Bem vind@ a mais uma edição do Boletim! Nesta semana, o destaque vai para a atuação da autoridade francesa, que publicou nota técnica sobre cibersegurança e o uso de cookies […]
Bem vind@ a mais uma edição do Boletim!
Nesta semana, o destaque vai para a atuação da autoridade francesa, que publicou nota técnica sobre cibersegurança e o uso de cookies nos sites utilizados por diversos setores, com especial atenção aos dados de saúde, considerando o atual contexto e digitalização do setor. Os cuidados exigidos pela Autoridade, que dão seguimento a iniciativas de 2020, buscam evitar situações como a relatada em uma segunda nota da CNIL: conforme a nota, houve recente violação de dados de saúde de mais de 500 mil pessoas. De acordo com os resultados preliminares, sugere-se que o vazamento tenha tido origem em laboratórios de análises médicas.
No Brasil, destaca-se a apresentação de dois projetos de lei relativos à proteção de dados. De um lado, o PL nº 766/2021, apresentado pelo Deputado Federal Nereu Crispim, do PSL no RS, propõe regular o exercício da telemedicina, com mais definições acerca da atividade e atenção ao papel da ANPD na proteção de dados pessoais na área. De outro, o PL nº 578/2021, proposto pela Deputada Federal Erika Kokay (PT-DF) busca modificar a LGPD para suprimir o inciso I-A do artigo 65, assim promovendo aplicação imediata das penas previstas pela lei.
Frisamos, também, o texto do European Data Protection board sobre o papel da proteção de dados para a democracia em sociedades da era digital. Além de abordar diferentes desafios, como dark patterns e tecnologias emergentes, os tópicos são analisados por personalidades de destaque na proteção de dados na Europa e no mundo.
Desejamos a tod@s uma ótima leitura!
Bruno Bioni, Iasmine Favaro e Mariana Rielli
Proteção de Dados nas Autoridades
República Tcheca
No que se refere à questão da divulgação de dados pessoais de partes em processos judiciais, a Autoridade apontou que a necessidade e a eficácia da divulgação mudam nas diferentes fases dos processos judiciais. “Isso significa, por exemplo, que é mais fácil encontrar argumentos para a divulgação temporária de dados pessoais de partes no curso de processos, com o objetivo de informar o público, do que para a divulgação dos mesmos dados pessoais após o término do processo“, afirmou a Autoridade. O documento responde a questões que chamam a atenção para as práticas frequentemente diferentes dos tribunais nesta matéria.
Dinamarca
Com base em uma reclamação previamente submetida à Autoridade, o órgão criticou o fato de a Statistics Denmark não ter atualizado a informação de que um cidadão não queria participar das pesquisas voluntárias do órgão. A Statistics Denmark afirmou, sobre o caso, que mantém uma lista interna de cidadãos que não desejam participar nos inquéritos voluntários da Statistics Denmark, e que o cidadão deveria ter sido adicionado à lista, mas que isso não aconteceu devido a um erro interno. A Autoridade entendeu que o órgão ainda teria autoridade para processar informações sobre o cidadão, mas criticou o fato de que não incluiu o cidadão na lista de pessoas que não gostariam de participar das pesquisas realizadas.
European Data Protection Supervisor (EDPS)
Texto de blog: “Sociedades democráticas na era digital: qual o papel da proteção de dados?”Opinião do EDPS sobre o Digital Services Act e Digital Markets Act
O texto, baseado numa série de podcasts organizados pelo European Data Protection Supervisor e pelo European Data Protection Board, fala sobre diferentes pontos, como a vigilância em massa e reconhecimento facial, dark patterns e manipulação online e tecnologias emergentes, destacando desafios futuros. Dentre os convidados a falar sobre os tópicos estão Gabriela Zanfir-Fortuna, Jared Brown, Harry Brignull e Ella Jakubowska, personalidades ilustres no debate da proteção de dados na Europa e no mundo.
EDPS publica Opinião sobre a conclusão do acordo comercial entre UE e Reino Unido e o acordo de intercâmbio de informações classificadas entre UE e Reino Unido
Em 26 de dezembro de 2020, a Comissão Europeia adotou uma proposta de Decisão de Conselho relativa à celebração, em nome da União, do Acordo de Comércio e Cooperação entre a União Europeia e a Comunidade Europeia de Energia Atômica, de um lado, e o Reino Unido da Grã-Bretanha e Irlanda do Norte, do outro, bem como do Acordo entre a União Europeia e o Reino Unido da Grã-Bretanha e Irlanda do Norte sobre os procedimentos de segurança para o intercâmbio e proteção de informações classificadas. O EDPS está ciente das condições específicas em que estes acordos foram negociados e das relações específicas, passadas e futuras, entre o Reino Unido e a UE.
No que diz respeito às disposições sobre comércio, a Autoridade lamentou que o Acordo de Comércio e Cooperação não tenha cumprido fielmente as “disposições horizontais da UE sobre fluxos de dados transfronteiriços e proteção de dados pessoais e privacidade no Título de Comércio Digital dos acordos comerciais da UE” aprovadas pela Comissão Europeia em 2018. Com efeito, as alterações introduzidas nestas disposições horizontais, combinadas com outras disposições do TCA, colocam em causa, no domínio do comércio digital, a preservação da autonomia da UE no que diz respeito aos direitos fundamentais à proteção de dados e privacidade.
Há muito, afirmou a Autoridade, considera que, sendo a proteção dos dados pessoais um direito fundamental na União, não pode ser objeto de negociações no contexto dos acordos comerciais da UE. Caberia apenas à UE, portanto, decidir como implementar as proteções dos direitos fundamentais no seu direito interno. No parecer, a Autoridade afirmou que a UE não pode e não deve assumir quaisquer compromissos comerciais internacionais que sejam incompatíveis com a sua legislação em matéria de proteção de dados.
França
CNIL publica nota sobre cibersegurança, dados de saúde e cookies
A nota afirma que as falhas de segurança de sites estão entre as violações mais comuns observadas durante as inspeções e podem levar a incidentes de segurança (2.825 notificações recebidas em 2020, ou 24% a mais do que em 2019). Nesse sentido, é objetivo da Autoridade controlar o nível de segurança dos sites franceses mais utilizados nos diferentes setores. A Autoridade afirmou que será dada atenção mais particular às formas de coleta de dados pessoais, à utilização do protocolo HTTPS e ao cumprimento, pelos agentes, da recomendação da CNIL sobre senhas.
Além disso, a CNIL afirmou que, no atual contexto da saúde e tendo em conta os desafios cada vez maiores ligados à digitalização do setor da saúde (gestão do acesso aos processos informatizados dos doentes nos estabelecimentos de saúde, plataformas para agendamento de consultas médicas online, gestão dos incidentes de segurança de dados pessoais nos estabelecimentos de saúde, etc.), a Autoridade deseja continuar seus controles iniciados em 2020.
Quanto ao uso de cookies, a Autoridade apontou que a discussão sobre o tema foi iniciada em 2020 para garantir o cumprimento das obrigações em termos de direcionamento publicitário e definição de perfis dos utilizadores da Internet. As verificações irão continuar, segundo a CNIL, com um alargamento a partir de abril de 2021.
A CNIL foi informada pela mídia sobre a publicação de um arquivo contendo dados médicos de cerca de 500 mil pessoas. Os resultados preliminares parecem indicar que foi, de fato, um incidente de magnitude e gravidade particularmente significativas, sugerindo-se que os dados pudessem ter vindo de laboratórios de análises médicas. A CNIL recorda que os responsáveis pelo tratamento dos dados têm a obrigação de garantir a sua segurança, além de tratá-los de forma proporcional aos riscos, em particular, para os dados sensíveis, como os dados de saúde.
Alemanha
Autoridade alemã afirma que o uso responsável de dados digitais é um requisito básico para liberdade e prosperidade
Cento e cinquenta especialistas da ciência, negócios e sociedade civil desenvolveram um guia para o uso responsável de dados digitais no projeto DiDaT, financiado pelo Ministério Federal da Educação e Pesquisa. As recomendações foram registradas em um white paper que foi entregue esta semana pelos gerentes de projeto ao Professor Ulrich Kelber, Diretor da Autoridade alemã. O Professor Wolf-Dieter Lukas, Secretário de Estado do Ministério Federal da Educação e Pesquisa, comentou sobre a entrega do White Paper da seguinte forma: “Considero o uso responsável de dados digitais um dos principais requisitos para uma vida com liberdade e prosperidade na Alemanha e na Europa. As empresas e instituições de pesquisa, em particular, precisam de acesso confiável aos dados digitais. Dados digitais, muitas vezes altamente personalizados, são um ativo extremamente sensível que precisa ser protegido em uma ordem jurídica livre e democrática. Para isso, precisamos de mais soluções que permitam o uso de dados digitais para aplicações inovadoras e preservem a soberania dos dados de cada indivíduo, neutralizando efeitos colaterais sociais negativos. O projeto DiDaT dá uma importante contribuição para o debate em um momento em que a digitalização está penetrando todas as áreas da vida.”
Holanda
No texto escrito pelo diretor da Autoridade, Aleid Wolfsen, afirma-se que as pessoas frequentemente sofrem danos emocionais como resultado do manuseio descuidado de dados pessoais. E indaga-se: “as vítimas não têm direito a receber pelo dano causado?”. Para Wolfsen, essa é uma questão relevante, porque o direito à proteção dos dados pessoais é uma das liberdades mais importantes desta época. Afinal, em uma sociedade que está se digitalizando em um ritmo acelerado, esse direito também confere proteção extra a muitos outros direitos e valores fundamentais, tais como o direito à privacidade, liberdade de crença, eleições justas e igualdade de tratamento. E com todos os dados sendo coletados, perfis e tomadas de decisão não transparentes por algoritmos estão à espreita, com todos os riscos associados. As violações deste direito fundamental específico são, portanto, violações clássicas de direitos. Dessa forma, o diretor aponta que, para a vítima, uma indenização pessoal pode ser mais útil do que uma multa aplicada pela Autoridade. O texto também propõe que as indenizações variem de acordo com a sensibilidade dos dados e com a capacidade do praticante da violação de adotar salvaguardas.
ICO multa empresas por enviarem mais de 2,7 milhões de mensagens de texto de spam durante a pandemia
Duas empresas diferentes que enviaram mensagens de texto consideradas incômodas durante a pandemia da Covid-19 foram multadas em um total de £ 330.000 pelo ICO. A Autoridade multou a Leads Works Ltd de West Sussex em £ 250.000 por enviar mais de 2,6 milhões de mensagens de texto a clientes sem seu consentimento válido e multou uma empresa de Manchester em £ 80.000 pelo mesmo motivo, após reclamações do público. Descobriu-se que a empresa enviou mais de 95.000 mensagens de texto de junho a julho de 2020 sem a permissão dos destinatários.
EUA
A Federal Trade Commission (FTC) sediará um workshop virtual em 29 de abril de 2021 para examinar os “padrões escuros” digitais, um termo que tem sido usado para descrever uma variedade de designs de interface de usuário potencialmente manipuladores usados em sites e aplicativos móveis. O evento irá explorar as maneiras pelas quais as interfaces de usuário podem ter o efeito, intencionalmente ou não, de obscurecer, subverter ou prejudicar a autonomia do consumidor, sua tomada de decisão ou escolha. Por exemplo, alguns sites colocam itens extras no carrinho de compras online do consumidor ou exigem que os usuários naveguem por um labirinto de telas e perguntas confusas para evitar a cobrança por produtos ou serviços indesejados. Além disso, a FTC está buscando pesquisas, recomendações para tópicos de discussão e solicitações de painelistas antes do workshop. A FTC também publicará uma solicitação específica de comentários relacionados aos padrões escuros. Os comentários devem ser enviados até 29 de junho de 2021.
Argentina
Autoridade argentina publica guia sobre acesso à informação, dados pessoais e vacinação
A Autoridade comunicou uma série de critérios sobre como devem ser tratados os dados das pessoas vacinadas contra o coronavírus. Para a Autoridade, quando um indíviduo vinculado pela Lei de Acesso à Informação argentina entrega ou publica qualquer informação que contenha dados pessoais de forma proativa ou mediante um pedido de acesso a informações públicas, isso constitui uma transferência de dados pessoais feita “sob uma obrigação legal” (art. 1 da Lei 27.275; e art. 5, subseção 2 (b) e art. 11, subseções 3 (a) e 3 (b) da Lei 25.326 sobre Proteção de Dados Pessoais). No entanto, consolidou a Autoridade, face a uma colisão de direitos, é necessária uma análise do interesse público, que deve ser feita de forma casuística. Em cada caso, o risco relacionado à privacidade que pode se materializar com a publicação ou não de dados pessoais pode ser diferente, bem como o interesse público que determinada informação possa ter. A Autoridade explicou, ainda, como os princípios previstos em lei devem ser seguidos e de que forma a divulgação de dados referentes à vacinação deve ser feita.
Chile
Lacunas de conhecimento e baixa institucionalização de procedimentos e mecanismos de proteção de dados pessoais no setor estatal são identificados por servidores públicos em suas organizações, segundo parte das evidências produzidas pelo IX Estudo de Percepção de Funcionários Públicos do Conselho de Transparência sobre o Direito de acesso à informação e proteção de dados pessoais. Estes resultados contrastam com o consenso existente entre os funcionários do Estado sobre a importância de fazer cumprir os direitos associados ao tratamento, gestão e salvaguarda adequada das informações pessoais dos cidadãos. Também foram identificados baixos níveis de treinamento em questões de proteção de dados pessoais, com 3 em cada 10 funcionários afirmando tê-los recebido. A pesquisa também apontou diferenças com base em hierarquia, sendo os dirigentes com cargos gerenciais os que declararam ter maior conhecimento sobre os mecanismos ou procedimentos de proteção de dados dentro da instituição. Foi identificada uma tendência semelhante no que diz respeito ao conhecimento que os funcionários têm da lei de proteção de dados pessoais.
Proteção de Dados nas Universidades
SOLOVE, Daniel. CITRON, Danielle.
Este artigo faz duas contribuições centrais. O primeiro é a construção de um roteiro para que os tribunais entendam os danos relacionados à privacidade e possam abordá-los e corrigi-los de maneira significativa. Há vários tipos de danos à privacidade diferentes, que até o momento foram reconhecidos pelos tribunais de maneiras inconsistentes. A segunda contribuição é fornecer uma abordagem para quando o dano à privacidade deve ser exigido como condição para uma condenação. Em muitos casos, o dano em si é irrelevante para o propósito da ação. Atualmente, litígios de privacidade sofrem com o desalinhamento entre os objetivos e soluções fornecidas pela lei. O artigo defende que a lei deve ser guiada pela questão essencial: quando e como a regulamentação da privacidade deve ser aplicada? E oferece uma abordagem que busca alinhar as metas de aplicação com as soluções apropriadas.
Compliance with Brazil’s New Data Privacy Legislation: What U.S. Companies Need to Know
PASSOS, Khyara F.
O escopo prático deste artigo pressupõe que o leitor já esteja familiarizado com as leis de privacidade da UE e esteja procurando uma boa fonte de informações sobre as leis brasileiras de privacidade. Embora muitas empresas já estejam bem avançadas na avaliação de suas atividades de processamento de dados em relação à GDPR, elas também podem precisar se tornar compatíveis com a LGPD, o que pode significar a instituição de vários novos requisitos. Em linhas gerais, este artigo explica, de uma perspectiva legal e de compliance, as diferenças existentes entre a GDPR e a LGPD, os mecanismos de aplicação, o que as empresas precisam saber para se tornarem conformes às leis brasileiras, bem como os efeitos das violações da LGPD, suas definições importantes e quais entidades estão sujeitas a ela.
Proteção de Dados no Legislativo
O Projeto de Lei nº 766/2021, apresentado pelo Deputado Federal Nereu Crispim, do PSL no Rio Grande do Sul, propõe regular o exercício da telemedicina, determinando o que está dentro do escopo da atividade, quais princípios e salvaguardas devem ser adotados e definindo que, no que tange a regulamentação específica à proteção de dados pessoais, cabe à Autoridade Nacional de Proteção de Dados se posicionar. Atualmente o PL está aguardando despacho do Presidente.
Apresentado Projeto de Lei que altera a LGPD para implementar a aplicação imediata das penalidades
Apresentado pela Deputada Federal Erika Kokay, do PT do Distrito Federal, o Projeto de Lei nº 578/2021 propõe a supressão do inciso I-A do artigo 65 da Lei Geral de Proteção de Dados, para que haja a aplicação imediata das penalidades previstas pela Lei. A justificação aponta que a conformidade com a LGPD será um diferencial para as organizações, por promover a credibilidade pelo uso responsável de dados pessoais e pelo respeito à privacidade de clientes e parceiros. Por esta razão, o adiamento da vigência repercutiu muito mal na sociedade brasileira, e foi atribuído, em parte, à dificuldade ou demora em se criar a Autoridade que irá regular o tema, em especial diante das urgências impostas pela pandemia do Coronavírus. Para a legisladora, de acordo com os juristas, os sucessivos adiamentos na vigência da LGPD no Brasil não apenas tornam sanções inócuas, como também fazem com que a sociedade como um todo assista ao atraso na adaptação dos processos e ritos implementados pela lei. Atualmente o PL está na Mesa Diretora.
Proteção de Dados no Judiciário
Processo nº 2033246-21.2021.8.26.0000 – DJSP, caderno 2, 2ª instância, p. 1647
Recentemente, o Tribunal de Justiça de São Paulo debruçou-se sobre a questão da violação de dados da administração pública por acesso não autorizado a documentos e processos administrativos e tráfico de influência. No caso, alega-se que um magistrado com atuação no município de Caieiras influenciou o prefeito a autorizar um amigo íntimo do juiz, sem qualquer vínculo com o município, a realizar auditoria nas finanças da cidade, a fim de promover o vazamento de informações sensíveis. O magistrado teria indicado o amigo a diversas perícias com o objetivo de promover um dossiê clandestino para subsidiar propositura de ações contra adversários e empresas indesejadas contratadas pela Prefeitura de Caieiras, assim favorecendo associados e parceiros de negócios. Dentre as informações para a formação ilegal do dossiê, estariam acesso a saldos bancários, movimentação financeira, dados protegidos por senha e interesses reservados da municipalidade por sigilo fiscal, contriariando responsabilidade sobre a segurança de informação, princípios da Administração Pública consolidados no art. 37 da CF e art. 6º, I, da LGPD. A decisão do TJSP, no entanto, afastou a competência para julgar a ação, observando a Constituição do Estado de São Paulo.
