Bem vind@s à mais uma edição do Boletim! Nesta semana, ressaltamos os alertas e publicações das autoridades de proteção de dados europeias quanto ao recente vazamento de dados advindos da […]
Bem vind@s à mais uma edição do Boletim!
Nesta semana, ressaltamos os alertas e publicações das autoridades de proteção de dados europeias quanto ao recente vazamento de dados advindos da rede social Facebook, em que registros de 533 milhões de indivíduos apareceram em um “site hacker”, incluindo dados de europeus, brasileiros e usuários de todas as regiões do mundo. As autoridades informaram que estão abrindo investigações e também solicitaram esclarecimentos por parte da empresa, além de, como no caso italiano, terem imposto medidas de aviso aos próprios titulares dos dados. Na América Latina, a autoridade colombiana também abriu investigação contra a empresa por consequência do vazamento.
Destacamos, ainda, o parecer conjunto entre EDPS e EDPB sobre a nova medida adotada na União Europeia, o “certificado verde digital”, que visa facilitar a livre-circulação dentro da UE durante a pandemia COVID-19, estabelecendo uma estrutura comum para a emissão, verificação e aceitação de certificados de vacinação. O parecer apontou para medidas e princípios que devem ser adotados para a proteção de dados pessoais no contexto do certificado, ressaltando a importância da não discriminação e da minimização dos dados.
Dois importantes artigos também tocam no tema do tratamento de dados pessoais pelo Poder Público. O primeiro, de Miriam Wimmer, fala sobre os “Limites e possibilidade para o uso secundário de dados pessoais no Poder Público: lições da pandemia“, trazendo aspectos relevantes do compartilhamento e uso secundário de dados pessoais pelo Estado. E o segundo, de Yasodara Cordova, fala sobre “Privacidade digital como direito do cidadão: o caso dos grupos indígenas do Brasil“, trazendo aspectos da coleta de dados sensíveis da população indígena pelo Poder Público.
Desejamos uma boa leitura!
Bruno Bioni, Iasmine Favaro e Mariana Rielli
Proteção de Dados nas Autoridades
Bélgica
Autoridade belga publica release sobre vazamento de dados do Facebook
Neste fim de semana, a imprensa noticiou um vazamento de dados da rede social Facebook, que afetou milhões de usuários, incluindo 3 milhões de contas belgas, segundo a Autoridade. Vários tipos de dados estariam envolvidos no vazamento, tais como nome, número de telefone, e-mail, domicílio e data de nascimento. A Autoridade informou que imediatamente contatou sua contraparte irlandesa, já que o escritório principal do Facebook na Europa está localizado na Irlanda. A Autoridade ressaltou a importância do Facebook para assumir a responsabilidade e fornecer informações completas o mais rápido possível. A Autoridade afirmou, na publicação, que a Facebook precisa informar com precisão seus usuários sobre o impacto exato do vazamento e quais ações os usuários podem realizar, uma vez que esses dados podem ser usados, por exemplo, para fraudar ou para extrair informações confidenciais de você.
European Data Protection Supervisor
EDPS comenta o “pacote” legislativo proposto pela UE para saúde
A Autoridade comentou elogiosamente o pacote proposto, porém recomendou que fossem incluídas na proposta disposições específicas sobre a aplicação da legislação em matéria de proteção de dados. Da mesma forma, o papel das entidades envolvidas ao abrigo da legislação em matéria de proteção de dados também deve ser abrangido pela proposta. Mais especificamente sobre o processamento de ‘dados de saúde eletrônicos fora dos estudos clínicos’ e ‘dados em tempo real’, uma definição clara dos ‘dados gerados fora do escopo dos ensaios clínicos’ deve ser incluída, segundo a EDPS; e o significado de “dados do mundo real” deve ser esclarecido, especificando, pelo menos, exemplos do tipo de dados em questão e a finalidade para a qual esses dados serão usados. Além disso, a Autoridade recomendou que (i) as categorias de pessoas que terão seus dados pessoais tratados devem ser claramente demarcadas juntamente com uma descrição das medidas específicas para proteger os direitos e liberdades das pessoas envolvidas, em conformidade com a legislação de proteção de dados e (ii) deve-se identificar claramente as situações em que as tarefas implicarão no tratamento de dados pessoais e, deve-se, ainda, criar um forte mecanismo de governança de dados que exija a identificação clara dos principais intermediários no tratamento de dados pessoais.
O Certificado Verde Digital visa facilitar o exercício do direito de livre circulação dentro da UE durante a pandemia COVID-19, estabelecendo uma estrutura comum para a emissão, verificação e aceitação de certificados de vacinação, teste e recuperação COVID-19 interoperáveis. Com o parecer conjunto, o EDPB e a EDPS convidaram os colegisladores a garantir que o Certificado Verde Digital estivesse em plena conformidade com a legislação da UE em matéria de proteção de dados pessoais. Os comissários de proteção de dados de todos os países da UE e do Espaço Econômico Europeu destacaram, no documento, a necessidade de mitigar os riscos aos direitos fundamentais dos cidadãos e residentes da UE que pudessem resultar da emissão do Certificado, incluindo seus possíveis usos secundários não intencionais. As autoridades sublinharam que a utilização do Certificado Verde Digital não pode, de forma alguma, resultar em discriminação direta ou indireta de indivíduos, devendo estar em plena consonância com os princípios fundamentais da necessidade, proporcionalidade e eficácia.
França
A Autoridade afirmou, no release, que todos os usos vinculados aos cookies devem ser apresentados ao usuário no momento de sua escolha. Por razões de clareza e concisão, uma primeira descrição pode limitar-se a uma breve apresentação dos objetivos perseguidos pelos cookies, seguida de uma descrição mais detalhada. Além disso, a Autoridade afirmou que o usuário deve consentir com o depósito dos rastreadores por meio de um ato claro e positivo, como clicar em “aceito” em um banner de cookies. O seu silêncio, que pode passar pela simples busca da navegação, deve ser interpretado como uma recusa e, dessa forma, nenhum marcador não essencial ao funcionamento do serviço pode então ser colocado no seu dispositivo. A CNIL considerou ainda que a integração de um botão “negar tudo” ao mesmo nível e no mesmo formato do botão “aceitar tudo” permite oferecer uma escolha clara e simples ao internauta. Também é possível, por exemplo, oferecer explicitamente ao internauta a possibilidade de recusar rastreadores fechando o banner de cookies. Por outro lado, a mera presença de um botão “configurar” em adição ao botão “aceitar tudo” tende, na prática, a dissuadir a recusa e, portanto, não permite o cumprimento dos requisitos do GDPR, segundo a Autoridade.
Irlanda
Comentários da Autoridade irlandesa sobre o vazamento de dados do Facebook
A Autoridade relembrou que um conjunto de dados, que parece ser proveniente do Facebook, apareceu gratuitamente em um site de hackers neste fim de semana e contém registros de 533 milhões de indivíduos. Muitos dos dados parecem ter sido extraídos há algum tempo de perfis públicos do Facebook. Conjuntos de dados anteriores foram publicados em 2019 e 2018 relacionados a uma remoção em grande escala do site do Facebook que, na época em que o Facebook informou, ocorreu entre junho de 2017 e abril de 2018, quando o Facebook encerrou uma vulnerabilidade em sua funcionalidade de pesquisa de telefone. Como a coleta ocorreu antes do GDPR, o Facebook optou por não notificar isso como uma violação de dados pessoais de acordo com o GDPR. Segundo a Autoridade as informações prestadas pela empresa foram de que: “com base em nossa investigação até o momento, acreditamos que as informações no conjunto de dados divulgado neste fim de semana foram disponibilizadas publicamente e removidas antes das alterações feitas na plataforma em 2018 e 2019. Como tenho certeza de que você pode apreciar, os dados em questão parecem ter sido coletados por terceiros e, potencialmente, provêm de fontes múltiplas. Portanto, exige uma investigação extensiva para estabelecer sua procedência com um nível de confiança suficiente para fornecer à Autoridade e aos nossos usuários informações adicionais.”. A Autoridade irlandesa informou que dará prosseguimento à investigação.
Itália
Com referência aos dados de cerca de 36 milhões de italianos, incluindo em muitos casos números de telefone e endereços de e-mail que ficaram disponíveis online em consequência de uma violação dos sistemas do Facebook, a Autoridade italiana pediu à rede social que disponibilizasse imediatamente um serviço que permite que todos os usuários italianos verifiquem se seu número de telefone ou endereço de e-mail foi afetado pela violação. A Autoridade também avisou a quem tenha ficado em posse dos dados pessoais decorrentes da violação, que a sua eventual utilização, mesmo para fins positivos, é proibida pela legislação de privacidade, uma vez que tais informações resultam de tratamento ilícito. A Autoridade lembra, ainda, a todos os utilizadores afectados pela violação da necessidade de prestar especial atenção, nas próximas semanas, a eventuais anomalias ligadas aos seus telefones, como, por exemplo, a ausência repentina de um campo em locais onde o telefone normalmente tem uma boa recepção. Tal evento pode ser um sinal de que um criminoso roubou o número de telefone para usá-lo para fins fraudulentos.
Garante multa empresa de telemarketing em mais de 4 milhões de euros
A Autoridade condenou a Fastweb no pagamento de uma multa de mais de 4 milhões e 500 mil euros por ter tratado ilegalmente os dados pessoais de milhões de utilizadores para fins de telemarketing. Isso conclui uma investigação complexa iniciada após centenas de relatos e reclamações de usuários que reclamaram de chamadas promocionais contínuas de serviços de telefone e internet oferecidos pela Fastweb feitas sem o seu consentimento. As investigações levadas a cabo pela Autoridade evidenciaram importantes críticas ao sistema da empresa, e pelos tratamentos de dados efetuados pela Fastweb tanto da base de clientes da empresa como de outros bancos de dados.
Holanda
Autoridade holandesa multou booking.com por notificação tardia de violação
A Autoridade Holandesa impôs uma multa de EUR 475.000 à Booking.com por relatar uma violação de dados à AP tarde demais. Na violação de dados, os criminosos saquearam os dados pessoais de mais de 4.000 clientes. Eles também conseguiram obter detalhes do cartão de crédito de quase 300 vítimas. Os criminosos extraíram credenciais de login para suas contas em um sistema Booking.com de funcionários de 40 hotéis nos Emirados Árabes Unidos por telefone. em dezembro de 2018, os criminosos tiveram acesso aos dados de 4.109 pessoas que reservaram um quarto de hotel naquele país por meio do site de reservas. Isso incluía seus nomes, endereços e números de telefone e detalhes sobre a reserva. Os criminosos também viram os detalhes do cartão de crédito de 283 pessoas. Incluindo o código de segurança do cartão de crédito em 97 casos. Eles também tentaram obter os detalhes do cartão de crédito de outras vítimas se passando por funcionários da Booking.com por e-mail ou telefone. Booking.com foi notificado sobre a violação de dados em 13 de janeiro de 2019, mas não informou à AP até 7 de fevereiro. Isso está com 22 dias de atraso. Segundo a Autoridade, é obrigatório relatar uma violação de dados dentro de 72 horas e, por esse motivo, a empresa foi multada.
México
O Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI) fez um apelo aos atores políticos envolvidos no processo eleitoral a adotar, manter e reforçar as medidas necessárias para garantir que os dados pessoais dos cidadãos sejam devidamente protegidos. A Presidente do INAI, Blanca Lilia Ibarra Cadena, destacou que os dados pessoais no domínio eleitoral têm um carácter instrumental para o desenvolvimento das diferentes fases eleitorais, daí a importância do cumprimento do disposto nas leis de proteção de dados. Indicou que os partidos políticos ou funcionários eleitorais que solicitem informações pessoais aos cidadãos, devem divulgar quais os dados que serão tratados, qual será a sua finalidade e quais os meios para exercerem os seus direitos. Também é muito importante, segundo a Autoridade, que tais atores, salvo exceções legais, obtenham o consentimento dos indivíduos ao coletar os dados. Neste contexto, disse, é imprescindível observar o princípio da responsabilidade, uma vez que implica a incorporação de ferramentas que garantam que os responsáveis pelo tratamento implantem medidas adequadas, pertinentes e eficazes que evitem possíveis violações da confiança e integridade das pessoas.
Argentina
Autoridade argentina publica nota sobre proteção de dados em viagens
O Comitê Executivo da Assembleia Global de Privacidade (GPA) emitiu uma declaração conjunta sobre a importância da proteção de dados pessoais, especialmente aqueles referentes a dados de saúde, que são necessários para fazer viagens nacionais e internacionais durante a pandemia COVID-19. Na declaração, explicaram a importância de salvaguardar as informações a fim de complementar os esforços feitos em nível nacional ou regional e contribuir para uma salvaguarda da privacidade coordenada internacionalmente, refletindo princípios globais comuns de proteção de dados, incluindo privacy by design & by default. Além disso, o GPA alertou que, quando os dados de saúde são processados para fins de viagem, os indivíduos devem ter certeza de que estão sendo tratados de forma correta e segura. Da mesma forma, os dados solicitados não devem ser excessivos, as informações devem ser claras e acessíveis para entender como seus dados serão utilizados, deve haver uma finalidade específica para o processamento e seus dados devem ser retidos por não mais do que o necessário.
Colômbia
A decisão de iniciar a investigação foi tomada pela Superintendência da Indústria e Comércio com base nos alertas internacionais emitidos por diferentes órgãos de proteção de dados e nas informações públicas do suposto incidente de segurança que teria resultado no vazamento de dados de usuários de 533 milhões de contas da rede social. Este processo se soma às ações realizadas por diversas autoridades internacionais, a fim de obter informações claras e precisas sobre o alegado incidente de segurança. A Superintendência da Indústria e Comércio ocupa atualmente a Presidência da Rede Ibero-americana de Agências de Proteção de Dados, que reúne 22 autoridades em todo o mundo.
Proteção de Dados nas Universidades
Limites e possibilidade para o uso secundário de dados pessoais no Poder Público: lições da pandemia
WIMMER, Miriam
A partir do contexto de intensificação da coleta, do processamento e da circulação de dados pessoais decorrente da pandemia de Covid-19, o artigo tem por objetivo discutir parâmetros para o compartilhamento e uso secundário de dados pessoais no âmbito do Estado. A ausência de detalhamento da LGPD e a escassa produção acadêmica brasileira sobre o uso secundário de dados pessoais no poder público justificam a relevância da temática escolhida. Assim, a partir de pesquisa bibliográfica e documental, e tendo como referência as críticas à ideia do Estado como unidade informacional, o artigo problematiza os riscos e benefícios do uso secundário de dados pessoais no âmbito do poder público e analisa como as recentes decisões do STF sobre o tema acabaram por propiciar a fixação de um importante paradigma para o debate brasileiro acerca do tema: o de que não há uma autorização irrestrita, no ordenamento jurídico brasileiro, ao livre fluxo e compartilhamento de dados no âmbito do Poder Público. Por fim, o artigo analisa em que medida elementos como a compatibilidade de finalidades, o consentimento do titular e a previsão legal poderiam balizar com maior legitimidade o compartilhamento de dados entre órgãos e entidades governamentais.
Privacidade digital como direito do cidadão: o caso dos grupos indígenas do Brasil
CORDOVA, Yasodara.
O artigo apresenta uma breve revisão da legislação brasileira que impacta os direitos de privacidade digital das comunidades indígenas por meio da coleta de dados governamentais. Além disso, o artigo visa discutir a necessidade de coletar dados sensíveis de comunidades indígenas sem a participação das mesmas comunidades no desenvolvimento dos recursos para a coleta de dados. O artigo argumenta que a digitalização das informações das comunidades indígenas segue um paradigma colonial, prejudicando comunidades indígenas inteiras e agravando sua situação já precária.
Proteção de Dados no Legislativo
Apresentado Projeto de Lei que altera a LGPD para definir “dado neural”
O PL 1229/2021, apresentado em 06 de abril, pelo Dep. Fed. Carlos Gaguim do DEM, propõe alterar a Lei Geral de Proteção de Dados para definir “dado neural” como “qualquer informação obtida, direta ou indiretamente, da atividade do sistema nervoso central e cujo acesso é realizado por meio de interfaces cérebro-computador invasivas ou não-invasivas”. O PL também define conceitos como “interface cérebro-computador” e “neurotecnologia”, regulando os aspectos ligados à proteção de dados. Atualmente o PL está na Mesa Diretora da Câmara dos Deputados.
Apresentado Projeto de Lei que estabelece medidas de prevenção a chamadas indesejadas
O PL 1226/2021, apresentado em 06 de abril pelo Dep. Fed. Fábio Henrique do PDT, Estabelece medidas para coibir a importunação de consumidores por chamadas publicitárias, alterando o Código de Defesa do Consumidor, determinando que deve haver a coleta do consentimento dos cidadãos para o direcionamento de publicidade através dos meios apontados e vedando o compartilhamento dos dados do consumidor entre os fornecedores. Atualmente o PL está na Mesa Diretora.
Proteção de Dados no Judiciário
No processo Nº 2058533-83.2021.8.26.0000/50000, o embargante requereu segredo de justiça e utilizou, além do código de processo civil, o art. 26 da LGPD para alegar que a leitura das razões recursais conteriam dados relativos à sua intimidade. Nesse sentido, nota-se o debate travado entre acesso à informação e proteção de dados pessoais, e suscita-se a questão acerca da divulgação de dados das partes em processos judiciais, ainda que os processos não ocorram em segredo de justiça e questiona-se se caberia a aplicação da Lei Geral de Proteção de Dados para esse tipo de caso. A desembargadora não deu provimento ao recurso, com base no código de processo civil e alegou que o caso dos autos não se encontraria sob a proteção da Lei Geral de Proteção de Dados, que “tem por objetivo primordial a proteção contra a divulgação indiscriminada de dados, especialmente aqueles armazenados por meios eletrônicos, por pessoas naturais ou jurídicas, ou mesmo entes despersonalizados (aplicativos eletrônicos).”.
