimento na Irlanda significa que a supervisão irlandesa é agora o que é chamado de autoridade de supervisão líder em relação à TikTok. Desde que iniciamos a investigação dinamarquesa, temos participado em estreita cooperação com outras autoridades de supervisão europeias, que realizaram investigações semelhantes sobre a TikTok. Em outras palavras, tem havido muita pressão sobre a TikTok de vários países”, diz o advogado e especialista em segurança de TI da Autoridade dinamarquesa, Allan Frank.
Na noite de domingo, a empresa BT notificou que funcionários da Medicals Nordic, que realizam testes rápidos, foram instruídos a usar um grupo do WhatsApp para lidar com informações sobre os cidadãos que tiveram resultado positivo no teste. Com isso como ponto de partida, a Autoridade dinamarquesa passou a investigar uma série de questões – incluindo, por exemplo, quem é o controlador, se os dados pessoais foram divulgados e se existem medidas de segurança adequadas. “As informações sobre a saúde do cidadão são informações pessoais sensíveis e exigem um nível de proteção mais elevado. Basicamente, se você for testado para COVID-19, as informações sobre os resultados devem ser tratadas de forma confidencial e apenas compartilhadas com as partes interessadas. Veja se este é o caso neste caso”, disse o especialista em segurança de TI e advogado da Autoridade, Allan Frank.
Segundo a Autoridade, é importante enfatizar que quando a polícia, em conexão com uma investigação específica, entra em contato com um ator privado ou autoridade pública com o objetivo de obter informações relevantes – incluindo dados pessoais – pode-se atender com segurança ao pedido. O documento traz diversos exemplos de situações em que organizações privadas podem receber a solicitação de informações, como de câmeras de vigilância, e o que devem fazer para garantir que esses dados estejam sendo compartilhados de maneira adequada e que não ocorra vazamento de informações de outras pessoas envolvidas. O documento também aponta quais informações a pessoa ou entidade solicitada deve requerer da polícia, como informações sobre o inquérito, decisões judiciais que embasem o pedido, etc.
O Regulamento Geral de Proteção de Dados, vigente desde maio de 2018, propõe um novo nível de multas significativamente aumentado, e o regulamento exige que os Estados-Membro harmonizem as sanções. Há, segundo a Autoridade, a necessidade de elaborar algumas diretrizes gerais que contenham uma clara e transparente base para a recomendação de multas, que se baseie nos critérios de avaliação estabelecidos na própria GDPR. O guia é um documento de trabalho que será expandido continuamente na medida em que a Autoridade dinamarquesa e a promotoria e os tribunais tratarem de outros casos na área e à medida que a prática, tanto a nível nacional como na UE, se desenvolver.
França
Entre junho de 2018 e janeiro de 2020, a CNIL recebeu dezenas de notificações de violações de dados pessoais relacionadas a um site no qual vários milhões de clientes fazem compras regularmente. A CNIL decidiu efetuar verificações quanto ao controlador e seu subcontratado, o operador a quem foi confiada a gestão deste site. Durante suas investigações, a CNIL observou que o site em questão havia sofrido várias ondas de ataques de empastamentodecredenciais. Nesse tipo de ataque, um invasor obtém listas de identificadores e senhas “claras” postadas na Internet, geralmente como resultado de uma violação de dados. Assumindo que os usuários costumam usar a mesma senha e o mesmo identificador (endereço de e-mail) para serviços diferentes, o invasor irá, graças aos “bots”, tentar um grande número de conexões com sites. Quando a autenticação é bem sucedida, permite-lhe ver as informações associadas às contas em questão. A CNIL observou que os invasores puderam assim obter as seguintes informações: sobrenome, nome, endereço de e-mail e data de nascimento dos clientes, mas também número e saldo do cartão de fidelidade e informações relacionadas aos seus pedidos. A comissão restrita – órgão da CNIL competente para a aplicação das sanções – considerou que as duas empresas não cumpriram a obrigação de preservar a segurança dos dados pessoais dos clientes, prevista no artigo 32.º do GDPR. Para a Autoridade, as empresas têm demorado a adotar medidas para combater com eficácia esses ataques repetidos. Eles decidiram concentrar sua estratégia de resposta no desenvolvimento de uma ferramenta para detectar e bloquear ataques lançados por robôs. No entanto, o desenvolvimento desta ferramenta demorou um ano desde os primeiros ataques. Consequentemente, a comissão restrita aplicou duas multas distintas – 150.000 euros contra o controlador e 75.000 euros contra o subcontratante – operador – relativamente às respectivas responsabilidades.
Alemanha
Autoridade alemã critica governo federal pela não implementação da diretiva JI da UE
O diretor da Autoridade, Professor Ulrich Kelber, exige que o Governo Federal implemente integralmente a Diretiva 2016/680 (Diretiva JI) à legislação nacional. A Diretiva regula a proteção de dados que deve ser observada pelas autoridades na prevenção, investigação, detenção ou repressão de infrações penais ou execução de penas. Ulrich Kelber critica o atraso causado pelo legislador nacional: ‘’Os estados membros da UE se comprometeram a promulgar todas as leis necessárias para harmonizar seus sistemas à Diretiva até 6 de maio de 2018. A Alemanha excedeu esse prazo em mil dias. Só posso reclamar de violações de proteção de dados na Polícia Federal e na Investigação Aduaneira. Sem leis nacionais, não tenho poderes de aplicação eficazes. Isso mina a legitimidade democrática da supervisão da proteção de dados e das autoridades responsáveis pela aplicação da lei ao mesmo tempo.’’ A Autoridade alemã informou que recebeu a minuta de uma nova lei da polícia federal, no entanto, isso não chegou ao Bundestag (parlamento alemão).
Itália
O acesso ao TikTok na Itália foi bloqueado para usuários que não podem provar sua idade definitivamente após a trágica morte de uma jovem que participava de um “desafio de apagão”. De acordo com o The Guardian, os promotores italianos abriram uma investigação e a Itália bloqueou temporariamente o acesso ao TikTok para usuários “cuja idade não pôde ser provada definitivamente”. O relatório observa que a Autoridade Italiana de Proteção de Dados bloqueou o TikTok até 15 de fevereiro, com efeito imediato, até que as exigências do regulador sejam atendidas.
Holanda
Novas diretrizes europeias sobre relatórios de violações de dados
O Conselho Europeu de Proteção de Dados (EDPB) estabeleceu novas diretrizes sobre relatórios de violação de dados. As diretrizes ajudam as organizações com as medidas que devem tomar em caso de violação de dados. As diretrizes contêm uma lista de tipos comuns de vazamentos de dados, como ataques de ransomware e equipamento perdido ou roubado. Para cada categoria, são indicadas quais medidas uma organização deve tomar com antecedência e quais medidas a organização deve tomar após o incidente. O documento também indica quando uma organização deve notificar o órgão supervisor. Além disso, o EDPB enfatiza brevemente nas diretrizes uma série de outros aspectos relativos à obrigação de relatar vazamentos de dados, mesmo que a investigação sobre o impacto total da violação de dados ainda não tenha sido concluída.
Autoridade holandesa exige esclarecimentos do Ministério da Saúde quanto a vazamento de dados
Uma investigação do noticiário RTL mostrou que houve comércio em larga escala de dados pessoais de milhões de holandeses, originários dos dois principais sistemas de testagem do coronavírus do GGD. Os dados dizem respeito a endereços, números de telefone, números de segurança social e resultados de testes. A Autoridade holandesa imediatamente solicitou esclarecimentos ao GGD (Ministério), e afirmou que o órgão deve informar bem e rapidamente os cidadãos sobre o incidente, inclusive por meio do site e da abertura de uma linha de informação. A Autoridade aponta que todas as organizações – não apenas o governo – devem fazer da segurança dos dados pessoais uma prioridade. Seu mote é: quanto mais você faz com os dados, maiores são os riscos e, portanto, mais alto deve ser o nível de proteção de dados. As informações sobre a saúde de uma pessoa são sensíveis e o Regulamento Geral de Proteção de Dados (GDPR), portanto, estipula que estes devem receber um nível adicional de proteção.
Noruega
Autoridade norueguesa multa aplicativo de relacionamentos Grindr
A conclusão preliminar da Autoridade é que o Grindr requer consentimento para compartilhar determinadas informações pessoais e que o consentimento do Grindr não era válido. Além disso, a Autoridade acredita que o usuário do Grindr compartilha uma categoria de informações pessoais confidenciais que devem ser protegidas porque dizem algo sobre a orientação sexual da pessoa. Os usuários não tinham condições de exercer controle real sobre a divulgação de suas próprias informações pessoais. Bjørn Erik Thon, diretor da Autoridade, aponta que modelos de negócios que envolvem forçar o usuário a consentir com algo, e sem explicar bem com o que concorda, não estão de acordo com a lei. A multa aplicada foi de 100 milhões de coroas norueguesas, o equivalente a 10% do rendimento da empresa.
Reino Unido
O Information Commissioner’s Office (ICO) emitiu multas totalizando £ 480.000 a quatro empresas diferentes por fazerem ligações ilegais para números registrados no Telephone Preference Service (TPS). Chameleon Marketing (HI) Ltd de Leeds; Rancom Security Limited com sede em Sutton Coldfield; A Repair & Assure Limited de Redhill e Solar Style Solutions Limited em Stockton on Tees fizeram 2,4 milhões de ligações ilegais, resultando em mais de 250 reclamações para a ICO e o TPS.
ICO apoia projetos inovadores de compartilhamento de dados para proteger pessoas vulneráveis
O ICO Sandbox selecionou três serviços inovadores de compartilhamento de dados com o objetivo de ajudar aqueles que são vulneráveis aos danos do jogo online, apoiando homens e mulheres na obtenção do atendimento de que precisam, e uma plataforma para ajudar a lutar contra os cibercriminosos. Agora em seu terceiro ano, o ICO Sandbox é um serviço gratuito projetado para ajudar as organizações a explorar novas maneiras de usar dados pessoais, ao mesmo tempo em que garante que as proteções e salvaguardas apropriadas estejam em vigor. O Sandbox está atualmente se concentrando em projetos que apoiam o compartilhamento de dados complexos no interesse público. Embora muitas pessoas gostem de jogar sem sofrer danos, há evidências claras de que esse não é o caso para todos. À medida que a tecnologia se desenvolve no espaço online, tornou-se aparente que novas oportunidades estão surgindo para aumentar significativamente a proteção do público e dos jogadores contra os danos relacionados ao jogo. Uma grande oportunidade foi identificada pela Gambling Commission na forma de desenvolvimento de uma Visão Única do Cliente (SCV) para jogadores online. O SCV permitirá que os dados que já existem sobre os comportamentos dos jogadores sejam agregados de uma maneira segura e controlada para conduzir a uma melhor tomada de decisão, ações e avaliações sobre a proteção do jogador em todos os provedores de jogos de azar online. A Comissão reconhece que existe um risco em torno de qualquer nova forma de utilização de dados e, por isso, está a trabalhar com a ICO para garantir que o SCV seja entregue de uma forma que coloca a segurança dos dados e os interesses do público e dos jogadores como prioridade absoluta.
México
Autoridade mexicana publica nota sobre a importância da proteção de dados no contexto eleitoral
É imprescindível garantir o direito à proteção dos dados pessoais nos processos eleitorais, apontaram Norma Julieta del Río Venegas e Adrián Alcalá Méndez, Comissários do Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI), ao participar da Declaração para a Proteção de Dados Pessoais durante o processo eleitoral 2020-2021 no estado de Guanajuato. Venegas afirmou que o cumprimento da lei eleitoral e a proteção dos dados pessoais devem estar em perfeita harmonia e obter a autorização do titular dos dados pessoais para o tratamento dos seus dados. Ele enfatizou que é necessário ter os Avisos de Privacidade e colocá-los à disposição das pessoas físicas. “Uma tarefa dos partidos políticos: independentemente de como a lei o estabeleça, seria muito bom que fossem feitos estes Avisos de Privacidade, principalmente gráficos, porque, insisto, são 92 milhões de cidadãos, dos quais terão, ambos os órgãos eleitorais e os partidos políticos, dados pessoais ”, disse a Comissária. Sublinhou que os cidadãos que se consideram afetados pela utilização dos seus dados pessoais ou têm conhecimento de alegadas violações das obrigações previstas nos regulamentos que regem o direito à proteção dos dados pessoais, poderão submeter ao INAI ou aos órgãos fiadores dos entes federativos, conforme o caso, reclamação contra o responsável.
Chile
Numa primeira fase, o Conselho – através da Direção de Estudos – e o GobLab, estão realizando um levantamento de informações que permitirá conhecer a existência e utilização deste tipo de tecnologia em diferentes departamentos do setor público, com o objetivo de gerar um cadastro e, posteriormente, numa segunda fase, propor recomendações para a implementação das melhores práticas que permitam o cumprimento do regulamento. A Presidente da Autoridade chilena, Gloria de la Fuente, destacou que “a automatização das decisões torna imprescindível abordar tanto a geração e coleta de dados, como a forma como são tratados e geridos, visto que este processo pode deflagrar ou não de uma série de riscos importantes que, se não tratados de forma tempestiva e responsável, podem ser discriminatórios e gerar importantes assimetrias de informação, uma vez que os dados que são selecionados e a forma como são tratados podem replicar vieses, estereótipos e preconceitos das pessoas que os selecionam no mundo físico, repetindo assim essas discriminações em seus resultados ”. A Autoridade ainda aponta que, com diferentes níveis de complexidade e autonomia, os sistemas automatizados de decisão são sistemas orientados para a melhor gestão pública. O uso de tecnologias de reconhecimento facial; priorização de listas de espera em saúde; a inteligência artificial dos sistemas de saúde; O direcionamento de intervenções sociais e a atribuição de vagas em escolas públicas fazem parte das diversas iniciativas públicas de automatização de processos e de incorporação de sistemas de ciência de dados ou inteligência artificial baseados em algoritmos ou decisões automatizadas que visam apoiar a administração.
Proteção de Dados nas Universidades
SILVA, Lorena. FRANQUEIRA, Bruna. HARTMANN, Ivar.
Com o avanço do uso de tecnologia de reconhecimento facial para fins de segurança pública em diversos países da América Latina, os efeitos discriminatórios ou danosos a outras garantias individuais provocados pelo emprego desses sistemas tornaram-se evidentes. As incertezas quanto à magnitude do potencial negativo do monitoramento biométrico em espaços públicos, bem como a opacidade decorrente do uso da inteligência artificial, fazem com que seja necessário compreender qual o atual cenário de garantias legais frente a esse novo instrumento de vigilância. O artigo pretende investigar qual a situação regulatória do uso de tecnologias de reconhecimento facial no campo da segurança em países da América Latina que possuem, pelo menos, legislação de proteção de dados pessoais. Além de apresentar casos de uso de tecnologia de reconhecimento facial na Argentina, Brasil, Chile Colômbia, Costa Rica, México, Nicarágua, Panamá, Peru, República Dominicana e Uruguai, foram verificadas normas de abrangência nacional que eventualmente regulam esse uso ou se conectam diretamente com o tema, bem como leis sobre tratamento de dados pessoais por órgãos públicos, videovigilância e segurança pública.
O LEGÍTIMO INTERESSE NA LGPD: QUADRO GERAL E EXEMPLOS DE APLICAÇÃO
BIONI, Bruno. RIELLI, Mariana. KITAYAMA, Marina.
O objetivo do relatório é, primordialmente, explorar o DNA e a anatomia da base legal do legítimo interesse, conforme prevista na Lei nº 13.709/LGPD. Algumas questões que despertaram o interesse na construção do documento foram: quando a figura do legítimo interesse apareceu no radar dos legisladores e quem foram os atores que movimentaram o debate que culminou na versão final do texto? Quais eram os interesses que precisaram ser harmonizados ao longo desse processo e como isso se reflete na interpretação do legítimo interesse? É obrigatória a realização de um teste de proporcionalidade – no direito europeu conhecido como Legitimate Interest Assessment/LIA – como uma espécie de registro especial dessa operação de tratamento de dados? Se sim, esse teste deve ser objeto de publicidade? As condicionantes traçadas no artigo 10 da LGPD são cumulativas e governam também a aplicação do interesse legítimo de terceiro e não apenas do controlador? A partir dessa base, o relatório fornece caminhos, enraizados na cultura jurídico-brasileira e com base em uma hermenêutica não apenas literal-gramatical do texto da LGPD, para a compreensão da base legal e alguns de seus aspectos mais sensíveis e até polêmicos.
Proteção de Dados no Judiciário
TJSP decide pela manutenção de avisos de não fornecimento de CPF em farmácias
O Tribunal de Justiça de São Paulo indeferiu o pedido da Agravante Abrafarma (Associação Brasileira de Redes de Farmácias e Drogarias) contra o Agravado Estado de São Paulo. No Agravo de Instrumento Nº 2004898-90.2021.8.26.0000, o Magistrado Jarbas Gomes decidiu que não haveria ilegalidade em se colocar um aviso nas farmácias com os dizeres “PROIBIDA A EXIGÊNCIA DO CPF NO ATO DA COMPRA QUE CONDICIONA A CONCESSÃO DE DETERMINADAS PROMOÇÕES” determinada pelo Estado de São Paulo. O desembargador afirmou que “é oportuno lembrar que o consumidor tem direito à informação clara e precisa sobre produtos e serviços e o fornecedor, o dever de fornecê-las, nos termos do artigo 6º inciso III do Código de Defesa do Consumidor. Assim, em abstrato, não há como se concluir que haja benefício ao consumidor em se autorizar que lhe sejam fornecidas menos informações sobre como serão tratados seus dados pessoais. Está ausente a probabilidade do direito e, menos ainda, há se falar em perigo de dano de difícil reparação às associadas da autora, que não permite que se aguarde manifestação da parte contrária e incursão no mérito. Aliás, tal argumento da autora, a contrario sensu, apenas corrobora a conclusão de que a omissão de informações claras sobre a forma como serão tratados os dados pessoais (CPF) dos consumidores que é o que se pretende, pela pretensão de eximir-se de afixar avisos nas lojas, nos termos do art. 2º da Lei Estadual apenas atende a seu (da autora) próprio interesse e não dos consumidores, sendo, assim, contraditório com sua própria tese de que o pedido é benéfico a estes”.
