Seja bem-vind@ a mais uma edição do Boletim! Nesta 41ª edição, destacamos a movimentação da Autoridade Italiana que culminou, após longas discussões com o Ministério da Saúde do país, em […]
Seja bem-vind@ a mais uma edição do Boletim!
Nesta 41ª edição, destacamos a movimentação da Autoridade Italiana que culminou, após longas discussões com o Ministério da Saúde do país, em um parecer favorável ao regime de implementação para a emissão do “Certificado Verde”. Em seu parecer, a Autoridade salientou a necessidade de identificar de forma clara e específica, na conversão do decreto em lei, os casos em que o interessado pode ser convidado a apresentar o referido certificado para acesso a locais ou instalações. Além disso, a Garante apontou que a atual indeterminação das circunstâncias em que a exibição do certificado é exigida favoreceu a adoção, por algumas Regiões e Províncias Autônomas, de portarias que impuseram seu uso para fins diferentes dos previstos no “decreto de reabertura” do governo, casos que já sofreram intervenções da Autoridade e que demonstram a importância da existência de critérios mais específicos.
Também no contexto internacional, destacamos que a Comissão Europeia (CE) aprovou um novo modelo de contrato que as empresas podem usar para a transferência de dados pessoais da União Europeia para países fora dela. Segundo a Autoridade da Holanda, as empresas que já utilizam um contrato-modelo como ferramenta de transmissão terão um total de 18 meses para alinhar seus contratos atuais com a nova versão. Assim, ao usar um contrato-modelo, as empresas (e outras organizações) podem proteger adequadamente os dados pessoais de, por exemplo, clientes ou funcionários, mesmo nos casos de transferência para países onde, em princípio, os dados pessoais são menos protegidos do que na Europa.
Por fim, na academia, destacamos o texto “LGPD e sistema de justiça: a voz e a vez das Defensorias Públicas”, resultado da parceria entre a Associação Data Privacy Brasil de Pesquisa e as Defensorias Públicas, que foi publicado no site Jota e no Observatório da Privacidade. No texto, os autores apontam que, antes de tudo, as Defensorias são órgãos que colaboram ativamente com a defesa de direitos, de modo que para além de se capacitarem para promover a adequação da instituição à LGPD, também deverão habilitar-se para lidar com casos de violação à proteção de dados. Assim, o texto destaca que nos próximos anos, será crucial que as Defensorias Públicas possuam unidades específicas de proteção de dados pessoais e saibam trabalhar com litígios estratégicos mobilizados a partir do seu próprio conhecimento interno e uso correto de dados pessoais, concluindo pelo entendimento de que Defensorias atuarão, cada vez mais, por meio de uma “litigância dadocêntrica”.
Desejamos a tod@s uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
European Data Protection Supervisor (EDPS)
A Autoridade Sueca de Proteção da Privacidade (IMY) concluiu sua investigação sobre um incidente de segurança envolvendo ligações gravadas para o serviço de consulta médica, “1177 Vårdguiden”, que estavam disponíveis sem proteção na Internet. O “1177 Vårdguiden” é um serviço médico oferecido em toda a Suécia, que reúne informações sobre saúde e cuidados médicos, acessados pela Internet e por telefone. Em 2019, a mídia sueca informou que ligações gravadas por meio desse serviço estavam disponíveis sem proteção por senha ou outras medidas de segurança em um servidor da web. Diante disso, a DPA sueca iniciou uma investigação, agora finalizada, das organizações envolvidas na prestação do serviço, a qual identificou que a causa do incidente foi um erro de configuração de uma unidade de armazenamento conectada à rede, o que permitiu o acesso dos conteúdos por qualquer pessoa.
Estados Unidos
O serviço de assinatura MoviePass concordou em resolver as alegações da Federal Trade Commission (FTC) de que a empresa adotava medidas para impedir os assinantes de usar o serviço conforme anunciado, além de não proteger seus dados pessoais. Segundo a investigação da Autoridade, a MoviePass não tomou medidas razoáveis para proteger as informações coletadas dos assinantes, tais como nomes, endereços de e-mail, datas de nascimento, números de cartão de crédito e informações de geolocalização. A FTC apontou que a empresa armazenava tais dados pessoais em plain text , além de não restringir quem poderia acessá-los. Por fim, a Autoridade apontou que a empresa, apesar de indicar na sua política de privacidade que adotava medidas razoáveis para proteger informações pessoais, incluindo criptografar e-mails de clientes e informações de pagamento, deixou um banco de dados contendo grandes quantidades de informações pessoais dos assinantes não criptografadas e expostas, levando a acessos não autorizados.
Dinamarca
A Agência Dinamarquesa de Proteção de Dados investigou uma violação da segurança de dados pessoais no Ministério da Justiça do país, que teria enviado emails com informações pessoais não criptografadas. Durante a investigação foi constatado que o Ministério enviou um e-mail para a Ordem dos Advogados dinamarquesa com informações pessoais de 35 pessoas, incluindo os respectivos números de segurança social, no entanto, segundo a Autoridade, ele teria sido enviado fora dos canais normalmente criptografados. As principais críticas feitas pela Agência foram de que a avaliação de risco não abordou a potencial violação aos direitos dos titulares, além de concluir pela desnecessidade de notificação sobre o ocorrido, se limitando a dizer que o Ministério não tinha conhecimento das eventuais consequências da violação.
Catalunha
A Autoridade Catalã de Proteção de Dados (APDCAT) desenvolveu um novo recurso educacional para conscientizar os jovens e adolescentes sobre os perigos de perder o controle dos dados pessoais online e nas redes sociais. “Você escolhe!” é um jogo em formato de vídeo interativo que se desenvolve a partir da história de dois jovens que jogam online e competem entre si. De repente, eles recebem uma mensagem de alerta pedindo ajuda na recuperação de seus dados pessoais, que foram sequestrados, junto com os de outros jogadores. Nesse ponto começa o verdadeiro desafio, que levará os jovens a questionar o que fazer nas diferentes situações que surgem. Os jogadores devem escolher uma das duas opções sugeridas em cada caso, de forma a obter todas as partes que farão parte do código necessário que devolverá o controle dos seus dados pessoais. Segundo a Autoridade, o objetivo é testar o conhecimento dos jovens sobre a importância de zelar pela sua privacidade, especialmente online, e conscientizá-los de que a memória da Internet é para sempre. Por fim, a APDCAT aponta que os desafios servem como forma de sensibilizá-los para exemplos e ações do seu dia-a-dia, como baixar um aplicativo, enviar fotos, aceitar pedidos de amizade, dar acesso à câmera do computador e assim por diante.
Reino Unido
O ICO multou em £ 10.000 o Partido Conservador do Reino Unido por ter enviado e-mails ilegais
O Information Commissioner ‘s Office (ICO) multou o Partido Conservador em £ 10.000 por enviar 51 emails de marketing a pessoas que não queriam recebê-los. Tal fato decorreu de uma investigação do ICO relacionada a e-mails enviados pelo Partido Conservador em nome de Rt Hon Boris Johnson MP, após ele ser eleito primeiro-ministro. Os e-mails eram dirigidos nominalmente às pessoas a quem eram enviados e divulgavam as prioridades políticas do partido, incluindo na última frase um link que os direcionava para um site de adesão ao Partido Conservador. A Autoridade concluiu que o Partido não conseguiu manter registros sobre a base legal utilizada, não sendo possível identificar se houve consentimento para o recebimento dos emails, conforme exigido por lei. Em 2019, o partido enviou um total de 1.190.280 e-mails de marketing, tendo o ICO descoberto que alguns dos e-mails foram enviados de forma válida, no entanto, não é possível identificar qual é a proporção. Por fim, foi destacado que, ao longo da investigação, o partido continuou engajando em um exercício de marketing por e-mail em escala exponencial durante a campanha de eleições gerais de dezembro de 2019, enviando aproximadamente mais 23 milhões de e-mails. Isso gerou mais 95 reclamações, que provavelmente resultaram da falha do partido em resolver os problemas de conformidade originais identificados em julho de 2019.
Holanda
A Comissão Europeia aprovou um novo modelo de contrato para transferência segura de dados pessoais
A Comissão Europeia (CE) aprovou um novo modelo de contrato que as empresas podem usar para a transferência de dados pessoais da UE para países fora dela. Segundo a Autoridade da Holanda, as empresas que já utilizam um contrato-modelo como ferramenta de transmissão terão um total de 18 meses para alinhar seus contratos atuais com a nova versão. Ao usar um contrato-modelo, as empresas (e outras organizações) podem proteger adequadamente os dados pessoais de, por exemplo, clientes ou funcionários, mesmo nos casos em que encaminhem esses dados pessoais para países onde, em princípio, os dados pessoais são menos protegidos do que na Europa. Segundo a Autoridade Holandesa, o novo modelo de contrato substitui os modelos de contrato que a CE estabeleceu anteriormente, facilitando essa prática para os empreendedores, que não precisam redigi-lo inteiramente por conta própria.
A Autoridade Holandesa de Proteção de Dados (AP) impôs uma multa de 12.000 euros a uma empresa de ortodontia. Isso porque alguns novos pacientes tiveram que se cadastrar por meio de um site não seguro. Como resultado desse fato, os pacientes corriam o risco de que dados confidenciais, como seu número de previdência social, acabassem nas mãos de terceiros. Segundo a Autoridade, quando é feito o registro com um ortodontista, é fornecida uma combinação de dados pessoais em sigilo, que são necessários para a prática ortodôntica, mas ao mesmo tempo são muito interessantes para os criminosos. A Autoridade destacou também que, para cuidar bem dos pacientes, é importante também cuidar bem dos seus dados pessoais, o que não se aplica apenas a grandes organizações de saúde, mas a todos os que trabalham na área de saúde.
Itália
A Autoridade Italiana autorizou o uso de certificados verdes
A Autoridade Italiana, após longas discussões com o Ministério da Saúde, deu um parecer favorável ao regime de implementação para a emissão do “Certificado Verde”. A Autoridade, que já alertou o Governo para as questões críticas da atual versão do decreto de “Reabertura” do país, recorda a necessidade de identificar de forma clara e específica, na conversão do decreto em lei, os casos em que o interessado pode ser convidado a apresentar a certificação verde para acesso a locais ou instalações. A Autoridade destaca que a atual indeterminação das circunstâncias em que a exibição do certificado verde é exigida favoreceu a adoção, por algumas Regiões e Províncias Autônomas, de portarias que impuseram seu uso também para fins diferentes dos previstos no decreto de reabertura, casos que já sofreram intervenções da Autoridade e que demonstram a importância de critérios mais específicos. Além disso, o Garante ressaltou, ainda, que o regulamento europeu sobre o certificado verde, o qual está atualmente sendo implementado na Itália, também prevê a sua utilização para outros fins, como viagens dentro da União Europeia, entretanto, apenas nas hipóteses expressamente previstas e regulamentadas por uma regulamentação nacional. Por fim, outra medida solicitada e obtida pelo Garante durante as discussões com o Ministério da Saúde é que os sujeitos responsáveis pelas verificações da certificação verde sejam claramente identificados e orientados.
Autoridade Italiana determinou o bloqueio do aplicativo “Mitiga Itália”
A Autoridade Italiana de proteção de dados pessoais ordenou o bloqueio temporário da empresa que administra o aplicativo “Mitiga Itália”. O aplicativo foi usado pela primeira vez em 19 de maio para permitir que os espectadores que possuíam o “certificado de vacinação”, (recuperados ou com teste “negativo” da Covid-19) entrassem na final da Copa de futebol da Itália. No entanto, segundo a autoridade, a medida de bloqueio se fez necessária uma vez que surgiu a possibilidade do aplicativo, nos próximos dias, ser utilizado para regular o acesso a outros eventos, shows e iniciativas esportivas. Na medida de bloqueio, a Autoridade destacou que não existe atualmente qualquer base legal válida para o tratamento de dados, principalmente os considerados sensíveis, como os de saúde, por meio de aplicativos destinados a apurar a situação de “Covid free” daqueles que participam de eventos públicos. O citado bloqueio tem efeito imediato e continuará pelo tempo necessário para permitir à Autoridade definir a investigação iniciada.
Peru
A Autoridade do Peru apontou que monitorará o WhatsApp sobre as funcionalidades adicionais na aplicação da nova política de privacidade, garantindo a proteção dos dados dos usuários no país. Nesse sentido, destacou a importância de ter conhecimento sobre o tratamento que as empresas darão aos dados pessoais coletados, para que isso permita ao usuário fornecer um consentimento válido. Assim, tomando a proteção de dados dos usuários como foco, a autoridade fez as seguintes recomendações: (i) Configure sua privacidade: altere as configurações do aplicativo para que apenas pessoas autorizadas possam ver suas informações, como nome e foto do perfil, tempo de conexão, publicações, entre outros; (ii) Bloqueie usuários não autorizados: não aceite usuários que você não conhece, bloqueie e denuncie; (iii) Informe-se: mantenha-se informado sobre as alterações das novas políticas de privacidade; (iv) Exclua mensagens ou chats que contenham informações desnecessárias.
México
O INAI emitiu recomendações para a proteção de dados dos titulares nos dias das eleições
O Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI) emitiu recomendações com o objetivo de ajudar a população a cuidar de seus dados pessoais no dia das eleições. Essa eleição é considerada a maior da história do país, com mais de 20 mil cargos a serem ocupados, entre governadores, conselhos federais, locais, prefeitos e prefeituras. De acordo com os registros da Lista de Eleitores, mais de 90 milhões de cidadãos poderão votar nessas eleições. Dessa forma, para prevenir e evitar o uso indevido dos seus respectivos dados pessoais, o INAI recomendou cinco ações aos eleitores: (i) Não compartilhe a credencial de eleitor com pessoas além dos funcionários das assembleias de voto; (ii) Evite a publicação de foto da credencial do eleitor nas redes sociais e/ou plataformas de mensagens instantâneas; (iii) Não divulgue fotos com o rosto de outras pessoas sem o seu consentimento. (iv) Não exponha a sua impressão digital; (v) Ao participar de uma pesquisa que exija dados pessoais, exija o Aviso de Privacidade, para saber como as informações pessoais coletadas serão protegidas.
O Plenário do Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI) instruiu o Ministério da Saúde a retificar os dados pessoais de um cidadão e fornecer, após comprovação de identidade, a prova de que os dados foram corrigidos no portal “Minha Vacina”. A questão teve origem em um pedido de retificação de dados pessoais ao Ministério da Saúde em que uma pessoa, ao registrar candidatos para receber a vacina contra o vírus SARS-CoV-2, inseriu incorretamente o município, código postal, telefone, e-mail pessoal e e-mail de contato. Diante de tal situação, o requerente exigiu que seus dados fossem corrigidos, fornecendo as informações corretas. Em resposta, o SSA indicou que a retificação dos dados pessoais dos candidatos para receber a vacina COVID-19 poderia ser feita no mesmo site onde havia se cadastrado, ou seja, na página “Minha Vacina”, disponibilizando o link respectivo e as diligências para solicitar a retificação dos dados. Após recurso e várias discussões sobre a situação, o INAI emitiu um parecer, nas diretrizes já mencionadas, determinando que o Ministério procedesse com a retificação. Sobre o caso, a Comissária Josefina Román Vergara indicou que este é um exemplo importante para tornar visível o exercício do direito à retificação de dados pessoais.
Proteção de Dados nas Universidades
LGPD e sistema de justiça: a voz e a vez das Defensorias Públicas
BIONI, Bruno; ZANATTA, Rafael; KITAYAMA, Marina; JUNIOR, Florisvaldo Fiorentino; PACHECO, Rodrigo Baptista.
Desde sua entrada em vigor em setembro de 2020, a LGPD tem sido uma questão amplamente discutida tanto no setor privado como no público. A Lei, promulgada em 2018, despertou nos agentes que realizam o tratamento de dados pessoais a necessidade de adequarem suas atividades, o que vai desde aspectos de segurança da informação à estipulação de políticas de governança de dados, além do constante desafio de identificar a base legal correta para diferentes tipos de tratamento de dados, nos termos do artigo 7º e 11º. As Defensorias, por seu turno, além de enfrentarem os desafios específicos do setor público, possuem outras particularidades que tornam ainda mais sensível sua relação com a matéria. Diante disso, o texto, publicado no site Jota e no Observatório da Privacidade, aponta que, antes de tudo, as Defensorias são órgãos que colaboram ativamente com a defesa de direitos, de modo que para além de se capacitarem para promover a adequação da instituição à LGPD, também deverão habilitar-se para lidar com casos de violação à proteção de dados. Assim, tomando como base também a crescente atuação das Defensorias em litígios coletivos, como no importante caso da adoção de soluções de reconhecimento facial no metrô de São Paulo, o ente tende a ser um dos protagonistas na defesa de direitos à proteção de dados. Os autores apontam que, nos próximos anos, será crucial que as Defensorias Públicas possuam unidades específicas de proteção de dados pessoais e saibam trabalhar com litígios estratégicos mobilizados a partir do seu próprio conhecimento interno e uso correto de dados pessoais. Por fim, o texto conclui pelo entendimento de que as Defensorias Públicas atuarão, cada vez mais, por meio de uma “litigância dadocêntrica”.
AI for Social Good, AI for Datong
WONG, Pak-Hang.
O texto aponta que o governo chinês e as empresas de tecnologia assumem uma postura proativa em relação às tecnologias digitais, Inteligência Artificial (IA) e seus papéis na vida dos usuários – e das pessoas. Segundo o autor, essa visão de ‘Tech for Good’, ou seja, o desenvolvimento de boas tecnologias digitais e IA ou a aplicação delas para o bem, também é compartilhada por grandes empresas de tecnologia no mundo, por exemplo, Google, Microsoft e Facebook. Tais iniciativas têm suscitado uma série de críticas por sua viabilidade e desejabilidade, particularmente em relação às condições sociais e políticas das sociedades democráticas liberais. Nesse artigo, o autor pretende discutir se essas críticas também se aplicam ao contexto chinês e entender se a filosofia “confucionista” fornece os recursos normativos para responder a essas críticas, realizando uma análise transcultural.
La adopción de instrumentos de certificación como garantía eficiente en la protección de los datos personales
CORDERO, Jorge Agustín Viguri.
O texto pretende analisar os mecanismos de certificação vigentes a partir da efetiva aplicação do General Data Protection Regulation (GDPR). Como ponto de partida, o autor traz uma abordagem eminentemente técnica dos instrumentos de certificação, especialmente no campo de proteção de dados pessoais. Em seguida, o autor analisa a regulamentação dos mecanismos de certificação no GDPR e as iniciativas recentemente promovidas na Espanha, França e Reino Unido por suas respectivas autoridades de proteção de dados. O texto busca estudar também as normas internacionais ISO/IEC da série 27000 e, mais especificamente, das normas ISO/IEC 27001 (segurança da informação), 27701 (gerenciamento de informações de privacidade) e suas atualizações correspondentes. Por fim, o texto destaca os benefícios mais imediatos dessas iniciativas e seu espaço para melhorias em curto prazo.
Proteção de Dados no Legislativo
Proposto Projeto de Lei sobre portabilidade em caso de bloqueio de conta em rede social
O Projeto de Lei nº 2060/2021, proposto pelo Deputado Altineu Cortês (MDB/RJ), altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre direito de defesa e de portabilidade em caso de bloqueio de conta em rede social. O PL propõe que o usuário deva ser notificado pelo provedor de aplicação sobre o bloqueio de sua conta pessoal em rede social, constando o motivo do bloqueio, bem como a explicação detalhada das providências a serem adotadas para solução do problema. Outro ponto de destaque é que o projeto aponta que o desbloqueio da conta ou eventual portabilidade dos dados deverá ocorrer no prazo máximo de 30 dias, após a ocorrência de bloqueio. Atualmente, o PL está aguardando despacho do Presidente da Câmara dos Deputados.
Proteção de Dados no Judiciário
Trata-se de um Recurso Inominado interposto pela ré no processo nº 0005124-05.2020.8.05.0274. Com base na LGPD, a Turma Recursal do Tribunal de Justiça da Bahia confirmou a sentença de 1º grau, condenando a parte Ré ao pagamento de danos morais e materiais, oriundos de um incidente de segurança, que teria permitido o acesso aos dados da parte autora por terceiros, culminando na realização de um contrato sem a sua anuência. Nesse sentido, o acórdão aponta que a parte autora figura como uma vítima de fraude na modalidade “engenharia social”, aquela na qual o falsário, valendo-se de subterfúgios que dão ar de veracidade aos pedidos, faz com que a vítima, ora demandante, “transfira dinheiro, pague boletos, assuma compromissos, parecidos com os verdadeiros, mas cujo produto destina-se à conta de pessoas mancomunadas com o fraudador”. Assim, diante disso, o acórdão aponta que a parte ré violou a LGPD, tendo em vista que a autora foi induzida à fraude em decorrência do vazamento de suas informações para terceiros, pois possuía inicialmente contrato de consórcio com a empresa ré.
