Seja bem-vind@ a mais uma edição do Boletim! Nesta 40ª edição, destacamos diversos movimentos recentes da Autoridade Nacional de Proteção de Dados (ANPD). Por exemplo, a ANPD publicou o […]
Seja bem-vind@ a mais uma edição do Boletim!
Nesta 40ª edição, destacamos diversos movimentos recentes da Autoridade Nacional de Proteção de Dados (ANPD). Por exemplo, a ANPD publicou o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”. O documento, primeiro do tipo publicado pela Autoridade, busca estabelecer diretrizes não-vinculantes aos agentes de tratamento e explicar quem pode exercer a função de controlador, de operador e de encarregado, as respectivas definições legais, os regimes de responsabilidade, casos concretos que exemplificam as explicações da ANPD e as perguntas frequentes sobre o assunto. Segundo a Autoridade, o recebimento de sugestões de aprimoramento do guia é contínuo e o documento será atualizado à medida que novas regulamentações e entendimentos forem publicados e estabelecidos.
Ainda no contexto brasileiro, destacamos que o Departamento de Proteção e Defesa do Consumidor (DPDC) da SENACON multou em R$ 8,8 milhões o Banco Pan por infração ao Código de Defesa do Consumidor na oferta e contratação de empréstimos consignados, que envolveu também violações à proteção de dados. Foi destacado, que, após vazamentos de dados dos aposentados e pensionistas vinculados ao Instituto Nacional do Seguro Social – INSS, estariam sendo feitas abordagens telefônicas de forma abusiva para que idosos adquirissem empréstimo ou cartão de crédito consignado, existindo casos em que tais consumidores não chegavam sequer a ser informados da abertura de contas e cadastros. O referido procedimento administrativo foi iniciado após denúncia do Instituto de Defesa Coletiva e a Nota Técnica foi publicada no dia 31/05 (segunda-feira).
No judiciário, destacamos uma importante movimentação ocorrida no TJ/DFT sobre o caso MPDFT Vs. Serasa S.A (Serasa Experian). Na Ação Civil Pública, a 2ª Turma Cível do Tribunal de Justiça do Distrito Federal e dos Territórios (TJDFT), confirmou, com base na Lei Geral de Proteção de Dados (LGPD), a liminar anteriormente concedida, mantendo a suspensão da comercialização de dados pessoais de milhões de consumidores pela Serasa Experian. Em novembro do ano passado, a Corte concedeu ao MPDFT a antecipação de tutela, proibindo a Serasa S.A de vender tais informações, entretanto, a empresa recorreu da decisão. A ação foi ajuizada pela Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec), após a Unidade ter identificado que a Serasa Experian vendia, pelo preço de R$ 0,98 por pessoa cadastrada, informações pessoais como nome, endereço, CPF, números de telefones, localização, perfil financeiro, poder aquisitivo e classe social, para fins de publicidade e para empresas interessadas em captação de novos clientes.
Desejamos a tod@s uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
A Autoridade Nacional de Proteção de Dados brasileira (ANPD) abriu, no dia 25/05, as inscrições para participação de especialistas em suas reuniões técnicas sobre relatório de impacto à proteção de dados pessoais. As inscrições, que poderão ser feitas até às 23:59 do dia 01/06, não garantem vaga para participação, mas sinalizam o interesse do especialista em contribuir com o processo de regulamentação. Destaca-se que a ANPD levará em consideração a diversidade na seleção dos candidatos. Serão selecionados seis especialistas para responderem quatorze perguntas nos dias 21/06, 23/06 e 25/06, que serão divididas em três blocos: (i) Bloco 01: Abordará questionamentos sobre qual a metodologia é a mais adequada, compreensão de “alto risco”, solicitação de auditoria independente pela ANPD, entre outros debates; (ii) Bloco 02: Abordará as exceções à solicitação de relatório de impacto, identificação de quais circunstâncias devem estar presentes para que um relatório seja recomendável, bem como se existem hipóteses de obrigatoriedade, entre outros pontos; (iii) Bloco 03: Buscará compreender se um tratamento com base no legítimo interesse deve ter por exigência um relatório de impacto prévio, como o segredo industrial ou comercial pode limitar o conteúdo de um relatório, entre outras discussões. As reuniões serão transmitidas pelo canal da ANPD no YouTube, sempre às 10h00, devendo o interessado ter disponibilidade para comparecer, de forma virtual, nos referidos dias e horários.
ANPD e CADE assinaram acordo de cooperação na quarta-feira (02/06)
No dia 02/06 (quarta-feira), a Autoridade Nacional de Proteção de Dados (ANPD) e o Conselho Administrativo de Defesa Econômica (Cade) firmaram um Acordo de Cooperação Técnica. A assinatura aconteceu em um evento transmitido on-line com a presença dos presidentes das instituições: Alexandre Barreto, pelo CADE, e Waldemar Gonçalves Ortunho Júnior, pela ANPD. Esse é o segundo Acordo de Cooperação Técnica celebrado pela ANPD, e representa mais um passo na articulação da Autoridade com outros órgãos para fortalecimento do ambiente de proteção de dados pessoais e da privacidade no Brasil. O presidente da ANPD, Waldemar Gonçalves Ortunho Junior, indica que “tem-se como objetivo desse acordo o combate às atividades lesivas à ordem econômica e o fomento e a disseminação da cultura da livre concorrência nos serviços que vindicarem a proteção de dados pessoais”. Tal objetivo se concretizará a partir da execução de obrigações comuns para a ANPD e o CADE, como o compartilhamento de conhecimentos e experiências, realização de reuniões e workshops, promoção conjunta de eventos e, em especial, a cooperação em casos de infrações à ordem econômica que envolvam dados pessoais.
A Autoridade Nacional de Proteção de Dados (ANPD) publicou nesta sexta-feira, dia 28/05, a consulta pública sobre a norma de fiscalização da Autoridade. A consulta, que estará disponível pela plataforma Participa + Brasil pelos próximos 30 dias, é a primeira a ser realizada pela ANPD, que já utilizou instrumentos de participação como tomadas de subsídios e reuniões técnicas. A Lei Geral de Proteção de Dados (LGPD) determina que a ANPD realize consulta e audiência pública antes de publicar os seus atos normativos, permitindo, assim, a promoção do diálogo direto entre a Autoridade e o cidadão no processo de regulamentação da proteção de dados no Brasil. De acordo com o Diretor Joacil Basilio Rael, a publicação da consulta pública demonstra que a ANPD trabalha para cumprir os prazos previstos pela LGPD e tem preocupação com a participação social nesse processo. Na plataforma, foram também disponibilizados o Relatório de Análise de Impacto Regulatório e os votos proferidos pelos diretores. Em breve, a Autoridade divulgará a data para realização de audiência pública, que deverá ser realizada de forma remota.
ANPD publicou Guia Orientativo sobre agentes de tratamento e encarregado
A ANPD publicou no dia 28/05, o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”. O documento, primeiro do tipo publicado pela Autoridade, busca estabelecer diretrizes não-vinculantes aos agentes de tratamento e explicar quem pode exercer a função de controlador, de operador e de encarregado, as respectivas definições legais, os regimes de responsabilidade, casos concretos que exemplificam as explicações da ANPD e as perguntas frequentes sobre o assunto. Destaca-se que a atual versão é a primeira edição do guia, que está sujeita a comentários e contribuições pela sociedade civil. Segundo a Autoridade, o recebimento de sugestões de aprimoramento do guia é contínuo e o documento será atualizado à medida que novas regulamentações e entendimentos forem publicados e estabelecidos. Para Waldemar Gonçalves Ortunho Junior, Presidente da ANPD, a publicação do guia é um importante passo para a função orientativa da ANPD: “A elaboração do guia demonstra a preocupação da ANPD com os questionamentos que têm sido feitos pelos agentes de tratamento e pelos titulares de dados. O documento traz segurança jurídica e sana algumas das principais dúvidas que surgiram ao longo dos primeiros meses de existência da Autoridade”
O Departamento de Proteção e Defesa do Consumidor (DPDC) da SENACON multou em R$ 8,8 milhões o Banco Pan por infração ao Código de Defesa do Consumidor na oferta e contratação de empréstimo consignado, com violação também aos dados pessoais. Segundo a Nota Técnica nº35/2021 (SENACON/MJ/DPDC), o banco teria realizado “práticas abusivas na oferta de empréstimos consignados”, além de não ter fornecido informações claras e adequadas aos consumidores, incorrendo também na “violação de dados pessoais de idosos”. Foi destacado, ainda, que após vazamentos de dados dos aposentados e pensionistas vinculados ao Instituto Nacional do Seguro Social – INSS, estariam sendo feitas abordagens telefônicas de forma abusiva para que idosos adquirissem empréstimo ou cartão de crédito consignado, existindo casos em que tais consumidores não chegavam sequer a ser informados da abertura de contas e cadastros. O mencionado procedimento administrativo foi iniciado após denúncia do Instituto de Defesa Coletiva e a Nota Técnica foi publicada no dia 31/05 (segunda-feira).
Argentina
A pandemia da COVID-19 acelerou o uso de várias ferramentas tecnológicas por crianças e adolescentes, principalmente para dar continuidade aos estudos e ao aprendizado. Diante disso, a Agência Argentina elaborou um conjunto de recomendações para promover o uso responsável das tecnologias e proteger a privacidade dos mais jovens. Crianças e adolescentes estão expostos a conteúdos não apropriados para sua idade, a partir de páginas da web que costumam utilizar aplicativos, redes sociais e até publicidade online, o que pode ocasionar consequências muito prejudiciais para o âmbito emocional e psicológico. Assim, a Agência entende ser importante que as crianças aprendam desde cedo os direitos que têm sobre os seus dados pessoais. Dessa maneira, para evitar o acesso a conteúdos inadequados como pornografia, jogos de azar, vícios, desinformação, entre outros, e também proteger a privacidade, a Autoridade recomenda os seguintes cuidados: (i) Incentivar o uso seguro da tecnologia no grupo familiar e acompanhar continuamente os mais jovens; (ii) Estabelecer mecanismos específicos que limitem o acesso a conteúdos inadequados e permitam o controle do uso dos dispositivos por crianças e adolescentes; (iii) Promover a utilização de aplicações seguras com conteúdos exclusivos para crianças, que facilitam as opções de controle parental; (iv) Implementar configurações de privacidade e segurança do aplicativos utilizados; (v) Ler os termos e condições dos aplicativos, a fim de verificar a idade
Bélgica
Aprovado o “EU Cloud CoC”, um código de conduta europeu para os sistemas de nuvem
No dia 19 de maio, o Conselho Europeu de Proteção de Dados (EDPB) emitiu um parecer favorável, permitindo à Autoridade da Bélgica aprovar seu primeiro código de conduta transnacional. Juntamente com a aprovação do código de conduta, a DPA credenciou a Scope Europe como o órgão responsável pela supervisão da norma, visando garantir que os membros cumpram suas disposições. O “EU Cloud CoC” incorpora os requisitos do artigo 28 do GDPR (sobre operadores), além de outros pontos relevantes, a fim de promover a sua implementação no sistema de nuvem (incluindo o fornecimento de IaaS ou “Infraestruturas como serviço”, PaaS “plataformas como serviço” e serviços SaaS “softwares como serviço”). A adesão a este código de conduta europeu para a nuvem também é possível para as PME ativas no setor. Segundo a Autoridade Belga, ao aprovar este código de conduta, a DPA está contribuindo para a interpretação harmonizada das disposições do GDPR para o sistema de nuvem em toda a União Europeia.
Catalunha
A Autoridade de Proteção de Dados da Catalunha (APDCAT) desenvolveu novas perguntas frequentes (FAQS) sobre proteção de dados, com o objetivo de esclarecer as dúvidas mais recorrentes do público em geral e dos responsáveis pelo tratamento de dados pessoais. Nesse sentido, a Autoridade renovou a seção da web correspondente, incorporando novas perguntas e respostas com uma estrutura mais intuitiva, organizadas a partir de cinco áreas temáticas. Duas delas são novas: a que inclui as questões dirigidas aos responsáveis pelo tratamento e a das questões dirigidas aos cidadãos. Três outras foram atualizadas ou expandidas, e tratam sobre o âmbito de atuação da APDCAT, da entrada em vigor do regulamento europeu, do glossário de principais conceitos, entre outros pontos. Por fim, o diretor da APDCAT, M. Àngels Barbarà, destacou que essa atualização é um dos objetivos do Plano Estratégico da APDCAT 2020-2022.
European Data Protection Supervisor (EDPS)
A DPA espanhola impôs multa de 1.500.000 euros à empresa EPD Energía, SAU por infrações ao GDPR
A Autoridade Espanhola (AEPD) considerou que a EDP ENERGIA, SAU não adotou medidas técnicas e organizacionais adequadas para verificar se as bases legais adotadas para operações de tratamento na empresa são adequadas, especialmente quanto à transferência de informações para empresas parceiras. O consentimento foi inicialmente requerido durante o procedimento de contratação, com finalidades específicas, que não foram observadas durante outras operações de tratamento. Consequentemente, a AEPD concluiu que a empresa violou o artigo 25 do GDPR. Diante disso, em conformidade com o artigo 83.º, n.º 4, alínea a), foi aplicada uma multa de 500.000 euros. A Autoridade também considerou que o documento da empresa destinado a prestar orientações sobre o tratamento de dados aos titulares não apresentou informações suficientes sobre o responsável pelo tratamento, sobre a base legal utilizada, nem demonstrou a possibilidade de oposição a atividades de tratamento pautadas na base legal do legítimo interesse. Além disso, em alguns procedimentos de contratação de serviços da empresa (por exemplo, contratação por telefone), a forma de acesso às informações exigidas no artigo 13.º do GDPR não é simples e imediata como deveria ser, culminando na violação também desse dispositivo. Dessa maneira, nos termos do artigo 83.º, n.º 5, alínea b), da mesma legislação, foi aplicada uma outra multa no valor de 1.000.000 euros.
Espanha
A AEPD publicou uma nova versão de seu guia para notificar violações de dados pessoais
A Agência Espanhola de Protecção de Dados (AEPD) publicou uma atualização do seu “Guia para a notificação de violações de dados pessoais”, documento que visa orientar os responsáveis pelo tratamento de dados sobre a obrigação de notificar as Autoridades de proteção de dados e comunicar os titulares afetados sobre a ocorrência de um incidente de segurança. Este guia atualiza a versão publicada em 2018, quando o Regulamento Geral de Proteção de Dados (GDPR) entrou em vigor, e inclui a experiência acumulada até o momento, tanto a nível nacional, como em relação aos critérios estabelecidos pelo Conselho Europeu de Proteção de Dados (EDPB). O principal objetivo da atualização é facilitar o cumprimento eficiente dos objetivos finais da notificação de violações de dados pessoais: a proteção efetiva dos direitos e liberdades dos titulares, a criação de um ambiente mais resiliente com base no conhecimento das vulnerabilidades da organização e a garantia da segurança jurídica. O Guia inicia definindo o que é uma violação de dados pessoais no contexto do panorama regulamentar europeu, nacional e setorial. Em seguida, identifica quando essa violação deve ser notificada à Autoridade de Proteção de Dados, em que prazo, e o que deve conter a notificação. Com relação à comunicação com os titulares afetados, o documento também especifica os casos, o conteúdo e os respectivos prazos. Por fim, o documento oferece orientações para facilitar e simplificar o cumprimento das obrigações.
Reino Unido
O ICO agiu contra empresa provedora de QR code para rastreamento de contato
O ICO multou uma empresa por enviar e-mails de marketing direto a pessoas que forneceram seus dados pessoais para fins de rastreamento de contatos. A Tested.me Ltd (TML), de St Albans, fornece serviços de rastreamento de contato digital que funcionam oferecendo às pessoas um QR code para ser escaneado ao chegar às instalações das empresas. A empresa enviou cerca de 84.000 e-mails incômodos no auge da pandemia da Covid-19, entre setembro e novembro do ano passado, quando as empresas estavam usando provedores de QR code privados para coletar dados pessoais, com o objetivo de atender às regras de rastreamento de contato do governo. O ICO multou a TML em £ 8.000 por usar dados pessoais para marketing sem o consentimento válido adequado. Além disso, de forma separada, a ICO também analisou o aumento do uso da tecnologia de QR code, com o objetivo de auxiliar o cumprimento das normas de proteção de dados, tendo entrado em contato com 16 fornecedores de QR code para garantir que eles também estavam lidando com as informações pessoais de maneira adequada. As verificações, que ocorreram nos últimos seis meses, revelaram que a maioria das empresas compreendia a relevância da legislação, bem como a importância de tratar dados pessoais de maneira justa e segura.
ICO e CMA definiram plano de cooperação em mercados digitais
O Information Commissioner ‘s Office (ICO) e a Competition and Markets Authority (CMA) publicaram uma declaração conjunta, expondo as suas opiniões partilhadas sobre a relação entre a concorrência e a proteção de dados na economia digital. A declaração dos reguladores do Reino Unido para concorrência e proteção de dados – a primeira desse tipo em todo o mundo- destaca a forte sobreposição entre a promoção da concorrência nos mercados digitais e a proteção dos dados pessoais. Uma regulamentação coerente e clara é vital para criar as condições que permitam o florescimento de novos serviços inovadores e para que as pessoas tenham confiança nos serviços digitais. O ICO e o CMA afirmam que, em vez de concorrência e proteção de dados estarem em oposição, eles são agendas complementares. Os reguladores se comprometeram a trabalhar juntos para encontrar soluções regulatórias que alcancem bons resultados de concorrência e proteção de dados. Os mercados digitais competitivos, com uma regulamentação coerente e bem direcionada, podem capacitar os consumidores, dando-lhes maior controle sobre seus dados pessoais e impulsionando resultados competitivos positivos. O compromisso foi firmado por meio de um Memorando de Entendimento (MOU) atualizado, que estabelece como os dois reguladores irão colaborar mais no futuro, por exemplo, por meio de compartilhamento de informações e o potencial para projetos conjuntos.
O ICO multou a empresa American Express por ter enviado quatro milhões de e-mails ilegais
O Information Commissioner ‘s Office (ICO) multou a American Express Services Europe Limited (Amex) em £ 90.000 por enviar mais de quatro milhões de e-mails de marketing a clientes que não queriam recebê-los. A ICO começou a investigar quando recebeu reclamações de clientes da Amex que estavam recebendo e-mails de marketing, apesar de terem optado por não recebê-los. Os e-mails incluíam detalhes sobre as recompensas de compras online com Amex; aproveitando ao máximo o uso do cartão e incentivando os clientes a baixar o aplicativo da empresa. Nesse sentido, a empresa rejeitou as reclamações de seus clientes ao afirmar que os e-mails em questão eram de serviço e não de marketing. Durante a investigação, o ICO descobriu que a Amex havia enviado mais de 50 milhões de “e-mails de serviços” para seus clientes. Foi revelado, ainda, que durante quase 12 meses, entre 1 de junho de 2018 e 21 de maio de 2019, 4.098.841 desses e-mails eram de marketing, destinados a incentivar os clientes a fazer compras com seus cartões que beneficiariam financeiramente a Amex. A Autoridade concluiu que o caso revela uma ação deliberada para ganho financeiro da organização, considerando que a empresa não revisou seu modelo de marketing após as diversas reclamações de clientes.
O ICO iniciou uma nova série de blogposts, com o objetivo de apoiar as organizações a cumprir o Age Appropriate Design Code. Segundo a Autoridade, nos próximos meses será fornecida uma explicação detalhada dos 15 padrões definidos no código, com dicas e conselhos práticos, para explorar alguns dos aspectos mais diferenciados e específicos do texto. A série é destinada a organizações que já estão familiarizadas com o código e com o Regulamento Geral de Proteção de Dados do Reino Unido . O primeiro post explora o uso e a elaboração do Data Protection Impact Assessments (DPIAs), respondendo às seguintes perguntas: (i) O que é um DPIA e o que ele oferece para mim?; (ii) O que devo fazer como parte de um DPIA?; (iii) Quando devo fazer um DPIA?.
República Tcheca
O Conselho Europeu para a Proteção de Dados (EDPB) adotou recentemente um novo documento: uma recomendação sobre a base legal para a retenção de dados de cartões de crédito que possua o único objetivo de facilitar novas transações. Em conexão com a pandemia da COVID-19, a economia digital e o comércio eletrônico estão se desenvolvendo cada vez mais, o que implica o aumento dos riscos associados à utilização de cartões de crédito no espaço online. Portanto, segundo a Autoridade, é importante que os controladores implementem salvaguardas adequadas para proteger os dados dos clientes. A recomendação visa promover a aplicação harmonizada das regras de proteção de dados pessoais, ao utilizar dados de cartões de crédito, em todo o Espaço Econômico Europeu. Especificamente, o documento trata do armazenamento dessas espécies de dados por fornecedores de bens e serviços na Internet, para facilitar futuras compras. Trata-se, portanto, de uma situação em que o cliente, titular dos dados, compra produtos ou serviços através de um site ou aplicativo móvel e, ao mesmo tempo, fornece os dados do seu cartão de crédito para concretizar a transação. Tal como acontece com qualquer tratamento de dados pessoais, nesse caso o responsável deve se pautar por uma base legal válida, de acordo com o artigo 6.º do Regulamento Geral de Proteção de Dados (GDPR). Assim, o documento analisa e aponta que nem todas as bases legais mencionadas no referido artigo são aplicáveis nessa situação, explicando as especificidades de cada caso.
França
Em 18 de maio de 2021, o Presidente da Autoridade de Proteção de Dados Francesa (CNIL) enviou cerca de vinte notificações formais a organizações que não permitem que os internautas recusem cookies com a mesma facilidade com que os aceitam. Na lista de entes notificados estão players internacionais da economia digital e diversos órgãos públicos. O prazo para cumprimento será de 1 mês, podendo ocorrer a aplicação de penalidades pecuniárias de até 2% do respectivo faturamento, em caso de descumprimento. Essa é a primeira campanha de verificações e medidas corretivas desde o termo do prazo concedido aos players para adequação dos seus sites e aplicativos às novas regras de cookies. Por fim, segundo a Autoridade, ações semelhantes serão realizadas nos próximos meses, sendo o tema uma das áreas prioritárias de controle da CNIL em 2021.
Holanda
A Autoridade Holandesa de Proteção de Dados (AP) impôs uma multa de 15.000 euros à empresa de manutenção CP&A por ter cometido violações no tratamento de dados de saúde de funcionários. A CP&A implementou um sistema que solicitava detalhes na ocorrência de falta de algum funcionário, ocasionando tratamento de dados de saúde para além do que comprovadamente necessário. O registo da empresa continha informações altamente sensíveis sobre a saúde física e/ou mental dos colaboradores, como nomes de doenças, queixas específicas e indicações de dor. Conhecendo o estado físico e emocional de uma pessoa, o empregador pode fazer julgamentos ou tomar decisões que podem ter um grande impacto grande sobre a vida dos colaboradores. Nesse sentido, a Autoridade destaca a desnecessidade de um empregador tratar todas essas informações para a reintegração de funcionários, situação que ocasionou diversas violações à proteção de dados pessoais.
Itália
Autoridade Italiana lançou documento com diretrizes e esclarecimentos para DPO’s
Qual é a função real do Encarregado de Proteção de Dados (DPO)? Que qualificações e que tipo de experiência profissional devem possuir? Quando é incompatível com outros cargos ou pode gerar situações de conflito de interesses? Essas e muitas outras perguntas serão respondidas pela Autoridade Italiana com um documento que abordará a designação, cargo e funções do Encarregado de Proteção de Dados (DPO) na esfera pública, por meio do site www.gpdp.it. A necessidade de esclarecimento fez-se necessária porque, três anos após a plena aplicação do GDPR, ainda existem várias incertezas ao redor dessa importante figura, obrigatória para o setor público. O DPO é uma referência essencial para garantir uma abordagem correta ao tratamento de dados, especialmente agora que as administrações públicas estão cada vez mais pressionadas pelo desafio da “transformação digital”. Um DPO experiente e competente, capaz de exercer as suas funções com autonomia de julgamento e independência, representa de fato, mesmo no atual período de emergência sanitária, um recurso fundamental para as Administrações e um ponto de contato válido para a Autoridade.
Certificado Verde: Autoridade Italiana enviou um aviso formal para a região da Campânia
A Autoridade Italiana adotou um dispositivo por meio do qual “alertou” formalmente a Região da Campânia que o sistema de certificação de vacinação e recuperação (Certificado Verde), promovido pela Região como condição necessária para a utilização de inúmeros serviços, viola a legislação de privacidade. Com base na investigação iniciada pelo Garante, concluiu-se que a iniciativa carece de base legal adequada. Disposições dessa natureza, que condicionam os direitos e liberdades pessoais, só são admissíveis se previstas por legislação nacional adequada, não podendo ser determinadas por decreto regional. Além disso, tal decreto ultrapassou as indicações anteriormente estabelecidas pelo “Decreto de Reabertura”, o qual já apresentava questões críticas específicas já comunicadas pela Autoridade ao Governo. Foi introduzido, ainda, o uso de smart cards como “sistema de emissão de certificado de vacinação”, sem ter sido especificado os responsáveis pelo tratamento, quem poderia acessar e utilizar as informações, bem como quem poderia verificar a validade e autenticidade dos certificados. Dessa forma, segundo a Autoridade, o projeto infringe os princípios básicos do Regulamento da UE sobre a proteção de dados pessoais, como o princípio da legalidade, qualidade, transparência e privacy by design.
México
A partir do dia 18 de junho, crianças e adolescentes do México poderão participar do “Concurso para ser Comisionada y Comisionado Infantil” e fazer parte do “Pleno Niñas y Niños 2021”, promovido pelo Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI) e pelo Sistema Nacional de Transparência, Acesso à Informação Pública e Proteção de Dados Pessoais (SNT), por meio das Agências Garantidoras das Entidades Federativas. O objetivo do concurso é promover a importância da privacidade e da proteção de dados pessoais entre os mais jovens, como parte da educação cívica para o exercício do direito à proteção de dados pessoais. Crianças e adolescentes de nacionalidade mexicana, de 10 a 12 anos, que comprovem estar cursando o atual ano letivo, devem apresentar um vídeo com duração de 3 a 5 minutos, por onde apresentarão seus argumentos e ideias sobre qualquer questão relacionada à privacidade, proteção de dados pessoais e infância.
No Dia Mundial da Internet, o Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI) promoveu uma união de esforços para garantir aos mais de 80 milhões de usuários do país o acesso seguro à rede, principalmente tendo em vista que a pandemia aumentou o seu uso, consolidando a Internet como um meio indispensável para manter a sociedade informada. Como Autoridade do direito à proteção de dados pessoais, o INAI implementou uma série de ações para ajudar os usuários a proteger sua privacidade na Internet. Nesse sentido, durante a comemoração, a Autoridade convidou as pessoas a consultarem recomendações, ferramentas, microsites e guias que desenvolveu para esse fim. Isso porque, segundo o INAI, para manter a privacidade na internet, é fundamental ter um mínimo controle do fluxo de seus dados, os quais são coletados por meio de páginas da web, aplicativos ou quaisquer tipos de softwares que permitem o armazenamento de informações.
Proteção de Dados nas Universidades
Guia de primeiros passos para a adequação das defensorias públicas à LGPD
BIONI, Bruno; ZANATTA, Rafael; KITAYAMA, Marina.
A Associação Data Privacy de Pesquisa lançou um documento que aborda os principais aspectos a serem considerados pelas Defensorias Públicas brasileiras frente ao processo de conformação à Lei Geral de Proteção de Dados (LGPD). O guia foi desenvolvido a partir das observações de mais de um ano de projeto junto aos órgãos. Inicialmente, os autores destacam que o objetivo do Guia não é, e nem poderia ser, propor um ‘’passo a passo’’ absoluto das medidas que uma Defensoria Pública deve adotar para se adequar à LGPD. Na realidade, todo o trabalho de pesquisa que embasa o documento parte da premissa de que não seria possível entregar um modelo pronto, que servisse apropriadamente à realidade complexa e múltipla de diferentes Defensorias brasileiras. Por essa razão, o Guia é um convite para reflexões acerca do uso dos dados, trazendo ideias e metodologias para que as próprias Defensorias compreendam o que é compatível com a sua realidade, recursos, necessidades e objetivos. Dessa forma, o documento percorre considerações de naturezas e profundidades diversas: desde as perspectivas e desafios que motivam a sua elaboração até descrições históricas e estruturantes da matéria da proteção de dados e da LGPD, passando por questões práticas de execução de um projeto de adequação.
Empowering Digital Users Through Design for Privacy
PARRILLI, Davide M; HERNÁNDEZ-RAMÍREZ, Rodrigo.
O artigo, que foi lançado na coletânea Perspectives on Design and Digital Communication II, discute os desafios e limitações do privacy by design como uma ferramenta eficaz para proteger a privacidade dos usuários. Segundo o texto, a legislação de proteção de dados da UE exige que todos os produtos, serviços ou sistemas que processam dados pessoais sejam projetados de acordo com uma privacidade desde a concepção. No entanto, os autores apontam que o privacy by design não tem bases sólidas para sustentar a privacidade fora de suas definições legais e pode funcionar apenas como uma ferramenta de “conformidade legal”. Diante disso, o texto aponta a necessidade de construir uma designerly compreensão da privacidade, sendo sugerida uma definição de privacy by design baseada em uma estrutura ética universalmente aceitável, com o objetivo de criar um conceito comum de privacy for design e para designers. Assim, com base na noção de privacy for design, o artigo apoia a criação de uma nova disciplina de design para aumentar a privacidade dos usuários e cidadãos: design for privacy.
Proteção de Dados no Legislativo
Proposto projeto para dispor sobre o uso de Sistemas de Inteligência Artificial
O Projeto de Lei 1969/2021, proposto pelo Deputado Gustavo Fruet (PDT/PR), cria lei para dispor sobre os princípios, direitos e obrigações na utilização de sistemas de inteligência artificial. O PL, além de propor conceitos iniciais e princípios aplicáveis aos provedores que desenvolvem sistemas de inteligência artificial, traz ponderações acerca de determinadas práticas, vedando o uso de sistemas de IA que visam à exploração das vulnerabilidades de grupos específicos de pessoas, seja em função da idade ou da condição física/mental. Outro ponto de destaque é que o projeto também determina a proibição do uso de sistemas de IA, por parte do Poder Público, com a finalidade de “aferir ou classificar a confiabilidade de pessoas naturais tomando como base o seu comportamento social ou por meio de mecanismos preditivos dos quais resultem um sistema de escore social de recompensas e punições”. Atualmente, o PL está aguardando despacho do Presidente da Câmara dos Deputados.
Proteção de Dados no Judiciário
Trata-se de Agravo de Instrumento interposto pelo Ministério Público (DF) na Ação Civil Pública de nº 0736634-81.2020.8.07.0001, contra a SERASA S.A. Com base na Lei Geral de Proteção de Dados (LGPD), a 2ª Turma Cível do Tribunal de Justiça do Distrito Federal e dos Territórios (TJDFT), confirmou, à unanimidade, liminar anteriormente concedida e manteve a suspensão da comercialização de dados pessoais de milhões de consumidores pela Serasa Experian. Em novembro do ano passado, a Corte concedeu ao MPDFT a antecipação de tutela e proibiu a Serasa S.A de vender tais informações; entretanto, a empresa recorreu da decisão. A ação civil pública foi ajuizada pela Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec), após a Unidade ter identificado que a Serasa Experian vendia, pelo preço de R$ 0,98, por pessoa cadastrada, informações pessoais como nome, endereço, CPF, números de telefones, localização, perfil financeiro, poder aquisitivo e classe social, para fins de publicidade e para empresas interessadas em captação de novos clientes. Estima-se que a empresa venda dados pessoais de mais de 150 milhões de brasileiros. Em verdade, a situação é ainda mais grave, conforme demonstrou o MPDFT, pelo fato de a Serasa Experian ter respaldo legal para o tratamento de dados desta natureza para fins de proteção do crédito. Entretanto, as permissões não contemplam os usos apontados pela investigação.
No REsp 1.806.792/SP, o Superior Tribunal de Justiça (STJ) reconheceu a ilicitude de utilização da técnica de troca de “SIMCARD” (cartão “SIM”, sigla em inglês da expressão Subscriber Identity Module – módulo de identificação do assinante –, comumente referido no Brasil como “chip”), para fins de investigação criminal. Segundo a Ministra Laurita Vaz, ao contrário da interceptação telefônica (Lei nº 9.296/1996), no âmbito da qual o investigador de polícia atua como mero observador de conversas travadas entre o alvo interceptado e terceiros, na troca do chip habilitado, o agente do estado tem a possibilidade de atuar como participante das conversas, podendo interagir diretamente com seus interlocutores, enviando novas mensagens a qualquer contato inserido no celular, além de poder também excluir, com total liberdade, e sem deixar vestígios, as mensagem no WhatsApp. Dessa forma, acórdão ratificou o argumento trazido pelo Juízo de origem, destacando que “tratando-se de providência que excepciona a garantia à inviolabilidade das comunicações, a interceptação telefônica e telemática deve se dar nos estritos limites da lei, não sendo possível o alargamento das hipóteses previstas ou a criação de procedimento diverso.”, o que veda a utilização da mencionada técnica.
