Seja bem vind@ a mais uma edição do Boletim! Nesta 35ª edição, destacamos a publicação do Regimento Interno da ANPD no Diário Oficial da União. Esse é um documento importante […]
Seja bem vind@ a mais uma edição do Boletim!
Nesta 35ª edição, destacamos a publicação do Regimento Interno da ANPD no Diário Oficial da União. Esse é um documento importante para a compreensão da dinâmica interna do órgão e da distribuição das competências a ele conferidas.
Salientamos, também, as publicações das DPAs dinamarquesa e irlandesa quanto à publicação de dados pessoais de crianças e adolescentes em redes sociais e o tratamento de dados destas por provedores da internet. Na decisão da DPA dinamarquesa, consolidou-se a ideia de que, para a publicação de fotos de crianças e adolescentes nas redes sociais, deve-se haver a coleta do consentimento prévio dos responsáveis e, também, apontou-se que as publicações de imagens em redes sociais devem observar um ciclo de vida previamente delimitado, especialmente se forem publicados por alguma prestadora de serviços. Na publicação da Autoridade irlandesa, há uma série de princípios e salvaguardas que devem ser seguidos pelos agentes ao realizarem atividades de tratamento de dados pessoais de crianças e adolescentes, como por exemplo, a necessidade de se expressar em linguagem acessível e adequada à idade do titular informações sobre os tratamentos realizados, entre outras medidas.
No Poder Legislativo, foram apresentados dois projetos de lei ligados ao aumento da eficiência dos serviços públicos a partir do uso de tecnologias. Um pretende as “cidades inteligentes” e outro regulamenta o uso de inteligência artificial, ambos temas de fronteira, que ganham novos contornos frente ao contexto da pandemia da COVID-19 e carregam implicações importantes para a privacidade e proteção de dados.
Desejamos a tod@s uma ótima leitura!
Bruno Bioni, Iasmine Favaro e Mariana Rielli
Proteção de Dados nas Autoridades
Brasil
Regimento interno da Autoridade Nacional de Proteção de Dados é publicado no Diário Oficial da União
A Portaria nº 01, de 8 de março de 2021, foi publicada no dia 09 do mesmo mês após ser aprovada pelo Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) e traz as competências e a organização da Autoridade. Miriam Wimmer, diretora conselheira da Autoridade, aponta que o publicação do Regimento Interno é uma etapa essencial não apenas para organizar os procedimentos de trabalho da ANPD, mas também para dar transparência e previsibilidade sobre os processos de tomada de decisão, sobre o papel de cada unidade organizacional e sobre as formas de relacionamento da sociedade com a Autoridade.
O Presidente da Autoridade Nacional de Proteção de Dados, Waldemar Gonçalves, e a Secretária da Secretaria Nacional do Consumidor (SENACON/MJSP), Juliana Domingues, assinaram, no dia 22 de março, o Acordo de Cooperação Técnica destinado à proteção de dados dos consumidores. Um dos objetivos é dar maior agilidade nas investigações de incidentes de segurança. Para isso, a Senacon/MJSP passará a compartilhar informações coletadas sobre as reclamações de consumidores relacionadas à proteção de dados pessoais e formalizou um Núcleo, dentro do Conselho Nacional de Defesa do Consumidor, para tratar dessa convergência com a Autoridade. A ANPD, por sua vez, fixará as interpretações necessárias à aplicação da Lei Geral de Proteção de Dados (LGPD) nos casos concretos.
Dinamarca
Nova decisão sobre o dever de fornecer informações das entidades de saúde que testam para a COVID-19
Em março de 2021, a Autoridade dinamarquesa concluiu uma auditoria de três provedores que oferecem testes de COVID-19 sem agendamento prévio. As inspeções investigaram a conformidade dos fornecedores com as regras da GDPR, incluindo a previsão de que as informações fornecidas ao titular dos dados devem ser entregues de forma concisa, transparente, fácil de compreender e em linguagem clara e simples. A Autoridade concluiu que a observância do dever de informação pelos fornecedores estava de acordo com a normativa, mas a um dos prestadores foi recomendado que se complementasse o seu comunicado aos cidadãos, transmitido no momento do recebimento do resultado do exame.
Nova decisão sobre publicação de fotos de festas de crianças e adolescentes em redes sociais
A Autoridade investigou a publicação de fotos na página do Facebook da empresa Epic Booking. A auditoria constatou, entre outras coisas, que várias imagens foram tratadas em violação das regras de proteção de dados aplicáveis. Segundo a Autoridade, um grande número de fotos – quase 500.000 -, especialmente de crianças e jovens, podia ser encontrado no Facebook da empresa. A Autoridade concluiu que o consentimento dado pelas pessoas para as fotos não correspondia suficientemente aos requisitos de que um consentimento deve ser informado, específico e livre e também concluiu que a empresa não cumpriu as regras relativas ao fornecimento de informações adequadas sobre o tratamento. Além disso, a Autoridade considerou que era contrário ao princípio da limitação de armazenamento que a Epic Booking não tivesse definido um prazo de exclusão específico. A falta de um prazo para exclusão significava que as imagens seriam basicamente mantidas públicas por tempo indefinido. Com base nisso, a Autoridade avaliou que um período máximo de 60 dias seria suficiente para atender às necessidades dos clientes de acesso às imagens e definiu o prazo de exclusão das imagens.
European Data Protection Supervisor (EDPS)
EDPS publicou comentários à proposta de “pacote” para área da saúde na União Europeia
A Autoridade recomenda que sejam incluídas na proposta, que cria disposições transfronteiriças sobre como lidar com situações emergenciais de saúde, também previsões específicas sobre a aplicação da legislação em matéria de proteção de dados. Da mesma forma, defende que o papel das entidades submetidas à legislação de proteção de dados deve ser coberto pela proposta. Mais especificamente sobre o processamento de ‘dados de saúde eletrônicos fora dos estudos clínicos’ e ‘dados em tempo real’, uma definição clara dos ‘dados gerados fora do escopo dos ensaios clínicos’ deve ser incluída; e o significado de “dados do mundo real” deve ser esclarecido, especificando, pelo menos, exemplos do tipo de dados em questão e a finalidade para a qual esses dados serão usados. Além disso, quanto à criação de um Centro Europeu de Prevenção e Controle de Doenças, recomenda que as categorias de pessoas que terão seus dados pessoais tratados devem ser claramente demarcadas, juntamente com uma descrição das medidas específicas para proteger os direitos e liberdades das pessoas envolvidas, em conformidade com a legislação de proteção de dados e, ainda, que sejam identificadas claramente as situações em que as tarefas, no âmbito da competência do Centro, implicarão o tratamento de dados pessoais, criando um mecanismo de governança de dados forte que exija a identificação clara dos principais intervenientes no tratamento de dados pessoais. No documento, a Autoridade ainda afirma que, dados os riscos potenciais associados à utilização de sistemas de vigilância e inteligência artificial, recomenda-se que o ECDC realize um Relatório de Impacto à Proteção de Dados pessoais (RIPD) antes da implantação de uma plataforma digital.
No seu parecer publicado em 11 de março de 2021, a EDPS acolheu favoravelmente a Proposta de Diretiva SRI 2.0, que visa substituir a diretiva existente relativa à segurança das redes e dos sistemas de informação (SRI). O objetivo da Proposta é harmonizar e fortalecer as práticas de segurança cibernética em toda a União Europeia (UE) e ela faz parte da estratégia de cibersegurança da UE para garantir uma Internet global e aberta com salvaguardas sólidas para atenuar os riscos para os direitos fundamentais das pessoas, incluindo o direito à proteção de dados. O parecer da Autoridade inclui observações e recomendações sobre a estratégia e a diretiva proposta. O EDPS sublinha também que a utilização da criptografia, em particular da criptografia de ponta a ponta, é crucial. Para a Autoridade, a criptografia é uma tecnologia insubstituível para proteger os dados pessoais dos indivíduos e o direito à privacidade e, portanto, qualquer enfraquecimento ou evasão de criptografia (por exemplo, usando backdoors obrigatórios, depósito de chave obrigatório e canais de comunicação ocultos) esvaziaria completamente o mecanismo de qualquer capacidade de proteção eficaz e resultaria em uma perda de confiança. A proposta de diretiva deve, portanto, ser clara: nada na proposta deve ser interpretado como um endosso ao enfraquecimento da criptografia de ponta a ponta através de “backdoors” ou soluções semelhantes.
França
Recebida uma reclamação, a CNIL questionou, no dia 12 de março, a empresa americana Alpha Exploration CO., Inc., editora do aplicativo “Clubhouse”, sobre as medidas tomadas para cumprir a GDPR. A CNIL abriu, assim, um inquérito e procedeu a verificações iniciais que revelaram que a empresa em questão não tem estabelecimento na União Europeia. No entanto, segundo o órgão, as autoridades europeias comunicam-se entre si sobre este ponto, a fim de trocar informações e garantir a aplicação consistente do Regulamento. A investigação deve permitir verificar se ele é aplicável à empresa e, em caso positivo, determinar se vem sendo desrespeitado e como. Além disso, uma petição reunindo até a data do comunicado mais de dez mil assinaturas está circulando para alertar a CNIL sobre possíveis violações de privacidade pelo aplicativo Clubhouse.
CNIL publica parecer sobre decreto relativo à utilização de vídeo inteligente para medição do uso de máscaras no transporte público
Na França, desde 10 de março de 2021, operadoras e gestores de serviços de transporte público podem usar câmeras inteligentes para medir a taxa de uso de máscara no contexto de crise de saúde pública. Eles podem, portanto, usar dispositivos dessa natureza para: (i) produzir avaliações estatísticas sobre o cumprimento da obrigação de usar máscara e (ii) adaptar suas informações e ações de conscientização pública. A CNIL nota, no seu parecer, que estes dispositivos não se destinam, por outro lado, a impor sanções diante de infrações à regulamentação relativa ao uso de máscaras. Em junho de 2020, a CNIL alertou sobre a implantação de dispositivos desse tipo fora de qualquer marco legal, tendo insistido na necessidade de estes dispositivos serem objeto de um enquadramento textual adequado, nomeadamente nos casos em que o direito de oposição não possa ser efetivamente exercido. No seu parecer, a CNIL considerou que os novos dispositivos têm objetivos de saúde pública, mas devem também se adequar aos regulamentos de proteção de dados pessoais. A Autoridade ainda recorda que a captação e análise sistemática das imagens das pessoas trazem riscos para os direitos e liberdades e apresentam, em particular, o risco de generalizar um sentimento de vigilância entre os cidadãos, de criar um fenômeno de habituação e de banalização de tecnologias intrusivas. Neste contexto, a CNIL insistiu na importância da implementação de garantias que justifiquem a eventual limitação dos direitos das pessoas em causa. Por fim, lembrou, no seu parecer, que os dispositivos visados no projeto de decreto não têm por objeto, nem podem permitir tecnicamente, a identificação direta e imediata de pessoas. Eles não se destinam, portanto, a tratar dados biométricos e, a priori, não constituem um dispositivo de reconhecimento facial.
Irlanda
Autoridade irlandesa publica guia para proteção de dados pessoais de crianças
Cinco princípios fundamentais do guia publicado são, dentre outros: 1. Piso de proteção: os provedores de serviços online devem fornecer um “piso” de proteção para todos os usuários, a menos que adotem uma abordagem baseada em risco para verificar a idade de seus usuários, de modo que as proteções estabelecidas no guia sejam efetivamente aplicadas a todo o tratamento de dados de crianças; 2. Consentimento inequívoco: Quando uma criança dá consentimento para o processamento de seus dados, esse consentimento deve ser dado livremente, específico, informado e inequívoco, feito por meio de uma declaração clara ou ação afirmativa; 3. Interferência zero: se você está contando com interesses legítimos como base legal para o processamento de dados pessoais de crianças, é necessário garantir que esses interesses legítimos não interfiram, entrem em conflito ou afetem negativamente, em qualquer nível, os melhores interesses da criança; 4. Conheça o seu público: os provedores de serviços online devem tomar medidas para identificar seus usuários e garantir que os serviços direcionados, destinados ou com probabilidade de acesso por crianças tenham medidas de proteção de dados específicas para crianças em vigor; 5. Informação em todos os casos: as crianças têm o direito de receber informações sobre o tratamento dos seus próprios dados pessoais, independentemente da base jurídica em que se baseiam. Este é mesmo o caso quando o consentimento foi dado por um dos pais em seu nome para o processamento de seus dados pessoais. No documento, também é apontado que o melhor interesse da criança deve ser uma consideração chave em qualquer RIPD e deve superar seus interesses comerciais ou de terceiros.
Holanda
Autoridade holandesa recebe 75 relatórios de violação de dados após vazamento em servidores Microsoft Exchange
A Autoridade informou ao público que, nas últimas semanas, recebeu 75 relatórios de vazamentos de dados ocorridos em organizações que usam o Microsoft Exchange Server para receber e enviar e-mails. O National Cyber Security Center (NCSC) relatou que pelo menos mil e duzentos servidores holandeses que executam o Microsoft Exchange foram infectados. A Autoridade, nesse sentido, alertou que teme que haja muito mais problemas do que apenas os 75 relatórios de violação de dados recebidos e encorajou as organizações a verificarem seus sistemas.
México
Autoridade mexicana publica nota apontando que instituições bancárias devem tomar o máximo de precauções para usar a geolocalização de seus clientes e usuários
Em 17 de março, a Associação de Bancos do México informou que, para fazer uso dos serviços prestados pelos bancos por meio dos canais digitais, os clientes e usuários deverão fornecer o consentimento para o tratamento de dados de geolocalização. A Autoridade afirmou que o tratamento de dados de geolocalização só será possível com o consentimento dos clientes e usuários e que os usuários que tiverem seus dados de geolocalização tratados sem consentimento prévio, deverão abrir uma denúncia contra a instituição bancária em questão junto à Autoridade.
Proteção de Dados nas Universidades
Internet das Coisas e blockchain no Sistema Único de Saúde: a proteção de dados sensíveis diante da Lei Geral de Proteção de Dados
CAMARA, Maria. LINS, Gabriel. OLIVEIRA, Fábio. CAMELO, Evellyn. MEDEIROS, Nataly.
O artigo aponta as fragilidades quanto à privacidade de usuários do SUS e propõe uma solução teórica, ainda a ser testada a partir de uma infraestrutura pautada em armazenamento pessoal de dados – personal data stores (PDS), em inglês – ou, a partir da segurança da blockchain. Para tanto, realiza revisão narrativa da literatura nacional e internacional relacionados a instrumentos, políticas e casos voltados a tecnologias de informação e comunicação na saúde a fim de apontar as fragilidades quanto à privacidade de usuários desse sistema. Como resultado, percebeu-se que ainda existe uma falta de transparência no tratamento dos dados pessoais e pouco accountability por parte dos cidadãos, fazendo-se necessária uma mudança de estratégia tecnológica e de governança. O PDS, de fato, empodera o usuário na medida que dá maior controle e transparência sobre o tratamento de seus dados. No entanto, essa solução, em um sistema como o utilizado pelo Departamento de Informática do SUS, pode comprometer a precisão dos dados usados nas políticas públicas, ao mesmo tempo que pode comprometer alguns direitos dos cidadãos, pois são dados salvos em registros e os metadados estão disponíveis publicamente. A implementação do PDS ainda não possui perspectiva de resultado ótimo. Ainda existem algumas restrições metodológicas quanto aos direitos dos cidadãos ou à eficiência do Estado, mas os autores sustentam que é um passo no empoderamento civil e uma melhoria exigida por lei quanto à privacidade e à proteção de dados pessoais.
Direito Digital e Inteligência Artificial: Diálogos entre Brasil e Europa
Coletânea
O livro é composto por sessenta textos metodologicamente divididos em doze partes, com uma introdução de conceitos ligados à temática da inteligência artificial e com uma breve retrospectiva dos principais momentos que foram passados para atingir o atual nível de desenvolvimento da área. Uma seção completa sobre direitos da personalidade e questões concernentes à autonomia de entes dotados de inteligência artificial, pontuando questões ligadas, por exemplo, ao uso de tecnologias de reconhecimento facial. Contém, também, uma seção sobre a responsabilidade civil e seus institutos, que explora os diferentes papéis da responsabilidade civil, como, por exemplo, a responsabilidade objetiva e a compensação por danos causados pela inteligência artificial, e outra relativa à integração entre a inteligência artificial e a proteção de dados pessoais.
Proteção de Dados no Legislativo
O Projeto de Lei 976/2021, proposto no dia 19 de março pelo Deputado Federal José Priante, institui a Política Nacional de Cidades Inteligentes (PNCI), definindo cidade inteligente como o espaço urbano orientado para o investimento em capital humano e social, o desenvolvimento econômico sustentável e o uso de tecnologias disponíveis para aprimorar e interconectar os serviços e a infraestrutura das cidades, de modo inclusivo, participativo, transparente e inovador, com foco na elevação da qualidade de vida e do bem estar dos cidadãos. Além disso, o PL define conceitos como o de plano de cidade inteligente, ICTs e determina como um dos princípios a “privacidade dos cidadãos e segurança dos dados”. Determina ainda a integração de bancos de dados do Poder Público mediante o uso de padrões de interoperabilidade e compartilhamento de dados entre entes federativos. Atualmente, o PL está na Mesa Diretora.
O Projeto de Lei 872/2021, apresentado no dia 12 de março pelo Senador Veneziano Vital do Rêgo, aponta como fundamento do uso da IA a proteção da privacidade de dados pessoais e a garantia da intervenção humana, sempre que necessária. Além disso, o PL aponta que o uso deve ser compatível com a manutenção da diversidade social e cultural e não deve restringir escolhas pessoais de estilo de vida, além de seguir padrões de governança que garantam o contínuo gerenciamento e mitigação dos riscos potenciais da tecnologia, entre outras garantias. Atualmente o PL está no Plenário do Senado Federal.
