Seja bem-vind@ a mais uma edição do Boletim! Nesta 38ª edição, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) participou do II Diálogo Digital Brasil – Reino Unido […]
Seja bem-vind@ a mais uma edição do Boletim!
Nesta 38ª edição, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) participou do II Diálogo Digital Brasil – Reino Unido (UK-Brazil Digital and Cyber Dialogue 2021), iniciativa na qual foram compartilhadas experiências entre entidades dos governos do Brasil e do Reino Unido, a fim de aprimorarem suas agendas digitais. Dentre os órgãos e entidades que participaram do Diálogo, estão o Ministério das Relações Exteriores, o Ministério das Comunicações e o Ministério da Ciência, Tecnologia e Inovações.
Também no contexto brasileiro, destaca-se a apresentação de dois projetos de lei relativos à proteção de dados. De um lado, o PL nº 1599/2021, apresentado pela Senadora Rose de Freitas (MDB/ES), propõe modificações na LGPD com o objetivo de aprimorar as disposições sobre segurança da informação. De outro, o PL nº 1589/2021, proposto pela Deputada Soraya Manato (PSL/ES) também busca alterar a LGPD, mas com o objetivo de vedar o compartilhamento abusivo de dados pessoais e a discriminação de usuários na internet.
Salientamos, também, a publicação feita pela Autoridade Portuguesa de Proteção de Dados (CNPD), que ordenou ao Instituto Nacional de Estatística (INE) a suspensão do envio de dados pessoais do Censo 2021 do país para os Estados Unidos. Após uma sequência de reclamações sobre as condições de coleta de dados online, a CNPD iniciou uma investigação e concluiu que o INE externalizou à Cloudflare, Inc., uma empresa da Califórnia, detalhes sobre o funcionamento do questionário do censo, por meio de um acordo de tratamento de dados, que prevê a transferência de informações para os Estados Unidos. Por fim, o destaque vai para a advertência formal, nos termos do Regulamento da UE, enviada pela Autoridade Italiana para todos os ministérios e demais partes envolvidas na criação e gestão da norma sobre os “certificações verdes” no país. O Garante observou que o chamado “decreto de reabertura” não estabelece uma base legal adequada para a utilização dos “certificados verdes” em escala nacional e está incompleto em termos de proteção de dados, sem uma avaliação dos possíveis riscos para os direitos dos titulares.
Desejamos a tod@s uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
Os servidores da Autoridade Nacional de Proteção de Dados (ANPD) participaram, entre os dias 12 e 23 de abril, do Curso Acadêmico de Proteção de Dados (Data Protection Academy course), realizado pelo Centro Europeu em Privacidade e Cibersegurança da Universidade de Maastricht (Maastricht University European Centre on Privacy and Cybersecurity). Fruto da cooperação entre a ANPD e a Comissão Europeia, o curso teve como público todos os integrantes do corpo técnico da Autoridade e possibilitou a abordagem de matérias imprescindíveis para o cumprimento das metas estabelecidas no seu Planejamento Estratégico. O Centro Europeu em Privacidade e Cibersegurança da Universidade de Maastricht destaca-se como uma das principais referências globais em privacidade e proteção de dados e um dos destaques do curso foi exatamente a abordagem baseada na Lei Geral de Proteção de Dados brasileira e no Regulamento de Proteção de Dados europeu. A oportunidade foi fruto do estreitamento das relações de cooperação entre a ANPD e a Comissão Europeia, órgão executivo da União Europeia responsável, dentre outros assuntos, pela propositura de diretrizes e regulamentos em âmbito europeu, assim como pela viabilização de transferências internacionais de dados pessoais.
ANPD participa do II Diálogo Digital Brasil – Reino Unido 2021
A Autoridade Nacional de Proteção de Dados (ANPD) participou do II Diálogo Digital Brasil – Reino Unido (UK-Brazil Digital and Cyber Dialogue 2021), iniciativa na qual são compartilhadas experiências entre entidades dos governos do Brasil e do Reino Unido, a fim de aprimorarem, reciprocamente, suas agendas digitais. Dentre outros órgãos e entidades que participaram do Diálogo, estão o Ministério das Relações Exteriores, o Ministério das Comunicações e o Ministério da Ciência, Tecnologia e Inovações. Sobre o tema “Fluxos Internacionais de Dados e Proteção de Dados” (International Data Flows and Data Protection), Miriam Wimmer, Diretora da ANPD, ressaltou alguns dos desafios com os quais a ANPD se depara desde a sua recente criação, em novembro de 2020, e as medidas que têm sido tomadas para superá-los. Participaram também desse debate Joe Jones e Declan Shaw, representantes do Departament for Digital, Culture, Midia and Sport – DCMS, do Reino Unido, e William Middleton, Diretor do Foreign Commonweath & Development Office – FCDO, também do Reino Unido, que enfatizou a importância de cooperação entre os países na seara da proteção de dados pessoais.
Dinamarca
A Agência Dinamarquesa de Proteção de Dados publicou um parecer afirmando que os formulários e soluções da web para o tratamento de dados pessoais exigem medidas de segurança, sendo necessário que os controladores garantam que os dados pessoais não cheguem ao conhecimento de pessoas não autorizadas. Segundo a autoridade, isso pode ser feito com a adoção de criptografia da camada de transporte (TLS) na versão 1.2 ou superior. Além disso, a Agência Dinamarquesa aponta que as versões 1.0 e 1.1 do TLS contêm vulnerabilidades já conhecidas que não garantem a necessária confidencialidade e integridade das informações trocadas.
Em conexão com a escalada da situação da COVID-19 na Dinamarca (fevereiro-março de 2020) e o subsequente fechamento da sociedade, o Statens Serum Institut (SSI) ficou responsável por tornar os dados pessoais – principalmente atrelados à saúde – disponíveis para um grupo de especialistas que deveria calcular os possíveis cenários para as medidas de “reabertura” no país. A própria SSI avaliou que o risco para os titulares dos dados era de moderado a alto e verificou também que, no início do tratamento, não havia sido realizado um mapeamento e avaliação completa dos riscos envolvidos. Dessa maneira, a SSI já teria verificado que a conjuntura por si só implicava um alto risco para os direitos dos titulares de dados, no entanto, não buscou a implementação das medidas de segurança necessárias. Diante disso, a Agência Dinamarquesa de Proteção de Dados emitiu um parecer expressando sérias críticas ao instituto por iniciar o processamento de dados: a) sem avaliação de risco suficiente; b) sem a realização de relatórios de impacto; c) sem a realização de consultas à própria Autoridade, entre outros fatores.
European Data Protection Supervisor (EDPS)
Censo 2021: A DPA portuguesa (CNPD) suspendeu os fluxos de dados para os EUA
A Autoridade Portuguesa de Proteção de Dados (CNPD) ordenou ao Instituto Nacional de Estatística (INE) a suspensão do envio de dados pessoais do Censo 2021 do país para os Estados Unidos. A CNPD emitiu uma decisão dirigida ao INE para a suspensão de qualquer transferência internacional de dados pessoais para os Estados Unidos, ou outros países terceiros, sem um nível adequado de proteção. Após uma sequência de reclamações sobre as condições de coleta de dados online, a CNPD iniciou uma investigação e concluiu que o INE externalizou à empresa Cloudflare, Inc., detalhes sobre o funcionamento do questionário do censo, por meio de um acordo de tratamento de dados, que prevê a transferência de dados pessoais para os Estados Unidos. A Cloudflare é uma empresa com sede na Califórnia que está diretamente sujeita à legislação dos Estados Unidos para fins de segurança nacional, que impõe a obrigação legal de dar às autoridades do país acesso irrestrito aos dados pessoais mantidos pela empresa, sem ser necessário informar aos seus clientes. Considerando que as informações em questão são dados pessoais de um universo quase total de cidadãos residentes em Portugal, incluindo dados sensíveis, a CNPD entendeu que a transferência de dados para os Estados Unidos ou qualquer outro país sem proteção adequada, deve ser suspensa com efeito imediato.
Estados Unidos
A empresa de monitoramento e segurança de residências inteligentes Vivint Smart Homes Inc. concordou em pagar US$20 milhões como resultado das investigações realizadas pela Federal Trade Commission (FTC) de que a empresa fez uso indevido de relatórios de crédito e outros dados pessoais para “ajudar” clientes não qualificados a obter financiamento para os produtos e serviços da empresa. Segundo Daniel Kaufman, Diretor Interino do Bureau de Proteção ao Consumidor da FTC, a equipe de vendas da Vivint teria “roubado” informações pessoais de terceiros para aprovar empréstimos para seus clientes, utilizando indevidamente relatórios de crédito de consumidores e outros dados confidenciais. A FTC alegou que foi utilizado o processo denominado de “white paging”, que envolve encontrar outro consumidor com o mesmo nome no aplicativo “White Pages” e usar seu histórico de crédito para habilitar o potencial cliente não qualificado. Os representantes de vendas da Vivint também pediam aos clientes que fornecessem o nome de alguém que eles conheciam como, por exemplo, alguém da família, e então adicionavam esse terceiro como co-signatário da conta, utilizando seus dados e histórico de crédito.
Reino Unido
O Vice-Comissário da ICO aponta que a proteção de dados é um facilitador de confiança e segurança na implementação de sistemas de identidade digital
No texto escrito por Steve Wood, Vice-Comissário e Presidente do Grupo de Trabalho da OCDE sobre Proteção de Dados e Privacidade, são apontadas salvaguardas eficazes de proteção de dados que podem ajudar a melhorar o acesso público aos serviços digitais, além de reduzir os riscos de segurança. Os sistemas de identidade digital começaram a amadurecer, impulsionados pelas oportunidades e desafios da economia digital e dos serviços públicos. Segundo o texto, a população precisa de meios seguros e protegidos de estabelecer sua identidade com relação ao funcionamento dos serviços digitais no seu dia a dia, sendo fundamental transmitir confiança sobre como os dados pessoais são utilizados em um sistema de identidade digital. Nesse sentido, o Vice-Comissário apontou algumas recomendações: a) Qualquer sistema deve ser centrado no usuário e os limites de uso e coleta devem ser claramente estabelecidos; b) Medidas eficazes devem estar em vigor para analisar os riscos relacionados à minimização e limitação da finalidade; c) As organizações que operam em lógica de confiança devem ter medidas de segurança técnicas e organizacionais adequadas para proteger os dados pessoais mantidos no sistema, entre outras recomendações.
França
Multiplicação de ataques de ransomware: como limitar os riscos?
Segundo a Autoridade de Proteção de Dados da França (CNIL), nos últimos meses, as ações envolvendo o uso de “ransomware” aumentaram no país. Nesse sentido, os ataques visam principalmente os dados e informações de comunidades e empresas locais, estabelecimentos de saúde, além de vários outros setores. Com o objetivo de auxiliar tais estabelecimentos em seus esforços para melhorar a segurança, a CNIL publicou um documento com as principais lições aprendidas em suas investigações sobre o tema. As recomendações também se baseiam em casos relatados por controladores no contexto de notificações de incidentes de segurança, além de ter como base as melhores práticas apresentadas pela Agence nationale de la sécurité des systèmes d’information (ANSSI) .
República Tcheca
A Autoridade de Proteção de Dados da República Tcheca publicou comentário sobre a medida do Ministério da Saúde do país que impõe novas obrigações de tratamento de dados
Em 26 de abril de 2021, por meio da Resolução nº 418, o Governo da República Tcheca aprovou preliminarmente a medida extraordinária elaborada pelo Ministério da Saúde, a qual determina que barbearias, cabeleireiros, manicures, cosméticos, massagens e outros serviços, mantenham um cadastro com dados dos clientes, para caso sejam instaurados eventuais inquéritos epidemiológicos. Um grande número de empresas que, em muitos casos, nunca armazenaram dados sobre seus clientes, nem possuem condições técnicas para tanto, terão que arcar com uma nova obrigação de tratamento de dados pessoais. No entanto, segundo a Autoridade de Proteção de Dados da República Tcheca, a obrigação de tratamento foi imposta sem especificações suficientemente claras, deixando de fornecer orientações essenciais, tais como o detalhamento da finalidade do tratamento, o período da retenção dos dados coletados, as diretrizes para a segurança técnica e organizacional, além da necessidade de prestação de informações aos titulares dos dados. Dessa forma, concluiu a Autoridade, a obrigação de manter registros de clientes para as necessidades de uma “possível investigação epidemiológica”, sem determinar a finalidade específica e outros parâmetros de processamento, com base nos princípios de proteção de dados da GDPR, seria inadmissível.
Argentina
O Diretor Nacional de Proteção de Dados Pessoais da Argentina, Eduardo Cimato, participou do webinar “Diálogos com autoridades de proteção de dados – 1 # Incidentes de segurança na América Latina”, organizado pelo Laboratório de Políticas Públicas e Internet (LAPIN) , no qual foram apresentadas as políticas públicas que podem ser adotadas pelas autoridades de proteção de dados pessoais da Argentina, Uruguai e Brasil, para evitar eventuais incidentes de segurança. Na oportunidade, foram destacadas medidas para a resolução de incidentes, após a ocorrência da violação, bem como alternativas para que tais tipos de eventos sejam evitados. Em sua participação, o diretor argentino destacou que “A proatividade das organizações públicas e privadas é muito importante para evitar possíveis incidentes, analisando previamente o software e o hardware antes de lançar uma aplicação”. A reunião contou com a participação de Amanda Espiñeira, representante do LAPIN, Nairane Rabelo, diretora da Autoridade Nacional de Proteção de Dados do Brasil e Gonzalo Sosa, coordenador de proteção de dados da Unidade de Regulamentação e Controle de Dados Pessoais do Uruguai.
Itália
Autoridade Italiana envia aviso formal ao Governo sobre “certificados verdes”.
A norma recentemente aprovada pelo governo italiano para a criação e gestão de “certificações verdes” apresenta questões críticas que podem afetar a validade e o funcionamento do sistema para a reabertura de viagens durante a pandemia. A Autoridade Italiana alertou que é necessária uma ação urgente para proteger os direitos e as liberdades individuais e, por conta disso, enviou uma advertência formal, nos termos do Regulamento da UE, para todos os ministérios e demais partes envolvidas. O Garante observou, em primeiro lugar, que o chamado “decreto de reabertura” não estabelece uma base legal adequada para a utilização dos “certificados verdes” em escala nacional e está incompleto em termos de proteção de dados, sem uma avaliação dos possíveis riscos para os direitos dos titulares. Além disso, em contraste com as disposições do GDPR, o decreto não define com precisão as finalidades do tratamento dos dados, especialmente aqueles atrelados à saúde, deixando espaço para usos futuros e imprevisíveis, potencialmente desalinhados com a finalidade inicial proposta.
A Autoridade Italiana abriu uma investigação para verificar a legalidade do projeto de “certificação verde” para controle da Covid-19, lançado pela Província Autônoma de Bolzano. Com base nas declarações públicas emitidas pelo órgão local e no texto de uma portaria aprovada recentemente, apenas os titulares do denominado “CoronaPass Alto Adige” poderão ter acesso a determinados meios de alojamento, locais de lazer e treinamento, bem como participar de outras atividades, como eventos e práticas esportivas. O passe é emitido apenas para pessoas que concluíram o ciclo de vacinação, para aqueles que se recuperaram da Covid, ou que realizaram teste recente com resultado negativo. Conforme já comunicado, a Autoridade reitera que o tratamento de dados pessoais relacionados com iniciativas que limitam os direitos e liberdades das pessoas só pode ocorrer a partir de uma base legal adequada, aliada a uma avaliação de risco, com posterior adoção de medidas para proteger os titulares dos dados. Na comunicação enviada à Província Autônoma de Bolzano, a autoridade indica, ainda, que irá avaliar a adoção de limitações (temporárias ou definitivas) em relação ao projeto de certificação, incluindo eventual proibição do tratamento.
Noruega
Em 2017, o município de Enschede, na Noruega, decidiu medir a movimentação no centro da cidade por meio de sensores, contratando uma empresa especializada em contagem de transeuntes. Caixas de medição nas ruas captavam os sinais de WiFi dos telefones celulares das pessoas que passavam, sendo cadastrado um código único para cada telefone. No entanto, uma investigação recente da Autoridade Norueguesa verificou que era possível acompanhar qual telefone passava por cada caixa de medição por um longo período, possibilitando o rastreamento das pessoas. Apesar de não ser a intenção do conselho rastrear indivíduos e não terem sido encontradas evidências de que isso tenha acontecido, a própria existência de um “rastreamento de Wi-Fi”, já viola os princípios estabelecidos na GDPR. Diante disso, a Autoridade aplicou uma multa de 600.000 euros ao município de Enschede.
México
INAI e STN comprometidos com a proteção de dados de crianças e adolescente
Consoante a Comissária Presidente, Blanca Lilia Ibarra Cadena, o Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI) e órgãos fiadores do Sistema Nacional de Transparência (SNT), possuem o compromisso de desenvolver ações que promovam o conhecimento dos direitos de acesso à informação e proteção de dados pessoais para os mais jovens. No âmbito da celebração do Dia da Menina e do Menino, a comissária destacou, ainda, que, em razão da emergência sanitária, cada vez mais famílias dependem de plataformas tecnológicas e soluções digitais para que seus filhos aprendam, se divirtam e se conectem ao mundo exterior. No entanto, apesar das plataformas terem transformado nossas vidas, por estarmos conectados com diferentes ferramentas educacionais, de entretenimento e interação social, também aumentaram os perigos para a privacidade e proteção de dados dos menores. Nesse sentido, nem todas as crianças e adolescentes têm conhecimento, habilidades ou recursos suficientes para proteger seus direitos nesses ambientes. Diante disso, o Comissário Román Vergara destacou que o INAI, em coordenação com o SNT, lançou várias iniciativas, incluindo o “Monstros na Net”, que fornece informativos com auxílio de personagens da Vila Sésamo, com o objetivo de que meninas e meninos “desde tenra idade tenham capacidade crítica, noções de proteção e conceitos básicos para usar tecnologias de informação ”.
Considerando o dia das crianças, o INAI entende ser necessária a formação de uma cultura de proteção de dados para crianças e adolescentes
Para um ambiente digital seguro para meninas e meninos, o Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI) apela para a união de esforços com o objetivo de promover uma cultura de proteção de dados pessoais entre os mais jovens, de forma a evitar riscos à sua privacidade. No âmbito da celebração do Dia das Crianças, o INAI considera fundamental promover, desde a infância, o direito à proteção de dados pessoais, haja vista que, principalmente diante do contexto da pandemia, as tecnologias tornaram-se um meio para as crianças e adolescentes interagirem, assistirem aulas e desenvolverem diversas atividades recreativas. Além disso, é cada vez mais comum que as crianças acessem várias redes sociais, nas quais o fornecimento de informações pessoais pode representar uma ameaça à sua segurança e integridade física. Diante disso, o INAI reitera a necessidade de conscientização sobre a importância de proteger os dados pessoais no espaço digital e os riscos envolvidos na dinâmica do ecossistema digital.
Proteção de Dados nas Universidades
PASQUALE, Frank.
Neste artigo, publicado na coletânea “Robotics, AI, and Humanity”, Frank Pasquale analisa as oportunidades, mas também as tendências preocupantes de como a Inteligência Artificial é aplicada em finanças, seguros e imóveis. Em tais áreas, as pessoas são cada vez mais avaliadas e julgadas por máquinas, dentro da perspectiva do cenário da tecnologia financeira (Fintech). O cenário Fintech pode ser dividido em “Incrementalist Fintech” e “Futurist Fintech”. Os adeptos da “Incrementalist Fintech” usam dados, algoritmos e softwares para complementar os profissionais que realizam tarefas tradicionais nas instituições financeiras já existentes. Prometem “inclusão financeira”, mas essa inclusão pode ser predatória, assustadora e subordinadora. As formas de “inclusão financeira” utilizadas podem prejudicar a solvência, dignidade e o poder político dos indivíduos. Por sua vez, a concepção de “Futurist Fintech” se encaixa nas narrativas mais amplas do setor sobre o papel da automação na transformação da sociedade. Dessa forma, os adeptos de tal concepção afirmam ser mais justos, mas provavelmente oscilarão em suas aspirações de substituir a tecnologia nas principais instituições financeiras. Segundo o autor, quando usado para contornar ou cooptar autoridades monetárias estaduais, tanto os “Incrementalist Fintech” quanto os “Futurist Fintech” expõem problemas profundos no âmago da digitalização contemporânea das finanças.
MARTINS, Ricardo Marcondes.
Neste estudo o autor buscou examinar as questões controversas referentes ao Direito Administrativo e a disciplina legal da proteção de dados pessoais. Segundo o texto, a União tem competência para disciplinar o acesso privado aos dados pessoais, para fins empresariais ou não empresariais, mas não teria competência para disciplinar o acesso administrativo estadual e municipal. Em relação ao acesso não empresarial, existiriam acessos exclusivamente administrativos, dessa forma, o estudo buscou analisar a impossibilidade de tal acesso ser realizado por empresas estatais. Para o autor, esse acesso não se equipara ao realizado pelas empresas privadas que não integram a Administração Indireta. Por fim, o texto aponta que a aplicação de sanções administrativas pela ANPD só seria possível em relação às empresas estatais exploradoras de atividade econômica.
Proteção de Dados no Legislativo
Proposto Projeto de Lei para aprimorar as regras de segurança da informação constantes na LGPD
O Projeto de Lei 1599/2021, proposto pela Senadora Rose de Freitas (MDB/ES), altera a Lei Geral de Proteção de Dados Pessoais (LGPD), com o objetivo de aprimorar as disposições sobre segurança da informação. Modificando os artigos 44, 46 e 55-J, o destaque vai para a alteração no artigo 44§1º da Lei, que tem como objetivo reforçar a responsabilidade entre o controlador e operador que deixar de adotar as medidas de segurança previstas no artigo 46 da Lei. Atualmente, o PL está no Plenário do Senado Federal.
O Projeto de Lei 1589/2021, proposto pela Deputada Soraya Manato (PSL/ES), altera a Lei Geral de Proteção de Dados Pessoais (LGPD), para vedar o compartilhamento abusivo de dados pessoais e a discriminação de usuários na internet. O PL acrescenta disposições para, por exemplo, impedir que o acesso do titular aos serviços fornecidos pelo controlador seja condicionado ao compartilhamento de dados pessoais com terceiros. Atualmente, o PL está aguardando despacho do Presidente da Câmara dos Deputados.
Proteção de Dados no Judiciário
Trata-se de uma Ação de inconstitucionalidade sob o Nº 2085886-98.2021.8.26.0000, ajuizada com relação à Lei nº 3.699, do Município de Itápolis/SP, que torna pública a lista de vacinação contra Covid-19 no referido município. O argumento da ação aponta para o vício de iniciativa existente na edição do ato normativo, por envolver matéria cuja iniciativa competiria ao Chefe do Executivo Municipal, além de sustentar que haveria ofensa à intimidade e à Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709, de 14 de agosto de 2018), indo de encontro aos artigos 5º, caput e §2º, e 47, incisos I, II, XIV e XIX, alínea ‘a’, e 144, da Constituição Federal. O desembargador indeferiu a medida liminar pleiteada, ponderando que não estariam presentes os requisitos indispensáveis à concessão da medida de urgência, sendo requerida informações nos termos da Lei 9.868/99.
