Seja bem-vind@ a mais uma edição do Boletim! Nesta 43ª edição, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) publicou sua primeira portaria (Portaria nº 1), que dispõe, […]
Seja bem-vind@ a mais uma edição do Boletim!
Nesta 43ª edição, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) publicou sua primeira portaria (Portaria nº 1), que dispõe, dentre outros pontos, sobre procedimentos para a elaboração da agenda regulatória e de atos normativos editados pela Autoridade, incluindo regras aplicáveis à realização de consultas à sociedade, à elaboração de Análise de Impacto Regulatório (AIR) e à Avaliação do Resultado Regulatório (ARR). A portaria entrará em vigor no dia 01 de agosto de 2021.
No contexto internacional, destacamos que o Information Commissioner’s Office (ICO) lançou um conjunto de planos de aula e planilhas destinadas a ensinar alunos do ensino fundamental e médio como proteger sua privacidade online e como eles podem controlar o que as empresas e plataformas online sabem sobre eles. Os recursos podem ser baixados gratuitamente do site da ICO e fazem parte do trabalho de conscientização sobre o Age Appropriate Design Code, código já mencionado em edições anteriores, que dispõe sobre um conjunto de padrões que os serviços online devem seguir se houver probabilidade de serem acessados por crianças.
Por fim, na academia, ressaltamos o artigo publicado por Rafael Zanatta e Michel Souza na Revista Latin American Human Rights Studies. O texto analisa as características das tecnologias de reconhecimento facial automatizado e sua resposta por organizações da sociedade civil no Brasil, analisando dois argumentos: o argumento do viés endêmico, que busca corrigir consequências injustas e potencialmente racistas, e o argumento da opressão endêmica, que identifica um conjunto de facilitadores da violação sistemática de direitos fundamentais. Nesse sentido, os autores apresentam o conceito de contra-movimentos para explicar as possibilidades de contestação jurídica da disseminação do reconhecimento facial e explicar como a argumentação pode passar da lógica do viés para a da opressão, com a possibilidade de alteração da regulamentação para banir essa tecnologia em certos usos.
Desejamos a tod@s uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
A Autoridade Nacional de Proteção de Dados (ANPD) participou da 41ª Reunião em sessão plenária organizada pelo Comitê Consultivo da Convenção 108 do Conselho da Europa para a Proteção das Pessoas, que abordou o Tratamento Automatizado de Dados Pessoais. A Convenção 108, publicada em 28 de janeiro de 1981, foi o primeiro instrumento internacional juridicamente vinculativo adotado no domínio da proteção de dados pessoais. Os representantes da ANPD, indicados pelo Presidente da Autoridade por meio dos canais diplomáticos, participaram da Reunião Plenária, as quais normalmente ocorrem duas vezes ao ano, contando com a participação de seus membros signatários, assim como outros países e organizações internacionais na condição de observadores. O Brasil detém o status de observador desde outubro de 2018. Um dos tópicos principais nos debates durante a reunião foi a modernização da Convenção 108, em decorrência dos constantes desafios de privacidade e proteção de dados provenientes da utilização das novas tecnologias e com vistas a fortalecer seu mecanismo de avaliação e acompanhamento e garantir a conformidade de seus signatários às suas provisões. Os encontros ocorreram entre os dias 28 e 30 de junho, de 10h30 às 13h, horário de Estrasburgo (CET) e por videoconferência.
ANPD informou nova data de audiência pública sobre norma de fiscalização
A audiência pública sobre a minuta de resolução que dispõe sobre a fiscalização e aplicação de sanção pela Autoridade Nacional de Proteção de Dados, inicialmente marcada para acontecer nos dias 08 e 09 de julho, foi adiada e ocorrerá no dia 15 de julho de 2021, de 09h às 13h e de 14h às 18h, e no dia 16 de julho de 2021, de 09h às 13h. A audiência, que é uma das etapas obrigatórias do processo de regulamentação previstas na Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados (LGPD), visa a discutir com a sociedade a proposta normativa, a qual esteve disponível para consulta pública até o dia 28 de junho de 2021 por meio da plataforma Participa + Brasil.
ANPD publica portaria que define os procedimentos de regulamentação da autoridade
A Autoridade Nacional de Proteção de Dados (ANPD) publicou no dia 09 de julho de 2021 a Portaria nº 1, que dispõe, dentre outros pontos, sobre procedimentos para a elaboração da agenda regulatória e de atos normativos editados pela ANPD, incluindo regras aplicáveis à realização de consultas à sociedade, à elaboração de Análise de Impacto Regulatório (AIR) e à Avaliação do Resultado Regulatório (ARR). De acordo com a Diretora Miriam Wimmer, relatora do processo, ”a edição da portaria é positiva, uma vez que estabelece regras uniformes e transparentes a serem observadas pelas unidades da ANPD, conferindo celeridade e previsibilidade aos processos internos de elaboração e revisão de atos normativos.” Ressalte-se que os procedimentos previstos na portaria já têm sido seguidos pela equipe técnica da ANPD, de forma que não será necessária eventual adaptação. A portaria entra em vigor em 1º de Agosto de 2021, conforme previsto em seu art. 32.
Estados Unidos
A FTC apontou que o aplicativo App Recolor, um livro de colorir online, teria coletado informações pessoais de crianças ilegalmente
Em uma queixa apresentada pelo Departamento de Justiça em nome da FTC, a Comissão alegou que a Kuuhuub Inc., sediada em Toronto, junto com suas subsidiárias finlandesas Kuu Hubb Oy e Recolor Oy, violaram o Children ‘s Online Privacy Protection Act Rule (COPPA). A legislação exige que sites e aplicativos forneçam aviso aos pais e obtenham o respectivo consentimento antes de coletar informações pessoais de crianças se o site ou aplicativo – ou mesmo uma parte do site ou aplicativo – for direcionado a crianças menores de 13 anos. Tais empresas operam o App Recolor, o qual fornece imagens que os usuários podem colorir digitalmente em seus dispositivos móveis. Embora seja anunciado como um “livro de colorir para adultos”, uma parte do aplicativo de livro para colorir era direcionada às crianças. As imagens são organizadas em uma biblioteca com categorias como Filmes e Animais. Uma categoria popular, chamada Kids, incluía imagens que tendem a atrair as crianças, como personagens animados e animais. Em sua reclamação, a FTC alegou que o aplicativo coletou informações pessoais de crianças menores de 13 anos que usaram os recursos de mídia social do aplicativo e permitiu que redes de publicidade de terceiros coletassem informações pessoais de usuários na forma de “persistent identifiers”, também conhecidos como cookies, ou anúncios direcionados. As empresas não instruíram as redes de anúncios a evitar o uso de identificadores persistentes de crianças para publicidade comportamental, de acordo com a denúncia. A FTC também alegou que as empresas não notificaram os pais ou não obtiveram o consentimento verificável dos pais antes de coletar informações pessoais de usuários menores do aplicativo Recolor, em violação à regra da COPPA.
Dinamarca
Autoridade Dinamarquesa aplicou multa a empresa que realiza testes de COVID-19
A Autoridade de Proteção de Dados Dinamarquesa denunciou a empresa “Medicals Nordic” por ter tratado informações confidenciais e de saúde relacionadas aos testes COVID-19, sem que tivesse estabelecido as medidas de segurança adequadas, o que culminou na aplicação de uma multa no valor de DKK 600.000. Em janeiro de 2021, a Autoridade tomou conhecimento de que a Medicals Nordic usava o aplicativo WhatsApp para transmitir informações confidenciais e de saúde sobre cidadãos que eram testados nos centros de teste da empresa. Com base nisso, a DPA iniciou uma investigação própria, com o objetivo de averiguar se a organização teria implementado medidas organizacionais e técnicas de segurança adequadas no tocante à transmissão de tais informações. A conclusão da investigação, que revelou descumprimento das obrigações legais, ocasionou a aplicação da referida multa.
A Autoridade Dinamarquesa publicou parecer sobre o caso em que a Agência Empresarial Dinamarquesa teria gravado conversas telefônicas entre um titular e a agência, sem a obtenção do consentimento. Durante o processo, verificou-se que, desde 1 de junho de 2018, a Agência Empresarial vem gravando todas as chamadas telefônicas recebidas para o centro de atendimento ao cliente. As gravações foram feitas com o objetivo de documentar as conversas, caso existisse a necessidade de realização de um Boletim de Ocorrência, a fim de proteger os funcionários da central de atendimento contra ameaças, e para uso no seu treinamento contínuo, com base no compromisso do dever de orientar da Agência. Diante disso, a DPA Dinamarquesa enfatizou que tal medida deveria ser adotada em caráter de exceção, apenas nos casos em que realmente ocorresse alguma situação que gerasse a necessidade de Boletim de Ocorrência. Além disso, a Autoridade concluiu que a gravação de conversas telefônicas para fins educacionais só poderia ocorrer com a obtenção do consentimento dos titulares dos dados.
França
Inteligência artificial: a opinião da CNIL sobre o futuro regulamento europeu
A CNIL e seus pares acolheram integralmente a proposta da Comissão Europeia de estabelecer regras harmonizadas sobre inteligência artificial, a fim de preservar as liberdades individuais. Embora seja provável que ocorram mudanças significativas, dependendo das alterações ao texto feitas pelo Parlamento ou pelo Conselho Europeu, as Autoridades Europeias de Proteção de Dados consideraram essencial adotar um posicionamento, a partir da publicação de um parecer. Nesse sentido, a CNIL publicou um texto observando 4 pontos fundamentais a serem levados em consideração sobre toda a discussão de Inteligência Artificial na Europa, quais sejam: (i) A necessidade de desenhar limites específicos para usos futuros de IA; (ii) O desafio da articulação com o GDPR; (iii) A importância da governança harmonizada; (iv) A importância da existência de um suporte para inovação.
Itália
Autoridade Italiana lançou novas diretrizes sobre cookies para a proteção de usuários
A Autoridade Italiana aprovou novas diretrizes sobre cookies, com o objetivo de fortalecer o poder de decisão dos usuários quanto à utilização dos seus dados pessoais quando navegam online. A medida foi adotada tendo em conta os resultados da consulta pública lançada no final do ano de 2020. A atualização das Diretrizes de 2014 foi necessária à luz das inovações introduzidas pela regulamentação europeia sobre privacidade, mas também se justifica devido a uma série de outros fatores: a experiência adquirida nos últimos anos (com base em inúmeras reclamações, relatórios e pedidos de pareceres) sobre a aplicação incorreta dos procedimentos de informação e de obtenção do consentimento para a utilização de dados; o uso crescente de técnicas de rastreamento invasivas; a multiplicação das identidades digitais dos usuários, que favorece o cruzamento de seus dados e a criação de perfis cada vez mais detalhados, etc. Dessa forma, a Autoridade concluiu que o mecanismo de obtenção de consentimento online deve, em primeiro lugar, garantir que, por padrão, no momento do primeiro acesso a um site, nenhum cookie ou outras ferramentas além das estritamente necessárias ao funcionamento sejam colocadas no dispositivo do usuário ou utilizadas.
Autoridade Italiana publicou vídeo para explicar às crianças como se defender do Cyberbullying
Muitos jovens são vítimas de cyberbullying online. Um fenômeno que infelizmente está crescendo rapidamente e que muitas vezes tem graves consequências para as vítimas, causando sofrimento e desconforto que vão além dos efeitos psicológicos. Para promover a conscientização sobre os direitos e as ferramentas de proteção previstos na legislação, a Autoridade Italiana produziu um vídeo de animação que, com linguagem simples e clara, visa oferecer informações a jovens vítimas de cyberbullying e seus pais. O vídeo foi veiculado nos canais sociais da Autoridade (Youtube, Linkedin, Twitter, Instagram e Telegram) e está publicado na página temática dedicada ao Cyberbullying no site do Garante , onde também é possível consultar uma ficha informativa e fazer o download do formulário para o exercício dos direitos de proteção previstos na lei 71/2017.
Islândia
A Autoridade de Proteção de Dados da Islândia emitiu uma multa administrativa no valor de ISK 5.000.000 (34.000 euros) a uma empresa islandesa que administra cinco sorveterias. Um dos funcionários apresentou queixa à DPA islandesa sobre uma área, utilizada pelos funcionários para vestir o uniforme de trabalho, que está sob vigilância constante por câmeras. O funcionário também apontou que não recebeu notificações ou informações sobre a vigilância, não existindo qualquer sinalização que indicasse a existência de câmeras. Nesse sentido, a DPA islandesa confirmou por meio de inspeção que os funcionários não tinham acesso a uma área aceitável para trocar de roupa que não estivesse sob vigilância, concluindo que os dados pessoais do reclamante não foram tratados de forma legal, justa ou transparente, nem foram adequados, relevantes e limitados ao que era necessário em relação aos fins para os quais os dados foram tratados. Dessa forma, a autoridade concluiu que a empresa não informou os seus funcionários sobre o sistema de videovigilância, bem como sobre seus direitos, nos termos do artigo 13.º do GDPR.
Lithuânia
A Autoridade de Proteção de Dados da Lituânia (SDPI) realizou uma investigação sobre o tratamento de dados pessoais biométricos em um clube esportivo e aplicou uma multa de 20.000 euros à VS FITNESS UAB pelas infrações identificadas ao Regulamento Geral de Proteção de Dados (GDPR) . A multa foi aplicada por violação do disposto no artigo 5.º, n.º 1, alínea a), e no artigo 5.º, n.º 1, alínea c). Artigo 9.º, n.º 1, artigo 13.º, n.º 1, artigo 13.º, n.º 2, artigo 30.º, artigo 35.º, n.º 1, do GDPR, ou seja, tratamento de dados biométricos sem consentimento voluntário dos titulares envolvidos, bem como o descumprimento dos direitos dos titulares ao não informar sobre determinadas operações de tratamento. Por fim, a autoridade também identificou que o clube não elaborou os relatórios de impacto necessários a algumas atividades de tratamento realizadas.
Peru
Contando com mais de 270 jovens das universidades de Arequipa, Ancash, Ayacucho, Amazonas, Cajamarca, Cusco, entre outras, a Autoridade Peruana realizou palestras visando conscientizá-los sobre a proteção dos seus dados pessoais nas redes sociais e as medidas a serem adotadas para evitar ser vítima de crimes virtuais. A palestra informativa foi um esforço conjunto da Rede Peruana de Universidades e da Autoridade Peruana de Proteção de Dados Pessoais do Ministério da Justiça e Direitos Humanos do Peru (MINJUSDH). O encontro foi ministrado por María Alejandra Gonzalez Luna, Diretora da Direção de Proteção de Dados Pessoais, que orientou jovens universitários sobre como proteger suas informações pessoais. Tais medidas podem prevenir situações como assédio sexual, tráfico de pessoas, atos contra a privacidade, bem como fraudes cibernéticas. Nesse contexto, foi recomendado que é importante a utilização das políticas e opções de privacidade fornecidas pelas plataformas digitais e verificar com quem as informações pessoais são compartilhadas.
Reino Unido
O Information Commissioner’s Office (ICO) multou a Mermaids, instituição de caridade voltada para pessoas transgênero, em £ 25.000 por não manter os dados pessoais de seus usuários seguros. A investigação da ICO começou depois de ter recebido um relatório de violação de dados da instituição de caridade em relação a um grupo de e-mail interno que teria sido utilizado de agosto de 2016 até julho de 2017, quando foi desativado. A instituição de caridade só tomou conhecimento da violação em junho de 2019. O ICO descobriu que o grupo foi criado com configurações de segurança insuficientes, o que permitiu que aproximadamente 780 páginas de e-mails confidenciais fossem visualizados online por quase três anos. Isso fez com que informações pessoais, como nomes e endereços de e-mail, de 550 pessoas pudessem ser pesquisadas online. Os dados pessoais de 24 dessas pessoas eram sensíveis, pois revelaram como a pessoa estava enfrentando e se sentindo, além de que diversas informações de categoria especial, como saúde mental e física e orientação sexual, foram expostas. A investigação da ICO concluiu que o Mermaids deveria ter estipulado um acesso restrito ao seu grupo de e-mail e poderia ter aplicado técnicas de pseudonimização ou criptografia para adicionar uma camada extra de proteção aos dados pessoais que mantinha. De acordo com a Lei Geral de Proteção de Dados do Reino Unido, as organizações responsáveis por dados pessoais devem garantir que tenham as medidas técnicas e organizacionais adequadas em vigor para garantir a segurança dos dados pessoais.
O Information Commissioner’s Office (ICO) multou a Papa John’s (GB) Limited no valor de £ 10.000 por enviar 168.022 mensagenO Information Commissioner’s Office (ICO) está ajudando crianças e jovens a entender o poder de seus dados pessoais enquanto aprendem, jogam e se socializam online. O ICO lançou um conjunto de planos de aula e planilhas destinadas a ensinar alunos do ensino fundamental e médio como proteger sua privacidade online e como eles podem controlar o que as empresas e plataformas online sabem sobre eles. Os recursos explicam o que são considerados dados pessoais, como protegê-los e como mantê-los privados nas redes sociais. Tais recursos podem ser baixados gratuitamente do site do ICO e fazer parte do trabalho de conscientização sobre o Age Appropriate Design Code, um conjunto de padrões que os serviços online devem seguir se houver probabilidade de serem acessados por crianças.
Proteção de Dados nas Universidades
The Problem of Automated Facial Recognition Technologies in Brazil: Social Countermovements and the New Frontiers of Fundamental Rights
ZANATTA, Rafael; SOUZA, Michel.
O artigo, publicado na Revista Latin American Human Rights Studies, analisa as características das tecnologias de reconhecimento facial automatizado e sua resposta por organizações da sociedade civil no Brasil. Os autores analisam dois argumentos neste debate: o argumento do viés endêmico, que busca corrigir consequências injustas e potencialmente racistas, e o argumento da opressão endêmica, que identifica um conjunto de facilitadores da violação sistemática de direitos fundamentais. É apresentado o conceito de contra-movimentos para explicar as possibilidades de contestação jurídica da disseminação do reconhecimento facial e explicar como a argumentação sobre o reconhecimento pode passar da lógica do viés para a da opressão, com a possibilidade de alteração da regulamentação para banir essa tecnologia em certos usos.
Philosophy and Digitization: Dangers and Possibilities in the New Digital Worlds
PEDERSEN, Esther; BRINCKER, Maria
Nosso mundo está passando por uma enorme transformação digital. Quase nenhuma área de nossas esferas sociais, informativas, políticas, econômicas, culturais e biológicas permanece inalterada. Diante disso, o texto busca analisar alguns tópicos: o que a filosofia pode contribuir ao tentarmos entender e pensar sobre essas mudanças? Como a digitalização desafia as ideias anteriores de quem somos e para onde vamos? Onde isso deixa nossas aspirações éticas e ideais de democracia, igualdade, privacidade, confiança, liberdade e inserção social? Quem decide e controla os poderes da digitalização e para quais finalidades? Epistemologicamente, a maioria de nós entende essas novas mediações – e, portanto, os tecidos – do nosso novo mundo? Por último – como a nova paisagem tecnológica está moldando não apenas nossas condições de vida, mas também nosso imaginário coletivo e nossas identidades pessoais?
Ethics-Based Auditing of Automated Decision-Making Systems: Nature, Scope, and Limitations
FLORIDI, Luciano; MOKANDER, Jakob; MORLEY, Jessica; TADDEO, Mariarosaria.
Decisões importantes que afetam as vidas humanas, seus meios de subsistência e o ambiente natural estão cada vez mais sendo automatizadas. Delegar tarefas aos chamados sistemas automatizados de tomada de decisão (ADMS) pode melhorar a eficiência e permitir novas soluções. No entanto, esses benefícios estão associados a desafios éticos. Por exemplo, ADMS podem produzir resultados discriminatórios, violar a privacidade individual e minar a autodeterminação humana. Novos mecanismos de governança são necessários, portanto, para ajudar as organizações a projetar e implantar o ADMS de maneiras éticas, permitindo que a sociedade colha todos os benefícios econômicos e sociais da automação. Neste artigo, os autores consideram a viabilidade e eficácia da auditoria baseada na ética (EBA) como um mecanismo de governança que permite às organizações validar as afirmações feitas sobre seus ADMS. Com base em trabalhos anteriores, os autores definiram aEBA como um processo estruturado pelo qual o comportamento presente ou passado de uma entidade é avaliado quanto à consistência com princípios ou normas relevantes. Em seguida, são oferecidas três contribuições para a literatura existente. Em primeiro lugar, uma explicação teórica de como a EBA pode contribuir para a boa governança, promovendo a regularidade e a transparência dos procedimentos. Em segundo lugar, são propostos sete critérios para projetar e implementar procedimentos de EBA com sucesso. Por fim, são identificadas e discutidas as restrições conceituais, técnicas, sociais, econômicas, organizacionais e institucionais associadas à EBA.
Proteção de Dados no Legislativo
Proposto Projeto de Lei que criminaliza a divulgação de dados pessoais sem autorização
O Projeto de Lei nº 2394/2021, proposto pelo Deputado Hildo Rocha (MDB/MA), propõe a alteração do Decreto-Lei nº 2.848/40 (Código Penal), a fim de tipificar a conduta de divulgação de dados pessoais sem autorização. O PL acrescenta o artigo 154-B ao Código Penal, para tipificar a conduta de divulgar, fornecer, vender, dar ou permitir acesso a dados pessoais de terceiros, sem autorização ou para fins ilícitos, estabelecendo uma pena de reclusão de dois a cinco anos, além de multa. Atualmente, o projeto está sujeito à Apreciação do Plenário
Proteção de Dados no Judiciário
Vara Trabalhista prolatou sentença parcialmente procedente com base na LGPD
Trata-se de uma Ação Trabalhista de nº 0020043-80.2021.5.04.0261, ajuizada sob a alegação de descumprimento da Lei Geral de Proteção de Dados por parte da empresa reclamada. A parte reclamante apontou que além da “posse de dados”, a empresa os compartilhava “com diversos outros controladores e operadores, sem as cautelas necessárias”, além de não existir uma indicação do encarregado pelos dados pessoais. Argumentou, ainda, que o tratamento de dados é “compartilhado por intermédio da internet, em desatenção ao Marco Civil da Lei 12.965/14, arts. 10 e 11”, considerando que não é observado o respeito à intimidade, privacidade e imagem. A defesa sustentou que não haveria prova alguma de qualquer incidente com os dados dos funcionários, aduzindo que somente coletou dados básicos para fins administrativos e registro junto aos órgãos oficiais, conforme modelo de ficha que foi anexado. Por fim, negou o compartilhamento indevido ou permissão de acesso a terceiros. Na sentença, o Juízo julgou procedente em parte para: (i) determinar que a empresa indique e nomine encarregado; que a reclamada implemente e comprove nos autos as práticas relacionadas à segurança e sigilo de dados; sob pena de multa a ser fixada; (ii) comprovar nos autos o cumprimento das obrigações impostas, no prazo de 90 (noventa) dias, sob pena de multa diária de R$ 1.000,00.
