Seja bem -vind@ a mais uma edição do Boletim! Nesta 37ª edição, o destaque vai para a divulgação dos indicados para composição das listas tríplices do Conselho Nacional de Proteção […]
Seja bem -vind@ a mais uma edição do Boletim!
Nesta 37ª edição, o destaque vai para a divulgação dos indicados para composição das listas tríplices do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. O conselho é um órgão consultivo, integrante da estrutura da Autoridade Nacional de Proteção de Dados (ANPD), que possui a atribuição de elaborar diretrizes estratégicas e fornecer subsídios para as políticas de privacidade e proteção de dados do país. Destacamos que Bruno Bioni, diretor da Associação Data Privacy de Pesquisa, foi um dos indicados no segmento de organizações da sociedade civil.
Salientamos, também, as publicações das Autoridades de Proteção de Dados irlandesa e italiana, quanto aos episódios de vazamento de dados advindos de redes sociais. A Comissão de Proteção de Dados da Irlanda (DPC) iniciou uma investigação, nos termos da Seção 110 do Data Protection Act (2018), requerendo informações ao Facebook Ireland sobre o ocorrido. Com base nas respostas fornecidas, a Autoridade concluiu que uma ou mais disposições do GDPR e/ou do Data Protection Act (2018) podem ter sido infringidas. Por sua vez, a Autoridade Italiana lançou uma investigação contra o Linkedin, devido à sequência de violações em seus sistemas que culminaram na divulgação de dados pessoais de usuários, incluindo IDs, nomes completos, endereços de e-mail, números de telefone, além de títulos profissionais e outras informações de trabalho inseridas em seus perfis. Paralelamente, a Autoridade alertou que uma eventual utilização dos dados decorrentes da violação resulta em um processamento ilícito que viola a legislação de proteção de dados pessoais, além de envolver consequências de caráter sancionatório.
Dois importantes artigos tocam no tema da proteção de dados pessoais em relação à pesquisa acadêmica. O primeiro, de autoria de Janos Meszaros e Chih-hsing Ho, analisa como o General Data Protection Regulation (GDPR) é aplicado ao desenvolvimento de produtos e serviços de IA, chamando a atenção para as diferenças entre a pesquisa acadêmica e a comercial e buscando enfatizar os limites da exceção de pesquisa da GDPR, para encontrar o equilíbrio adequado entre privacidade e inovação. E o segundo, dentro da perspectiva brasileira, produzido pelo Centro de Ensino e Pesquisa em Inovação (CEPI) da FGV, busca estabelecer orientações e recomendações para resguardo e utilização segura de dados pessoais que venham a ser tratados nas atividades de pesquisa realizadas por órgãos de pesquisa.
Desejamos a tod@s uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
ANPD divulga lista dos indicados para o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD)
A Autoridade Nacional de Proteção de Dados (ANPD) divulgou os indicados para composição das listas tríplices do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. O conselho é um órgão consultivo, integrante da estrutura da ANPD, que possui a atribuição de propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade, elaborar relatórios anuais e estudos sobre as mencionadas temáticas, além de poder sugerir ações a serem realizadas pela ANPD. As indicações tem como objetivo representar os seguintes segmentos: (i) organizações da sociedade civil com atuação comprovada em proteção de dados pessoais; (ii) instituições científicas, tecnológicas e de inovação; (iii) confederações sindicais representativas das categorias econômicas do setor produtivo; (iv) entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; (v) entidades representativas do setor laboral. Destacamos que Bruno Bioni, diretor da Associação Data Privacy de Pesquisa, foi um dos indicados no segmento de organizações da sociedade civil.
Dinamarca
Informações sobre transferência de dados pessoais para o Reino Unido após Brexit
Como resultado do Brexit, no início de 2020, o Reino Unido (UK) passou a ser considerado um “país terceiro” de acordo com as regras de proteção de dados pessoais da União Europeia. Isso gerou a necessidade de identificar uma base legal de transferência válida, para só então ser possível a realização de transferências de dados pessoais para o Reino Unido. Nesse contexto, a Comissão Europeia proferiu decisões versando sobre adequação, as quais afirmam que o Reino Unido pode garantir um nível adequado de proteção de dados. Diante disso, os controladores e operadores de proteção de dados da Dinamarca – uma vez que as orientações sobre adequação tenham sido adotadas – poderão continuar a transferir dados pessoais para o Reino Unido, da mesma forma que antes do Brexit.
Irlanda
A Comissão de Proteção de Dados da Irlanda (DPC) iniciou um inquérito, por iniciativa própria, nos termos da Seção 110 do Data Protection Act (2018), tendo como base os vários relatórios da mídia internacional que noticiaram o vazamento de dados pessoais de usuários do Facebook, que afetou aproximadamente 533 milhões de indivíduos em todo o mundo. A autoridade entrou em contato com o Facebook Ireland para obter respostas quanto ao descumprimento da General Data Protection Regulation (GDPR), levantando questionamentos sobre o ocorrido. Com base nas informações fornecidas, a autoridade afirma que uma ou mais disposições do GDPR e/ou do Data Protection Act (2018) podem ter sido infringidas.
Itália
O parecer da Autoridade Italiana sobre a utilização do sistema Sari Real Time pelo Ministério do Interior do país não foi favorável. Para a Autoridade, o sistema, além de ser desprovido de uma base legal que legitime o processamento automatizado de dados biométricos para reconhecimento facial, também pode ocasionar uma vigilância indiscriminada, com base na forma como é projetado. O funcionamento do sistema ocorre por meio de uma série de câmeras instaladas em uma determinada área geográfica que analisa em tempo real os rostos dos sujeitos gravados, comparando-os com uma base de dados predefinida (denominada “lista de observação” ), que pode conter até 10.000 rostos. Caso, por meio de um algoritmo de reconhecimento facial, for encontrada uma correspondência entre um rosto presente na lista de observação e um rosto gravado por uma das câmeras, o sistema gera um alerta que chama a atenção dos policiais. A Garante, em consonância com as disposições do Conselho da Europa, considera delicada a utilização de tecnologias de reconhecimento facial para efeitos de prevenção e repressão de crimes.
A Autoridade Italiana lançou uma investigação contra o Linkedin, devido à sequência de violações em seus sistemas que culminaram na divulgação de dados pessoais de usuários, incluindo IDs, nomes completos, endereços de e-mail, números de telefone, além de títulos profissionais e outras informações de trabalho inseridas em seus perfis. Paralelamente, a Autoridade alertou que uma eventual utilização dos dados decorrentes da violação resulta em um processamento ilícito que viola a legislação de proteção de dados pessoais, além de envolver consequências de caráter sancionatório. De igual maneira, a Autoridade também alertou os usuários afetados para a necessidade de prestar atenção especial a eventuais anomalias relacionadas ao seu número de telefone ou conta, visto que podem ser vítimas de uma série de condutas ilegais, tais como chamadas e mensagens indesejadas, fraudes online e até roubo de identidade.
República Tcheca
A Autoridade Tcheca publicou parecer sobre a possível utilização nacional do passaporte de vacinação (CovidPass), que por si só representa uma invasão fundamental da privacidade.
O Certificado Verde Digital visa facilitar o exercício do direito de livre circulação dentro da União Europeia durante a pandemia COVID-19. A Autoridade Tcheca chama a atenção para os possíveis riscos decorrentes de tais certificados ou métodos semelhantes, os quais, caso sejam implementados, devem ser analisados pelas instituições relevantes do país. O European Data Protection Board e a European Data Protection Supervisor (EDPS) também emitiram um parecer conjunto sobre o tema, apontando que o Certificado Verde Digital deve estar em total conformidade com a legislação europeia de proteção de dados pessoais. Ao mesmo tempo, ambas as instituições enfatizaram que a utilização do certificado, em nenhum caso, deve levar à discriminação direta ou indireta de indivíduos e deve estar em total conformidade com os princípios da necessidade, eficácia e proporcionalidade. Por fim, as instituições destacaram a necessidade de atenuar os riscos para os direitos dos titulares, incluindo a utilização para outros fins que não a facilitação da livre circulação entre os Estados-Membros da União Europeia, ou para fins médicos.
Argentina
O Diretor Nacional de Proteção de Dados Pessoais da Argentina, Eduardo Cimato, participou do webinar “Diálogos com autoridades de proteção de dados – 1 # Incidentes de segurança na América Latina”, organizado pelo Laboratório de Políticas Públicas e Internet (LAPIN) , no qual foram apresentadas as políticas públicas que podem ser adotadas pelas autoridades de proteção de dados pessoais da Argentina, Uruguai e Brasil, para evitar eventuais incidentes de segurança. Na oportunidade, foram destacadas medidas para a resolução de incidentes, após a ocorrência da violação, bem como alternativas para que tais tipos de eventos sejam evitados. Em sua participação, o diretor argentino destacou que “A proatividade das organizações públicas e privadas é muito importante para evitar possíveis incidentes, analisando previamente o software e o hardware antes de lançar uma aplicação”. A reunião contou com a participação de Amanda Espiñeira, representante do LAPIN, Nairane Rabelo, diretora da Autoridade Nacional de Proteção de Dados do Brasil e Gonzalo Sosa, coordenador de proteção de dados da Unidade de Regulamentação e Controle de Dados Pessoais do Uruguai.
México
Autoridade do México (INAI) inicia o projeto “verificación de hechos” para combate à desinformação
O Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI) iniciou o projeto “Verificación de Hechos”, com o objetivo de contribuir para o combate à desinformação sobre a pandemia COVID-19. É um serviço novo que o Instituto oferece à sociedade em meio à crise de saúde, para dar acesso à informações precisas para a população. Através das redes sociais institucionais, as pessoas podem enviar para o INAI informações atreladas ao COVID-19 que aparentam ser falsas, de modo que a equipe da Dirección General de Promoción y Vinculación con la Sociedad possa confirmar a veracidade da informação. Os resultados das verificações serão divulgados pelos meios de comunicação institucionais, bem como pelo site de verificação habilitado essa finalidade, que será atualizado constantemente. Por fim, o Instituto destaca que apenas serão analisadas informações enganosas relacionadas à pandemia COVID-19, de maneira permanente, com base nas diretrizes estabelecidas pelo grupo de trabalho do Instituto.
Segundo o Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados INAI, o registo de dados biométricos no Padrón Nacional de Usuarios de Telefonía Móvil (PNUTM) para fins de identificação da população, requer os maiores cuidados possíveis, uma vez que pode apresentar riscos para a proteção de dados pessoais dos titulares. A ata de reforma da Lei Federal de Telecomunicações e Radiodifusão, aprovada no Senado da República, busca outorgar atribuições ao Instituto Federal de Telecomunicações (IFT) para a instalação, operação, regulação e manutenção do PNUTM, a fim de colaborar com as autoridades competentes em matéria de segurança pública e justiça, com relação ao cometimento de crimes por usuários de telefonia móvel. De acordo com a ata aprovada, o cadastro conterá os seguintes dados: 1) número de linha de telefone móvel; 2) data e hora de ativação da linha do celular; 3) nome completo, denominação ou razão social do usuário; 4) nacionalidade; 5) número de identificação oficial e Código Único de Registro de População (CURP) do titular do linha; 6) dados biométricos do usuário (pessoa física) ou seu representante legal (pessoa moral); 7) endereço do usuário; 8) dados do revendedor telecomunicações; 9) esquema de contratação de linha e 10) avisos de atualização das informações. Diante disso, o INAI aponta que podem ser gerados graves riscos à proteção dos dados pessoais dos titulares.
Proteção de Dados nas Universidades
LANCIERI, Filippo.
A ascensão das leis de proteção de dados é uma das mudanças jurídicas mais profundas deste século. Este artigo começa descrevendo três blocos básicos de regimes de proteção de dados nos Estados Unidos e na Europa – a saber, forças de mercado, responsabilidade civil e cumprimento regulatório- que essas jurisdições combinam de maneiras diferentes, para garantir que as empresas ajam de acordo com as preferências de privacidade dos consumidores. Em seguida, identifica duas razões principais – profundas assimetrias de informações entre empresas e consumidores/reguladores e altos níveis de poder e influência nos mercados de dados- que permitem que as empresas se comportem estrategicamente para proteger os interesses privados e minar a conformidade legal. A conclusão examina o desenho institucional das leis antitruste e antifraude, dois regimes regulatórios que enfrentam desafios semelhantes em sua implementação, para argumentar que um sistema regulatório de privacidade online eficaz deve ser construído em torno de três princípios fundamentais. Primeiro, o sistema deve multiplicar os recursos de monitoramento e fiscalização, nesse sentido, o antitruste demonstra como o litígio pode impulsionar intermediários da sociedade civil, com o objetivo de proteger os consumidores. Em segundo lugar, o sistema deve possibilitar que as violações sejam apontadas, dessa forma, as políticas antifraude demonstram a importância de estabelecer programas eficazes de denúncias para proteção de dados. Terceiro, o sistema deve aumentar a responsabilidade governamental, nesse sentido, o antitruste fornece exemplos de como promover a transparência pública sem sacrificar a capacidade de fiscalização.mentais.
MESZAROS, Janos. HO, Chih-hsing.
O artigo examina como a General Data Protection Regulation (GDPR) é aplicada ao desenvolvimento de produtos e serviços de IA, chamando a atenção para as diferenças entre a pesquisa acadêmica e a comercial. A GDPR visa incentivar a inovação, flexibilizando várias de suas normas estritas para a pesquisa científica. Nesse sentido, a GDPR define a pesquisa científica de forma ampla, o que inclui a pesquisa acadêmica e comercial. No entanto, as empresas que conduzem pesquisas comerciais podem não ter implementado um nível semelhante de salvaguardas éticas e institucionais que os pesquisadores acadêmicos. Além disso, o sigilo corporativo e algoritmos opacos na pesquisa de IA podem representar barreiras à supervisão e regulação. O objetivo do artigo é enfatizar os limites da exceção de pesquisa da GDPR e encontrar o equilíbrio adequado entre privacidade e inovação. O artigo argumenta que a pesquisa comercial de IA não deve se beneficiar da isenção de pesquisa acadêmica concedida pela GDPR, a menos que haja um interesse público e possua salvaguardas semelhantes às da pesquisa acadêmica, como, por exemplo, a revisão por comitês de ética em pesquisa. Como o regulamento fornece uma ampla isenção, é fundamental esclarecer os limites e requisitos da pesquisa científica, antes que a aplicação da IA transforme drasticamente esse campo.
Centro de Ensino e Pesquisa em Inovação (CEPI) – FGV Direito SP
O guia de Proteção de Dados Pessoais sobre Pesquisa, elaborado pelo Centro de Ensino e Pesquisa em Inovação (CEPI) da FGV, busca estabelecer orientações e recomendações para resguardo e utilização segura de dados pessoais que venham a ser tratados nas atividades de pesquisa realizadas por órgãos de pesquisa. A principal referência legal utilizada para sua elaboração foi a LGPD, embora outras normas nacionais e internacionais também tenham sido consideradas, com especial atenção ao General Data Protection Regulation (“GDPR”), o Regulamento Geral sobre Proteção de Dados Pessoais da União Europeia. Além disso, o Projeto também tem como objetivo desenvolver metodologias e mecanismos de análise para elaboração de Relatórios de Impacto à Proteção de Dados que visem a contribuir com a construção de uma cultura de proteção de dados pelas IES e órgãos de pesquisa do País.
Proteção de Dados no Legislativo
Proposto Projeto de Lei para código de ética na Lei Geral de Proteção de Dados
O Projeto de Lei 871/2021, proposto pelo Senador Veneziano Rêgo (MDB/PB), altera a Lei Geral de Proteção de Dados Pessoais (LGPD), para dispor sobre a elaboração de um código de ética sobre regras de boas práticas e governança em relação aos agentes de tratamento. Modificando o artigo 50 da mencionada lei, o PL aponta que o código de ética deverá conter “valores, princípios e diretrizes de comportamento”, para orientar “empregados e administradores dos agentes de tratamento”. Atualmente, o PL está no Plenário do Senado Federal.
Proteção de Dados no Judiciário
No processo nº 2076546-33.2021.8.26.0000, os impetrantes questionam ato supostamente ilegal do Juízo da Vara Criminal, que determinou a quebra do sigilo telemático sobre dados de geolocalização de um conjunto indeterminado de usuários da Google, com a finalidade de obter dados para auxiliar na apuração da autoria da prática de crime doloso contra a vida. Em síntese, o argumento principal do writ é que seria vedada por lei a quebra de sigilo na forma que foi solicitada, sem a individualização de pessoas e investigação plausível, tendo em vista o quanto disposto pelo Marco Civil da Internet (Lei nº 12.965/14) e pela Lei Geral de Proteção de Dados (Lei nº 13.709/18). Além disso, os impetrantes apontam que a medida seria desproporcional e que afrontaria a Constituição Federal, no tocante às disposições sobre intimidade e vida privada. O desembargador indeferiu a medida liminar pleiteada, ponderando que a cautela perseguida diz respeito ao próprio mérito do writ, cabendo, portanto, à Turma Julgadora decidir acerca do pedido em toda a sua extensão.
