Seja bem-vind@ a mais uma edição do Boletim! Nesta 39ª edição, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) divulgou as listas tríplices com os indicados para o […]
Seja bem-vind@ a mais uma edição do Boletim!
Nesta 39ª edição, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) divulgou as listas tríplices com os indicados para o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – CNPD. As escolhas ocorreram após decisão unânime do Conselho Diretor, conferindo maior legitimidade à deliberação. As listas, organizadas por ordem alfabética, serão encaminhadas para a Presidência da República que escolherá, de cada uma delas, um titular e um suplente. Destacamos que Bruno Bioni, diretor da Associação Data Privacy de Pesquisa, foi um dos candidatos selecionados.
Também no contexto brasileiro, salientamos que o WhatsApp assumiu o compromisso de colaborar com o Conselho Administrativo de Defesa Econômica (Cade), o Ministério Público Federal (MPF), a Autoridade Nacional de Proteção de Dados (ANPD) e a Secretaria Nacional do Consumidor (Senacon), após as recomendações emitidas por tais órgãos, em relação a pontos de preocupação apresentados pelas instituições sobre a nova política de privacidade do aplicativo. A recomendação tem como objetivo proteger os direitos dos titulares de dados pessoais, os direitos dos consumidores, além de intentar mitigar potenciais efeitos sobre a concorrência decorrentes da nova política a ser implementada.
No judiciário, destacamos a sentença do TJ/SP sobre o caso IDEC Vs. Viaquatro. Na Ação Civil Pública, proposta em 2018, o Instituto Brasileiro de Defesa do Consumidor (IDEC) requereu que a concessionária ViaQuatro, responsável pela linha amarela do metrô de São Paulo, cessasse imediatamente a coleta de dados, com o desligamento e retirada definitiva das câmeras instaladas, as quais tinham o objetivo de reconhecer a presença humana e realizar a identificação de emoção (feliz, insatisfeito, surpreso e neutro), gênero e faixa etária dos passageiros posicionados em frente ao sensor. Nesse sentido, a sentença confirmou a suspensão da coleta, determinada liminarmente pela justiça em 2018, além de proibir a ViaQuatro de captar imagens, sons e qualquer dado pessoal sem autorização prévia. A condenação do Tribunal de Justiça de São Paulo também determinou o pagamento de uma indenização no valor de R$ 100 mil por danos morais coletivos, que será destinada ao Fundo de Direitos Difusos.
Desejamos a tod@s uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
O Conselho Administrativo de Defesa Econômica (Cade), o Ministério Público Federal (MPF), a Autoridade Nacional de Proteção de Dados (ANPD) e a Secretaria Nacional do Consumidor (Senacon) emitiram recomendação nesta sexta-feira (07/05) ao WhatsApp e ao Facebook, relacionada à nova política de privacidade do aplicativo. Além de indicar providências sobre o acesso dos usuários à plataforma, os órgãos recomendam ao WhatsApp que adie a data de vigência de sua nova política, prevista para 15 de maio, enquanto não forem adotadas as recomendações sugeridas após as análises dos órgãos reguladores. No documento enviado às empresas, o Cade, MPF, ANPD e Senacon recomendam também que o WhatasApp se abstenha de restringir o acesso dos usuários às funcionalidades do aplicativo, caso não adiram à nova política, assegurando a manutenção do atual modelo de uso e, em especial, a manutenção da conta e o vínculo com a plataforma, bem como o acesso aos conteúdos de mensagens e arquivos. Os órgãos, ainda, aconselharam o Facebook para se abster de realizar qualquer tipo de tratamento ou compartilhar dados obtidos a partir do WhatsApp, com base nas alterações da política de privacidade, enquanto não houver o posicionamento dos órgãos reguladores. As empresas ficaram responsáveis por enviar resposta aos órgãos a respeito da adoção das obrigações recomendadas até o dia 10 de maio.
O WhatsApp assumiu o compromisso de colaborar com o Conselho Administrativo de Defesa Econômica (Cade), o Ministério Público Federal (MPF), a Autoridade Nacional de Proteção de Dados (ANPD) e a Secretaria Nacional do Consumidor (Senacon) em relação a pontos de preocupação apresentados pelas instituições sobre a nova política de privacidade do aplicativo de mensagens. A recomendação tem como objetivo proteger os direitos dos titulares de dados pessoais, os direitos dos consumidores, além de intentar mitigar potenciais efeitos sobre a concorrência decorrentes da nova política a ser implementada. Durante a semana, os órgãos reguladores se reuniram com representantes do WhatsApp e do Facebook para tratar do tema. No documento enviado às autoridades, o WhatsApp informa que não encerrará nenhuma conta, e que nenhum usuário no Brasil perderá acesso aos recursos do aplicativo, nos 90 dias posteriores ao dia 15 de maio, como resultado da entrada em vigor da nova política de privacidade e dos novos termos de serviço. Nesse período de 90 dias, o Cade, MPF, ANPD e Senacon farão novas análises e questionamentos, tendo a empresa se colocado à disposição para dialogar e prestar esclarecimentos em relação às recomendações ou quaisquer outras questões relacionadas à atualização dos termos do aplicativo.
O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – CNPD é uma das prioridades da ANPD e a divulgação das informações sobre a sua composição está dentro do compromisso da Autoridade com a transparência e com a participação social, princípios observados durante todo o processo de formação das listas. Nesse sentido, foram divulgadas as listas tríplices com os indicados para o Conselho, que foram oriundas de uma decisão unânime pelo Conselho Diretor, conferindo maior legitimidade à deliberação. As listas, organizadas por ordem alfabética, serão encaminhadas para a Presidência da República que escolherá, de cada uma delas, um titular e um suplente. Destacamos que Bruno Bioni, diretor da Associação Data Privacy de Pesquisa, foi um dos candidatos selecionados.
Dinamarca
Autoridade Dinamarquesa atualizou as suas orientações sobre consentimento
A Agência de Proteção de Dados Dinamarquesa, com o objetivo de manter as suas diretrizes atuais e úteis, procedeu com uma atualização das instruções atreladas ao consentimento. O objetivo do guia é fornecer uma introdução às regras sobre consentimento como base legal para tratamento de dados, a partir do Regulamento de Proteção de Dados (GDPR). As principais atualizações foram: a) Tornar claro que as autoridades públicas não podem, em princípio, processar dados pessoais com base no consentimento. Além disso, ficou esclarecido que a exigência de “consentimento” dos cidadãos em outra legislação não significa necessariamente que o tratamento de dados pessoais deve ocorrer com base nesse consentimento; b) Rolar ou deslizar por um site, ou outra atividade de usuário semelhante na Internet, não é considerado uma expressão inequívoca de vontade.
European Data Protection Supervisor (EDPS)
Autoridade Norueguesa: intenção de aplicar multa de € 2,5 milhões contra a empresa Disqus Inc.
A Autoridade de Proteção de Dados da Noruega notificou a Disqus Inc. (Disqus) acerca da aplicação de uma multa administrativa no valor de NOK 25.000.000, com base na ausência de conformidade com as regras do GDPR sobre responsabilidade, legalidade e transparência. Disqus é uma empresa americana de propriedade da Zeta Global. A empresa oferece uma plataforma de compartilhamento de comentários públicos online que era usada anteriormente por vários jornais online noruegueses, além de ter ligação com operações de programmatic advertising. A Autoridade Norueguesa foi informada sobre as violações por meio de artigos da Norwegian National Broadcaster (NRK). De acordo com a NRK, o Disqus realizou rastreamento ilegal de visitantes de sites noruegueses usando o plug-in da empresa, com o objetivo de enviar os dados coletados para terceiros parceiros de publicidade. A NRK afirmou, ainda, que isso aconteceu porque a Disqus não sabia que o GDPR se aplicava na Noruega, o que foi confirmado pela empresa em uma entrevista. De acordo com as informações disponíveis, esse tipo de incidente tem sido um problema recorrente na Noruega.
A Autoridade de Proteção de Dados da Islândia multou a empresa InfoMentor no valor de ISK 3.500.000 (EUR 23.100) por não garantir a segurança adequada dos dados pessoais dentro do sistema Mentor, um sistema destinado a escolas e outros setores que trabalham com crianças. Devido a uma vulnerabilidade que fazia o número do sistema de seis dígitos de cada usuário ficar visível no endereço URL dentro do sistema Mentor, partes não autorizadas obtiveram acesso aos números de identificação nacional e perfis de mais de 400 crianças. O incidente foi relatado como uma violação de dados em fevereiro de 2019. A InfoMentor admitiu que a empresa estava ciente da vulnerabilidade e que uma solução já havia sido criada, entretanto, devido a um erro humano, ela não foi totalmente implementada. O InfoMentor também enviou por engano os números de identificação nacional dos alunos afetados pelo incidente para as escolas erradas, tornando a situação ainda mais preocupante.
Espanha
A AEPD publicou um guia sobre proteção de dados e relações de trabalho
A Autoridade Espanhola de Protecção de Dados (AEPD) publicou o guia “Protección de datos y relaciones laborales” com o objetivo de oferecer uma ferramenta prática para ajudar as organizações públicas e privadas no cumprimento adequado da legislação. A aplicação do Regulamento Geral de Proteção de Dados (GDPR) e da Lei Orgânica de Proteção de Dados e Garantia de Direitos Digitais (LOPDGDD) implicou em uma série de alterações no que diz respeito aos direitos dos trabalhadores, no que tange à coleta e tratamento de seus dados. Da mesma forma, o guia aborda também questões que estão sendo cada vez mais discutidas, como a possibilidade de consulta do empregador às redes sociais do trabalhador, sistemas internos de denúncia (denúncia de irregularidades), registo do horário de trabalho, proteção dos dados das vítimas de assédio no trabalho, ou mesmo o uso de tecnologia como elemento de controle. O documento inicia elencando as bases legais que legitimam o tratamento dos dados pessoais, as informações que devem ser fornecidas e os direitos à proteção de dados aplicados ao ambiente de trabalho. Além disso, aborda também o princípio da minimização, uma vez que a celebração do contrato de trabalho não implica que o empregador possa conhecer todo o tipo de dado pessoal dos trabalhadores.
Autoridade Espanhola lançou guia com 10 mal-entendidos mais comuns acerca da anonimização
A Autoridade Espanhola de Proteção de Dados (AEPD) publicou um guia com os 10 mal-entendidos mais comuns sobre anonimização. De acordo com a legislação de proteção de dados da União Europeia, principalmente o Regulamento Geral de Proteção de Dados (GDPR), dados anônimos constituem “as informações que não se referem a pessoas naturais identificadas, que foram tornados anônimas de forma a não permitir a sua identificação”. Tais tipos de dados desempenham um papel importante no contexto da pesquisa em áreas como medicina, demografia, marketing, economia, estatística e muitas outras. No entanto, esse grande interesse tem levado à disseminação de mal-entendidos sobre o assunto. Dessa forma, o objetivo do documento é sensibilizar o público sobre alguns mal-entendidos relacionados com anonimato, e motivar os leitores a verificar a veracidade das afirmações relacionadas à tecnologia, em vez de aceitá-las sem questionamentos.
Estados Unidos
A Federal Trade Commission (FTC) firmou um acordo com o desenvolvedor de um aplicativo de fotos que supostamente teria enganado os consumidores sobre o uso de tecnologia de reconhecimento facial, bem como sobre a retenção de fotos e vídeos de usuários que desativaram suas contas. Em uma reclamação anunciada pela primeira vez em janeiro de 2021, a FTC alegou que a Everalbum, Inc. enganou os usuários de seu aplicativo, afirmando que não aplicava tecnologias de reconhecimento facial aos conteúdos, a menos que os usuários decidissem ativar o recurso. No entanto, a empresa deixava ativado por padrão o recurso de reconhecimento facial – que não podia ser desativado – para todos os usuários de aplicativos móveis, exceto aqueles que viviam em três estados dos EUA e na União Europeia. A FTC alegou que a empresa também não cumpriu seu compromisso de excluir as fotos e vídeos dos usuários que haviam desativado suas contas e, em vez disso, reteve tais dados indefinidamente. Como parte do acordo, a Everalbum, Inc. deve obter o consentimento expresso dos consumidores antes de usar a tecnologia de reconhecimento facial em suas fotos e vídeos. O pedido proposto também exige que a empresa exclua dados dos usuários do aplicativo que desativaram suas contas, além de que seja fornecido os modelos e algoritmos que foram desenvolvidos a partir das fotos e vídeos outrora coletados. Por fim, se a empresa comercializar software para consumidores norte-americanos para uso pessoal, ela deve obter o consentimento expresso dos usuários, antes de usar as informações biométricas coletadas.
Reino Unido
O Information Commissioner ‘s Office (ICO) e o Office of the Privacy Commissioner (OPC) da Nova Zelândia assinaram hoje um Memorando de Entendimento (MOU). A cooperação entre as autoridades internacionais de proteção de dados é essencial em tempos de negócios globais baseados em dados, e esse memorando se baseia na forte colaboração que as duas autoridades já desfrutam como membros ativos da Assembleia Global de Privacidade, que o ICO atualmente preside. O MOU surge logo após a entrada em vigor da nova lei de privacidade da Nova Zelândia e em um momento de aumento do comércio entre o Reino Unido e a Nova Zelândia. Além disso, o memorando também codifica e define como as autoridades continuarão a compartilhar experiências e melhores práticas; cooperar em projetos específicos de interesse; e compartilhar informações ou inteligência para apoiar seus trabalhos de fiscalização.
França
Autoridade Francesa encerrou procedimento contra o Google Llc e Google Ireland Limited
Em dezembro de 2020, além de ter condenado ao pagamento de multas nos valores de 60 e 40 milhões de euros, a Autoridade Francesa (CNIL) ordenou às empresas Google Llc e Google Ireland Limited que, no prazo de três meses, informassem previamente, de forma clara, aos usuários, na página inicial do site “google.fr”: a) as finalidades de todos os cookies, bem como que estão sujeitos a consentimento dos usuários; b) os meios à disposição dos usuários para recusá-los. Diante das respostas fornecidas pelas empresas dentro do prazo estipulado e considerando que satisfizeram a liminar proferida, o comitê da CNIL decidiu encerrar o procedimento em 30 de abril de 2021 .
A CNIL emitiu parecer sobre projeto de passe de saúde para acesso a grandes aglomerados de pessoas
A CNIL emitiu parecer sobre o plano do Governo francês relativo à implementação do sistema de “passe de saúde” para regular o acesso a determinados locais, estabelecimentos, ou eventos, devido ao contexto da atual situação sanitária mundial. Em primeiro lugar, a Autoridade lembra a necessidade de garantir o caráter temporário do dispositivo. Em seguida, considera que o passe deve se limitar a eventos que envolvam grandes aglomerações de pessoas, excluindo, em particular, atividades da vida cotidiana (locais de trabalho, restaurantes, lojas, etc.), o que permite diminuir o risco de infrações à privacidade e proteção de dados das pessoas. No entanto, considerando que os direitos e liberdades fundamentais dos cidadãos estão em jogo, a CNIL entende que a lei deve definir, de forma precisa, as finalidades, a natureza dos locais, estabelecimentos e eventos em discussão, bem como o limite máximo de pessoas em cada local. Deve também ser proibida a possibilidade de profissionais não abrangidos pelo sistema, condicionarem, por iniciativa própria, o acesso ao seu estabelecimento, mediante apresentação do passe de saúde. Por último, a CNIL destaca que o sistema deve incorporar algumas de garantias aos titulares, de forma a limitar ao máximo a divulgação e retenção de informações pessoais, além de evitar qualquer risco de discriminação..
Holanda
Autoridade Holandesa aplicou multa de 525.000 euros ao site Locatefamily.com
A Autoridade Holandesa de Proteção de Dados (AP) impôs uma multa de EUR 525.000 contra o site Locatefamily.com. Segundo as investigações, esse domínio publica endereços e números de telefone de pessoas, geralmente sem que elas tenham ciência. Além disso, não é fácil requerer que os dados sejam apagados, tendo em vista que o Locatefamily.com não tem um representante na União Européia (UE), o que por si só representa violação à legislação e privacidade e enseja a aplicação de multa. Para forçar o Locatefamily.com a constituir uma representação, a Autoridade também impôs que até 18 de março de 2021, a empresa deveria nomear um representante na UE. Em caso de descumprimento, o Locatefamily.com deverá pagar 20.000 euros por cada 2 semanas em que a cobrança não seja atendida, sendo 120.000 euros o valor máximo a ser pago.
Autoridade Holandesa aplicou multa a partido político por não relatar vazamento de dados
A Autoridade Holandesa de Proteção de Dados (AP) impôs uma multa de 7.500 euros ao Partido para a Liberdade (PVV) da Holanda. A multa foi aplicada porque o PVV Overijssel não relatou uma violação de dados ocorrida à AP. O incidente ocasionou o vazamento das opiniões políticas de diversas pessoas, tendo a sua origem em um e-mail que abordou uma reunião do partido. No email, 101 destinatários eram referidos como “amigos do PVV”. Devido a um erro de um funcionário do grupo, os endereços de e-mail (e, portanto, os nomes) dos destinatários ficaram visíveis para todos que receberam o convite. Como resultado, as opiniões políticas dos destinatários foram expostas sem o seu consentimento.
Itália
O Tik Tok está empenhado em adotar novas medidas no mercado italiano para impedir de forma ainda mais eficaz o acesso das crianças à plataforma. Segundo a Autoridade Italiana, os procedimentos adotados pela empresa, após as medidas e recomendações de emergência proferidas pelo Garante, trouxeram resultados significativos, mas ainda não suficientes, dada a importância dos interesses em jogo. Entre 9 de fevereiro, início do bloqueio imposto pela Autoridade, e 21 de abril, mais de 12 milhões e meio de usuários italianos foram solicitados a confirmar que tinham mais de 13 anos para acessar a plataforma. Nesse sentido, foram removidos cerca de 500 mil usuários devido à probabilidade de que tenham menos de 16 anos, sendo que aproximadamente 400.000 desse total foram excluídos porque declararam ter menos de 13 anos, enquanto os outros 140.000 tiveram suas contas excluídas após a implementação no aplicativo de uma combinação de ferramentas de relatórios. Assim, a Garante requereu ao Tik Tok que fossem implementadas uma série de outras intervenções, com o objetivo de manter os menores de 12 anos fora da plataforma: a) garantir o cancelamento, no prazo de 48 horas, das contas informadas e que resultem, após verificação, em nome de usuários menores de 13 anos; b) fortalecer os mecanismos de bloqueio dos dispositivos utilizados por menores de 18 anos para tentar acessar a plataforma; c) estudar e desenvolver soluções, também baseadas em inteligência artificial, que, de acordo com a normativa sobre proteção de dados pessoais, possibilitem minimizar o risco de uso da plataforma por menores de 13 anos; d) lançar novas iniciativas de comunicação, tanto no aplicativo, como através da rádio e jornais, de forma a educar e possibilitar uma utilização consciente e segura da plataforma; e) compartilhar com a Autoridade dados e informações relativos à eficácia das diversas medidas adotadas, de forma a colaborar na identificação de medidas eficazes e capazes de conter o fenômeno. Destaque-se que a Autoridade Italiana acompanhará o cumprimento do Tik Tok em relação aos compromissos assumidos, e continuará com sua atividade de investigação no âmbito do processo já iniciado contra a plataforma.
Assinada em 1981, muito antes da era da Internet e das comunicações eletrônicas, a “Convenção do Conselho da Europa para a Proteção de Indivíduos em Relação ao Tratamento Automatizado de Dados Pessoais” (Convenção 108) tinha como objetivo a proteção do direito de respeito pela vida privada e é o único acordo multilateral juridicamente vinculativo no domínio da proteção de dados pessoais. A Convenção 108 desempenha um papel fundamental na divulgação do “modelo europeu de proteção de dados” em todo o mundo, sendo frequentemente utilizada como fonte de inspiração por países que pretendem adotar novos regulamentos em matéria de privacidade, ou harmonizar os existentes com as normas internacionais. O Protocolo de Alteração define o princípio da legalidade do processamento de forma mais específica (com referência aos requisitos relativos ao consentimento), além de reforçar a proteção de categorias especiais de dados. O acordo atualizado também prevê garantias adicionais para os titulares (em particular, a obrigação de avaliar o impacto provável de uma operação de processamento de dados a ser realizada, a obrigação de adotar as medidas técnicas e organizacionais adequadas e a obrigação de denunciar violações de dados graves) e permite-lhes fortalecer os seus direitos (em particular, transparência e acesso aos dados). Por fim, o acordo atualizado prevê a designação de uma ou mais Autoridades independentes encarregadas de zelar pelo cumprimento das disposições, com poderes adicionais, como, por exemplo, a de emitir decisões sobre sua violação e impor sanções administrativas.
México
No Dia Mundial da Internet, o Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI) exigiu a união de esforços para garantir aos mais de 80 milhões de usuários do México o acesso seguro à rede, considerando que a pandemia aumentou seu uso e se tornou um meio indispensável, inclusive, para manter o acesso à informação das pessoas. Como garantidor do direito à proteção de dados pessoais, o INAI implementou uma série de ações para ajudar os usuários a proteger sua privacidade, convidando-os a consultar as recomendações, ferramentas, microsites e guias que desenvolveu para esse fim. Para manter a privacidade na internet, é fundamental ter ingerência sobre o fluxo de dados pessoais que circulam, voluntária ou involuntariamente, na rede, por meio de páginas da web, aplicativos, ou qualquer tipo de software que permite o armazenamento de informações, que mais tarde podem ser comercializadas para diferentes fins, como estudos de mercado.
DATACON 2021: construção de uma política nacional de dados públicos abertos
Os trabalhos, reflexões e práticas compartilhadas na National Data Conference Open (DATACON) 2021 são o ponto de partida para a construção de uma política nacional pública de dados abertos no país, disse o comissário do Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI), Adrián Alcalá Méndez. O comissário reconheceu os esforços das organizações da sociedade civil para realizar a primeira edição da Conferência, como espaço de diálogo e colaboração entre pessoas e instituições nacionais e internacionais, de diferentes setores, interessados na geração, publicação, uso e exploração de dados abertos, o que se refletiu nos painéis com mais mais de 70 expositores. Ele explicou que nas diferentes sessões foram compartilhadas experiências, melhores práticas, bem como foi analisado o status da agenda de dados abertos no México, debates que serão considerados para a construção de uma política nacional na matéria, cujos resultados e pactuações serão compartilhados por meio do site datacon.mx.
Proteção de Dados nas Universidades
Amazon Go, surveillance capitalism, and the ideology of convenience
HUBERMAN, Jenny
Tomando o trabalho de Shoshana Zuboff sobre o capitalismo de vigilância como ponto de partida, o artigo pretende explorar a questão focando uma das mais novas iniciativas de negócios da Amazon, o Amazon Go. Lançada em 2018, a iniciativa envolveu a abertura de vinte e seis lojas destinadas a aumentar a conveniência do cliente ao incorporar “aprendizado de máquina, visão computacional e IA na própria estrutura da loja”, para que os clientes “nunca precisem esperar na fila”. Baseando-se em uma variedade de dados, incluindo vídeos promocionais, relatórios de marketing, entrevistas com os designers da iniciativa e comentários de clientes, o texto objetiva expor como a conveniência opera não apenas como um cobiçado produto de consumo, mas também como uma ideologia central para a capacidade da Amazon de explorar o excedente comportamental de seus clientes e legitimar novas formas de acumulação e extração de capital. Ao interrogar como a conveniência funciona nessa capacidade, o artigo busca maiores entendimentos da economia de conveniência, ao mesmo tempo que retorna a uma questão de longa data dentro da antropologia econômica: qual o papel que as ideologias desempenham na sustentação e perpetuação de sistemas econômicos exploradores?
Decifrando a mensagem do caso Whatsapp enviado pelo grupo de autoridades brasileiras – Observatório
BIONI, Bruno; ZANATTA, Rafael.
O texto, escrito por Bruno Bioni e Rafael Zanatta para o Observatório da Privacidade, tem como objetivo discutir a recomendação conjunta elaborada pelas principais autoridades brasileiras de direitos difusos – incluindo aqui os direitos à ordem econômica justa e direitos dos consumidores, previstos na Constituição Federal – sobre a nova Política de Privacidade do Whatsapp, ocorrida na última sexta-feira (07/05). É a primeira vez que Ministério Público Federal (MPF), Secretaria Nacional do Consumidor (Senacon), Conselho Administrativo de Defesa Econômica (Cade) e Autoridade Nacional de Proteção de Dados (ANPD) se posicionam em conjunto diante de uma potencial violação de direitos à proteção de dados pessoais. Com o posicionamento de sexta-feira, o país se junta ao rol de países do “Sul Global” que contestam as práticas de compartilhamento de dados entre empresas do grupo Facebook Inc., incluindo Índia e Turquia. É, no entanto, o primeiro com tamanho nível de cooperação e articulação interinstitucional. A recomendação do quarteto (MPF-ANPD-Cade-Senacon) parece ser uma demonstração efetiva daquilo que está previsto na Lei Geral de Proteção de Dados Pessoais, quando se diz que é papel da ANPD “articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação” (Art. 55-J, XXIII, LGPD). Como afirmado pela recomendação, pede-se o adiamento da política “enquanto não forem adotadas as recomendações sugeridas após as análises dos órgãos reguladores”.
Análise multijurisdicional de aquisições centradas em dados: diagnóstico atual e propostas de política pública para o Brasil
GRIEBELER, Lucas.
Após um ano de existência, a Associação Data Privacy Brasil de Pesquisa lançou a série “Textos de Discussão”, com o objetivo de amplificar as vozes e os debates sobre temas emergentes da relação entre tecnologia, proteção de dados pessoais, privacidade e outros direitos fundamentais. Nesse sentido, em conjunto com o Instituto Brasileiro de Defesa do Consumidor (IDEC), a associação publicou um estudo inédito abordando as “aquisições centradas em dados”, que consistem em fusões de duas ou mais empresas anteriormente independentes, com modelos de negócios baseados na exploração econômica de dados pessoais. A pesquisa foi produzida por Lucas Griebeler (Universidade de Chicago), apresentando recomendações para que o Conselho Administrativo de Defesa Econômica (Cade) possa endereçar aquisições orientadas à exploração econômica de dados pessoais, tema emergente no direito concorrencial contemporâneo, a partir do diálogo com a Autoridade Nacional de Proteção de Dados Pessoais (ANPD).
Proteção de Dados no Legislativo
Proposto Projeto de Lei para dispor sobre a portabilidade das informações de saúde
O Projeto de Lei 1704/2021, proposto pela Senadora Soraya Thronicke (PSL/MS), altera a Lei Geral de Proteção de Dados Pessoais (LGPD), para dispor sobre a portabilidade das informações de saúde. Modificando o artigo 11, o projeto propõe a inserção dos parágrafos 4-A, 4-B e 4-C, com o objetivo de procedimentalizar a portabilidade de dados de que trata o inciso I do § 4º. Destaca-se que o projeto estipula que os dados pessoais referentes à saúde devem ser mantidos “em formato interoperável e estruturado para uso compartilhado, nos termos do regulamento, garantida a preservação da integridade e do sigilo das informações”. Atualmente, o PL está no Plenário do Senado Federal.
O Projeto de Lei 1689/2021, proposto pela Deputada Alê Silva (PSL/MG), altera o Código Civil para dispor sobre perfis, páginas, contas, publicações e sobre os dados pessoais de pessoa falecida, incluindo seu tratamento por testamentos e codicilos. O PL acrescenta disposições para, por exemplo, incluir na herança os direitos autorais, dados pessoais e demais publicações e interações do falecido em provedores de aplicações de internet, além de buscar garantir aos herdeiros o direito de manter e editar as informações digitais do falecido, ou de transformar o perfil/página da internet em memorial. Atualmente, o PL está aguardando despacho do Presidente da Câmara dos Deputados.
Proteção de Dados no Judiciário
Sentença do TJ/SP sobre o caso IDEC Vs. Viaquatro condena a empresa concessionária
Em 2018, o Instituto Brasileiro de Defesa do Consumidor (IDEC) entrou com uma Ação Civil Pública contra a concessionária ViaQuatro, responsável pela linha amarela do metrô de São Paulo, questionando a tecnologia implementada pela empresa, que consiste em uma câmera que “reconhece a presença humana e realiza a identificação de emoção (feliz, insatisfeito, surpreso e neutro), gênero e faixa etária dos passageiros posicionados em frente ao sensor”. Na ação, o IDEC requereu que a empresa cessasse imediatamente a coleta de dados, com o desligamento e retirada definitiva das câmeras já instaladas, destacando, ainda “a ausência de cautela da ViaQuatro com a proteção da imagem de crianças e adolescentes, como prevista na Constituição Federal”. Nesse sentido, a sentença confirmou a suspensão da coleta de dados, determinada liminarmente pela justiça em 2018, além de proibir a ViaQuatro de captar imagens, sons e qualquer dado pessoal sem autorização prévia. A condenação do Tribunal de Justiça de São Paulo também determinou o pagamento de uma indenização no valor de R$ 100 mil por danos morais coletivos, que será destinada ao Fundo de Direitos Difusos.
