Seja bem-vind@ a mais uma edição do Boletim! Nesta 44ª edição, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) e o NIC.br firmaram Acordo de Cooperação entre as […]
Seja bem-vind@ a mais uma edição do Boletim!
Nesta 44ª edição, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) e o NIC.br
firmaram Acordo de Cooperação entre as entidades. Tal acordo é fruto das ações previstas no Planejamento Estratégico da ANPD, que tem como um de seus objetivos a promoção do diálogo com entidades governamentais e não-governamentais, com o intuito de construir parcerias estratégicas para a promoção de estudos, atuação em conjunto e incorporação das melhores práticas no tema de proteção de dados pessoais.
No contexto internacional, destacamos que a Autoridade Holandesa de Proteção de Dados multou o aplicativo TikTok em 750.000 euros por violar a privacidade de crianças e adolescentes. Isso porque, no entendimento da Autoridade, ao oferecer a declaração de privacidade apenas em inglês e não em holandês, o aplicativo não teria explicado adequadamente como realiza a coleta e o tratamento dos dados pessoais, violando, portanto, os princípios previstos no regulamento de proteção de dados.
Por fim, ainda destacando os posicionamentos das Autoridades ao redor do mundo, frisamos que, para ajudar a enfrentar os desafios envolvendo o uso de Inteligência Artificial e proteção de dados, o ICO lançou um kit de ferramentas que objetiva ajudar na compreensão dos riscos aos direitos dos titulares pelas organizações, além de fornecer sugestões sobre as melhores práticas e medidas técnicas que podem ser usadas para mitigar os riscos envolvidos nas operações de tratamento. Nesse sentido, o kit fornece uma metodologia clara para auditar aplicativos de IA e garantir que eles realizem os tratamentos de dados pessoais em conformidade com a legislação de dados pessoais do país.
Desejamos a tod@s uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
O Diretor-Presidente da Autoridade Nacional de Proteção de Dados – ANPD, Waldemar Gonçalves Ortunho Júnior, e o Diretor-Presidente do Núcleo de Informação e Coordenação do Ponto BR – NIC.br, Demi Getschko, assinaram nesta terça-feira (20) um Acordo de Cooperação entre as entidades. Dentre seus objetivos principais, se destacam: (i) o estabelecimento do intercâmbio de informações; (ii) a realização de ações de interesse comum no que diz respeito à proteção de dados pessoais e à segurança da informação; (iii) a mútua cooperação técnica científica voltada para o desenvolvimento de ações e produção de materiais de capacitação e conscientização sobre o tema; (iv) previsão de apoio institucional entre as entidades e a produção conjunta e coordenada de estudos, análises e pesquisas sobre proteção de dados pessoais, segurança da informação, privacidade nas redes e tecnologia. O Acordo de Cooperação também tem como anuente o Coordenador do Comitê Gestor da Internet no Brasil – CGI.br, Marcio Migon. Tal acordo, o terceiro a ser celebrado pela ANPD neste ano, é fruto das ações previstas no Planejamento Estratégico da Autoridade, que tem como um de seus objetivos a promoção do diálogo com entidades governamentais e não-governamentais, com o intuito de construir parcerias estratégicas para a promoção de estudos, atuação em conjunto e incorporação das melhores práticas no tema de proteção de dados pessoais.
Como primeiro fruto do Acordo de Cooperação firmado entre a Autoridade Nacional de Proteção de Dados – ANPD e o Núcleo de Informação e Coordenação do Ponto BR – NIC.br na terça-feira (20), foram publicados dois fascículos da Cartilha de Segurança para Internet, que podem ser acessados no site da autoridade. Os fascículos publicados refletem a postura orientativa e educadora da ANPD, bem como as suas competências, elencadas no art. 55-J, I e VI, da Lei 13.709/2018. O primeiro fascículo, sobre proteção de dados, apresenta informações sobre como adotar uma postura preventiva, usar os mecanismos de segurança adequados e conhecer um pouco a legislação vigente, além de demonstrar também como há uma exposição excessiva dos dados atualmente e apresentar sugestões para mitigá-la. Por sua vez, o fascículo sobre vazamento de dados apresenta os principais riscos de vazamentos e dicas práticas de como proceder nesses casos. Tendo em vista a incipiente cultura de proteção de dados no país, a crescente exposição de dados pessoais na internet e os casos de vazamentos constantemente noticiados, as entidades apontam a necessidade de educar a população para que todos tenham conhecimento sobre o que é proteção de dados, quais os seus direitos, como proceder para minimizar os riscos e as obrigações para os controladores e operadores de dados pessoais.
Espanha
Autoridade Espanhola lançou ferramenta de avaliação de risco com base na GDPR
A ferramenta GDPR EVALÚA RIESGO, lançada pela Autoridade Espanhola (AEPD), tem como objetivo auxiliar os agentes de tratamento de dados e encarregados a identificar fatores de risco para os direitos e liberdades das partes interessadas, cujos dados estejam presentes nas operações de tratamento, realizando uma primeira avaliação do risco, para verificar, por exemplo, a necessidade ou não de produzir um Data Protection Impact Assessment (DPIA), que pode ser produzido em consonância com o guia de “Gestão de risco e avaliação de impacto no processamento de dados pessoais”, publicado pela AEPD recentemente. Destaque-se que os fatores de risco apresentados na ferramenta não são exaustivos, mas mínimos, e o agente deve identificar aqueles que são específicos para o tratamento e incluí-los em sua própria avaliação.
França
Autoridade Francesa abriu Consulta pública sobre tratamento de dados biométricos
A Autoridade Francesa abriu uma consulta pública sobre o seu projeto de recomendações acerca do tratamento de dados biométricos. Os dados biométricos (como impressões digitais, por exemplo) são, por natureza, dados particularmente sensíveis. Nesse sentido, seu tratamento por padrão é proibido pelo GDPR, exceto em um número limitado de casos listados no artigo 92 do Regulamento. Esta é a razão pela qual a Autoridade identificou tais tipos de dados como uma prioridade em seu Plano Estratégico 2020-2025. O objetivo da recomendação, que está disponível para comentários no site da entidade, é orientar os agentes de tratamento de dados de forma a permitir-lhes aplicar e interpretar corretamente as regras de proteção de dados sobre o tratamento de dados biométricos. A consulta estará aberta até o dia 1º de setembro de 2021.
CNIL emitiu avisos sobre a continuidade do uso dos Certificados Verdes de Saúde
A CNIL publicou seu posicionamento sobre a prorrogação da obrigatoriedade de uso do passe-saúde (Certificado Verde) prevista no projeto de lei relativo ao gerenciamento da crise da COVID-19. A Autoridade já se pronunciou duas vezes sobre o passe sanitário, por meio dos pareceres de 12 de maio de 2021 e 7 de junho de 2021 . O passe de saúde foi, então, limitado a eventos de lazer que possam reunir mais de 1.000 pessoas e viagens ao exterior. O projeto de lei relativo à gestão da crise de saúde, examinado com urgência pelo Parlamento nesta semana, prevê em particular uma prorrogação do sistema até 31 de dezembro de 2021, além da extensão quanto à exigibilidade do certificado: sua apresentação seria necessária para o acesso a bares, restaurantes, transportes públicos de longa distância e grandes centros comerciais. Nesse sentido, o presidente da CNIL questionou o Parlamento sobre a efetividade do passe de saúde em comparação com outras medidas postas em prática desde o início da pandemia. Além disso, apontou que a obrigação de usar máscara, teletrabalho para serviços de saúde, aplicativo TousAntiCovid, lembretes, campanha de vacinação e Certificado Verde devem ser precedidos por lei que preveja o princípio da avaliação rigorosa e científica, principalmente para os que envolvem dispositivos digitais, a fim de remover instrumentos que se revelem ou se tornaram desnecessários, ou que gerem riscos aos direitos e liberdades individuais.
A CNIL realizou uma inspeção em 2019 em relação ao grupo AG2R LA MONDIALE, com o objetivo de verificar o cumprimento das operações de tratamento implementadas no âmbito da gestão de pensões complementares dos trabalhadores do setor privado, bem como da sua atividade enquanto seguradora. Na ocasião, a CNIL apontou que a empresa, responsável pela coordenação de seguros de previdência, dependência, saúde e poupança, armazenava os dados de milhões de pessoas por um período de tempo excessivo, além de não cumprir com as obrigações de informação relacionadas à campanhas de prospecção de clientes. Com base em tais elementos, o órgão da CNIL competente para aplicação de sanções considerou que a empresa violou diversas obrigações fundamentais previstas no GDPR. Diante disso, impôs uma multa de 1.750.000 euros à empresa violadora.
Holanda
Autoridade Holandesa aplicou multa ao aplicativo Tiktok pela violação da privacidade de crianças
A Autoridade Holandesa de Proteção de Dados (AP) multou o aplicativo TikTok em 750.000 euros por violar a privacidade de crianças e adolescentes. As diretrizes de uso que os usuários holandeses – a maioria crianças – receberam do TikTok ao instalar e usar o aplicativo estavam em inglês e, portanto, não eram fáceis de entender. Segundo a Autoridade, ao não oferecer a declaração de privacidade em holandês, o aplicativo não explicou adequadamente como realiza a coleta e o tratamento dos dados pessoais. Dessa forma, no entendimento da Autoridade, o Tiktok teria violado a legislação de proteção de dados pessoais.
Itália
Autoridade Italiana lançou um FAQ com principais perguntas sobre certificação de privacidade e GDPR
O que é certificação para fins de privacidade? Que garantias o credenciamento oferece? Quem pode emitir certificações de tratamento de dados e quem pode solicitá-las? Um único produto, como um software de gerenciamento de dados de funcionários, pode ser certificado pelo GDPR? Essas e outras perguntas são respondidas pela página de Perguntas frequentes publicadas pela Autoridade Italiana e pela Accredia, o único organismo nacional de acreditação de organismos de certificação (CB). Esse primeiro FAQ, dedicado a aspectos gerais, foi elaborado no contexto do acordo que visa o intercâmbio de informações sobre as atividades de certificação previstas no Regulamento da UE sobre proteção de dados pessoais. O documento fornece esclarecimentos úteis a todos os controladores, tanto no setor empresarial como na administração pública, que desejam usar uma certificação para demonstrar seu compromisso com o cumprimento das obrigações de proteção de dados e com os requisitos do GDPR. O conteúdo está disponível nos sites da Autoridade www.gpdp.it e da Accredia www.accredia.it .
México
O Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI) emitiu recomendações para reduzir os riscos de privacidade em plataformas que irão transmitir as Olimpíadas de Tóquio, via streaming, que normalmente levam os usuários a sites fraudulentos com softwares maliciosos que podem se infiltrar em dispositivos eletrônicos, por meio de anúncios forçados e técnicas enganosas. Em 2016, a IBM Security já alertava sobre as técnicas utilizadas por cibercriminosos para a transmissão das Olimpíadas do Rio, como a criação de sites repletos anúncios atrelados aesportes, que comprometiam dispositivos com a instalação de malwares, para acessar grandes quantidades de informações pessoais. Anúncios pop-up com frequência requerem que o usuário que navega na Internet instale plug-ins (extensões) para ver o conteúdo, que são utilizados para infiltrar os malwares. Depois que o usuário os instala, eles podem infectar qualquer página da web que o usuário está visitando, inclusive alterar os links originais. Nesse contexto, o INAI faz as seguintes recomendações aos usuários: (i) Acompanhe as transmissões nas plataformas oficiais; (ii) Consulte o Aviso de Privacidade ou política de privacidade antes de usar a plataforma de transmissão; (iii) Tenha antivírus atualizados em todos os dispositivos de navegação que utilizem Internet; (iv) Baixe aplicativos de sites reconhecidos; (v) Configure a privacidade e habilite apenas as permissões necessárias nos aplicativos baixados, para evitar que o aplicativo colete informações pessoais não autorizadas ou controle o equipamento de alguma forma inadequada; (vi) Evite conectar-se a redes Wi-Fi públicas.
Para que a população se cuide e não seja vítima de fraude relacionada ao uso indevido de dados pessoais, por meio de ligações ou mensagens da Internet, o Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI) emitiu uma série de recomendações. Entre os comportamentos fraudulentos mais comuns para obter dados pessoais do cidadão, por telefone ou Internet, são o uso da imagem ou nome de qualquer instituição ou empresa pública conhecida, postagens enganosas em perfis de mídia social, falsas promoções, e até mesmo o envio de documentos para o endereço da possível vítima. É importante observar que compartilhar informações pessoais pode trazer diversas consequências, tais como fraude, perdas financeiras, o uso de contas não autorizadas e/ou dados pessoais, entre outros fatores. Diante disso, a Autoridade emitiu as seguintes recomendações aos usuários: (i) Evite atender chamadas com números suspeitos ou números não visíveis ou privados; (ii) Não forneça dados pessoais, por meio de ligações telefônicas, como chaves ou senhas para serviços bancários; (iii) Cuide de chamadas ou mensagens pela Internet solicitando informações pessoais para supostos programas sociais, ofertas, descontos ou promoções; (iv) Sempre verifique se o site que solicita seus dados pessoais corresponde à página oficial da instituição ou organização. (v) Tente não entrar em sites através de links incluídos em e-mails, mensagens de texto ou redes sociais.
Reino Unido
Para ajudar a enfrentar os desafios envolvendo o uso de Inteligência Artificial e proteção de dados, o ICO lançou um kit de ferramentas destinado a organizações. O trabalho baseia-se na Orientação sobre IA e proteção de dados da European Data Protection Board, bem como na orientação conjunta do ICO junto com o Instituto Alan Turing sobre a explicação de decisões tomadas com IA. O kit contém análises para ajudar a compreensão dos riscos aos direitos dos titulares, além de fornecer sugestões sobre as melhores práticas organizacionais e medidas técnicas que podem ser usadas para gerenciar e mitigar os riscos, demonstrando conformidade com a lei de proteção de dados. Segundo o ICO, o kit reflete a estrutura de auditoria desenvolvida pelas equipes de verificação interna e investigação da autoridade e fornece uma metodologia clara para auditar aplicativos de IA e garantir que eles realizem os tratamentos de dados pessoais em conformidade com a lei. O kit está sendo apresentado na sua versão beta, após os comentários recebidos na versão alfa lançada em março de 2021.
Uruguai
Autoridade uruguaia avança em seu plano anual de capacitação
No âmbito do seu plano anual de formação, a Autoridade de proteção de dados uruguaia desenvolveu diversas atividades com o objetivo de formar, sensibilizar e divulgar a proteção de dados pessoais junto aos órgãos do país e aos cidadãos.Entre abril e maio foi realizada a primeira edição do ano do curso para encarregados, que contou com a presença significativa do setor privado. Nos encontros, foram fornecidas ferramentas para o desenvolvimento, além de terem sido aprofundadas e discutidas as questões mais complexas sobre o assunto. De igual maneira, entre maio e junho, foram realizados dois cursos que tiveram como público alvo os membros de diversos órgãos do Estado. Por sua vez, em 27 de maio, foi realizada a primeira palestra virtual do ano sobre a aprovação da Convenção 108+, seus impactos e oportunidades para o país. Por fim, a Autoridade divulgou, em junho, um conjunto de recomendações sobre a utilização de aplicativos de mensagens, para gestores, programadores e controladores, com base nas diretrizes de proteção de dados pessoais.
Proteção de Dados nas Universidades
Decentralising Data Collection and Centralising Information in the People’s Republic of China: Decentralise, Manage and Service Reforms
TRAUTH-GOIK, Alexander; BERNOTAITE, Ausma
A ascensão de Xi Jinping ao poder como presidente do Partido Comunista Chinês (PCC) foi acompanhada por mudanças nas estratégias de governança nacional na República Popular da China (RPC) que incorporou progressivamente o uso de big data. Pouco depois, em maio de 2015, o Conselho de Estado Chinês divulgou um conjunto de reformas de política sob a abreviatura fang guan fu 放 管 服 (descentralizar, gerenciar e atender). Segundo o texto, tais reformas influenciaram o mercado de big data na: (1) regulação; (2) sistemas de supervisão e gestão; e (3) processos de prestação de serviços. Por meio de uma abordagem analítica de estudo de caso, o texto examina como os avanços em big data contribuíram para tais reformas de centralização da informação no país. Assim, o artigo oferece evidências de vigilância de big data analisando o fragmentado sistema de política intergovernamental da China. Segundo os autores, as descobertas encontradas após a pesquisa podem ter implicações para análises futuras da relação entre a organização política e vigilância dentro de outros contextos de estados-nação, particularmente em situações onde os chineses tecnologias e sistemas estejam sendo adotados e adaptados.
Mapping Research Strands of Ethics of Artificial Intelligence in Healthcare: A Bibliometric and Content Analysis
SAHEB, Tahereh; SAHEB, Tayebeh; CARPENTER, David
O crescimento da inteligência artificial na promoção da saúde está progredindo rapidamente, no entanto, segundo o texto, apesar de sua natureza promissora, a IA na área da saúde também incorpora certos desafios éticos. Dessa forma, a pesquisa tem como objetivo delinear os elementos mais influentes da pesquisa científica sobre ética em IA na saúde por meio da realização de análises bibliométricas, análises de redes sociais e análises de conteúdo baseadas em agrupamentos de artigos científicos. Segundo os autores, o texto fornecerá um mapa para formuladores de políticas e engenheiros e cientistas de IA sobre quais dimensões das intervenções médicas baseadas em IA exigem diretrizes mais rígidas, um design e desenvolvimento éticos robustos, além de uma ética da análise preditiva melhor delineada. Por fim, a análise promove discussões sobre a ética da IA e tecnologias emergentes associadas, como por exemplo a nanotecnologia e biotecnologia, avançando as pesquisas que envolvem convergência sobre a ética e IA na saúde.
Reflexión sobre la protección de datos virtuales por parte del Estado brasileño a través de las modificaciones generadas por covid-19
MENGUER, Rafael Bykowski dos Santos
As alterações decorrentes da pandemia acarretaram modificações em todo o corpo jurídico brasileiro. Sendo a pandemia de caráter global, ela fundamentou transformações administrativas e legislativas intensas para as normas estatais em caráter nacional e global. Dessa forma, fazem-se necessários o estudo e a delimitação do problema dentro do ponto de vista teórico, objetivando uma solução adequada para a questão. Nessa perspectiva, o artigo baseou-se nas modificações ocorridas no Direito digital, advindas do período de calamidade pública, sendo essas concretizadas nas esferas federal, estadual e municipal. Em especial, a investigação teve como objetivos identificar e analisar as propostas e medidas estabelecidas em território nacional, principalmente aquelas referentes à proteção de dados e à nova Lei Geral de Proteção de Dados Pessoais, abordando suas alterações mais relevantes, dentro do paradigma jurídico brasileiro.
