Seja bem-vinde a mais uma edição do Boletim! Nesta 46ª edição, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) publicou uma Consulta Pública sobre a minuta de resolução […]
Seja bem-vinde a mais uma edição do Boletim!
Nesta 46ª edição, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) publicou uma Consulta Pública sobre a minuta de resolução que regulamenta a aplicação da LGPD para microempresas e empresas de pequeno porte, bem como para iniciativas empresariais de caráter incremental ou disruptivo. A referida minuta de resolução apresenta a possibilidade de adoção de procedimentos simplificados e diferenciados, facilitando a conformidade desse grupo à LGPD, e estará disponível na plataforma Participa + Brasil pelos próximos 30 dias.
Ainda sobre a atuação da Autoridade Brasileira, destacamos que, após uma movimentação conjunta envolvendo o Conselho Administrativo de Defesa Econômica (Cade), o Ministério Público Federal (MPF), Secretaria Nacional do Consumidor (Senacon) e a própria ANPD sobre a nova política de privacidade do Whatsapp, a empresa se comprometeu a atender as recomendações anteriormente feitas. Sendo assim, dentre os principais pontos de atenção que devem ser adequados pelo Whatsapp estão: (i) o ajuste do Aviso de Privacidade para o Brasil, de forma que reflita práticas de transparência em níveis compatíveis ao que já ocorre para usuários da União Europeia; (ii) atualização dos Termos sobre o WhatsApp Business; (iii) elaboração dos relatórios de impacto e de outros documentos solicitados pela ANPD; (iv) sistematização dos mecanismos de controle interno; entre outros pontos.
Por fim, falando um pouco sobre as últimas movimentações do Judiciário, destacamos que a 3ª Turma do Superior Tribunal de Justiça (STJ) negou provimento a um Recurso Especial que tratou sobre o ato de divulgar print screen de conversas privadas do Whatsapp. Nesse sentido, no entendimento da Turma, terceiros somente podem ter acesso às conversas de WhatsApp mediante consentimento dos participantes ou autorização judicial, pois, ao levar a conhecimento público conversa privada, além da quebra da confidencialidade, estará configurada a violação à legítima expectativa, bem como à privacidade e à intimidade do emissor, sendo possível a responsabilização daquele que procedeu à divulgação se configurado o dano. Assim, ficou decidido que a divulgação ilícita geraria o dever de indenizar.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
A Autoridade Nacional de Proteção de Dados (ANPD) publicou na segunda-feira, dia 30 de agosto de 2021, a Consulta Pública sobre a minuta de resolução que regulamenta a aplicação da LGPD para microempresas e empresas de pequeno porte, bem como para iniciativas empresariais de caráter incremental ou disruptivo que se autodeclararem startups ou empresas de inovação, nos termos do art. 55-J, inciso XVIII da lei. A consulta estará disponível na plataforma Participa + Brasil pelos próximos 30 dias. Já a audiência pública foi agendada para os dias 14 e 15 de setembro de 2021. A minuta de resolução apresenta a possibilidade de adoção de procedimentos simplificados e diferenciados, facilitando a conformidade desses grupos à LGPD e contribuindo para a disseminação da cultura de proteção de dados pessoais. Acesse o arquivo com a minuta de resolução.
Após a recomendação conjunta – emitida pela Autoridade Nacional de Proteção de Dados (ANPD), pelo Conselho Administrativo de Defesa Econômica (Cade), pelo Ministério Público Federal (MPF) e pela Secretaria Nacional do Consumidor (Senacon) – sobre a nova política de privacidade do aplicativo de mensagens do WhatsApp, esses quatro órgãos, de forma conjunta e isolada, realizaram reuniões com representantes do WhatsApp, no intuito de que as medidas que entendem pertinentes para os direitos dos titulares dos usuários sejam efetivamente adotadas. No início da mesa de negociação, o WhatsApp alinhou o entendimento de suspender, por noventa dias, o prazo para a aceitação dos novos Termos de Serviço e definiu que nenhum usuário teria a conta suspensa ou apagada neste prazo. Passados aproximadamente três meses desde a recomendação, a empresa apresentou compromissos de cumprimento de diversos pontos da recomendação e da nota técnica da ANPD, bem como detalhes técnicos para sua viabilização. Depois de uma nova nota técnica da ANPD, o WhatsApp sinalizou que pretende atender aos pontos requeridos, especialmente: (i) o ajuste do Aviso de Privacidade para o Brasil para refletir práticas de transparência, em níveis compatíveis ao que já realiza para usuários da União Europeia; (ii) atualização dos Termos sobre o WhatsApp Business; (iii) elaboração dos relatórios de impacto e de outros documentos solicitados pela ANPD; (iv) sistematização dos mecanismos de controle interno; entre outros.
Argentina
Autoridade Argentina fez recomendações para compras online seguras
Durante o ano de 2020, a pandemia COVID 19 fez com que o comércio online crescesse exponencialmente. A Câmara Argentina de Comércio Eletrônico (CACE) afirma que as vendas cresceram 124% em relação a 2019 e o faturamento chegou a mais de $905 milhões de pesos. Por conta disso, a Autoridade Argentina realizou algumas recomendações a serem observadas em cada transação que for realizada online: ‘’(i) A página onde você compra deve ser verificada. Isso pode ser confirmado se o site tiver um cadeado no lado esquerdo do endereço da web. (ii) Não responda e-mails que solicitem o preenchimento de seus dados pessoais. Os e-mails são um dos meios pelos quais podem ser coletados dados que afetam sua privacidade. (iii) Leia os termos e condições do site para saber quais usos serão feitos dos seus dados pessoais. As empresas devem pedir seu consentimento para tratar seus dados pessoais de forma escrita ou outro meio semelhante. Além disso, as empresas devem informá-lo com antecedência e em linguagem clara sobre o objetivo, as consequências, os destinatários e, se estiverem armazenados em um banco de dados, o nome e os dados de contato do controlador. Em caso de descumprimento de qualquer uma das mencionadas recomendações, a Autoridade de Proteção de Dados Argentina ressalta a possibilidade de apresentar reclamação perante a sua diretoria.
Dinamarca
Autoridade Dinamarquesa apontou que o Serviço de Imigração Dinamarquês está sujeito a uma multa
A Autoridade Dinamarquesa de Proteção de Dados notificou o Serviço de Imigração Dinamarquês à polícia e recomendou a aplicação de uma multa no valor de DKK 150.000, pois a Autoridade avalia que a agência não cumpriu com os requisitos para um nível apropriado de segurança no que tange à proteção de dados pessoais. Em 25 de agosto de 2020, a Autoridade iniciou um procedimento contra o Ministério da Imigração e Integração quando tomou conhecimento, através da cobertura da mídia, de que um possível erro de registro em um sistema de TI associado ao Udrejsecenter Kærshovedgård (Serviço de Imigração Dinamarquês) poderia ter tido consequências para os direitos e liberdades dos residentes. Após uma análise do caso, a Autoridade Dinamarquesa concluiu que o tratamento de dados pessoais pelo Serviço de Imigração não estava de acordo com as regras de segurança apropriadas, podendo ocasionar sérios riscos para os direitos dos titulares, o que culminou na recomendação de aplicação da mencionada multa.
Holanda
A Autoridade Holandesa de Proteção de Dados (AP) concedeu a mais de 160 instituições financeiras uma licença para registrar dados de fraudadores e compartilhá-los entre si em um sistema de alerta de incidentes sob condições específicas. Os fraudadores costumam estar ativos em várias instituições. Diante disso, agora os Bancos e seguradoras podem avisar uns aos outros sobre o assunto, trocando informações de fraude. As condições para o compartilhamento de dados estão definidas no novo Protocolo de Instituições Financeiras do Sistema de Alerta de Incidentes (PIFI), que contém regras que os bancos e seguradoras deverão cumprir para rastrear e trocar informações sobre incidentes, tais como fraude de identidade ou fraude de help desk bancário (spoofing).
México
INAI, IPN e ENBA assinaram acordo de acesso à informação, transparência e proteção de dados.
O Instituto Nacional de Transparência, Acesso à Informação Proteção de Dados Pessoais (INAI), Instituto Politécnico Nacional (IPN) e a Escola Nacional de Biblioteconomia e Archivonomia (ENBA) assinaram um acordo geral de colaboração com o propósito de empreender ações e projetos conjuntos relativos ao acesso à informação, proteção de dados pessoais, gestão de documentos, transparência ativa e arquivos. Esse acordo permite trabalhar de forma coordenada para promover uma cultura de transparência nas ações de governo, socializar o direito de acesso à informação e promover a prestação de contas à sociedade. No evento virtual de celebração do acordo, a Presidente Comissária do INAI, Blanca Lilia Ibarra Cadena, afirmou que a relação entre o setor acadêmico e a transparência deve ser estreita, harmoniosa e significativa, uma vez que, sem contribuições valiosas de instituições de ensino superior e a comunidade universitária, não é possível lançar as bases para promover uma cultura de transparência plena e efetiva.
Foram abertas as inscrições para participar dos trabalhos da Global Privacy Assembly 2021 (GPA), a ser realizada na Cidade do México, de 18 a 21 de outubro, com o tema “Privacidade e Proteção de Dados: uma abordagem focada no ser humano ”, cuja finalidade é estabelecer padrões para garantir a proteção adequada do direito humano à privacidade e proteção de dados pessoais. O Instituto Nacional de Transparência, Acesso à Informação e a Proteção de Dados Pessoais (INAI) é a autoridade anfitriã deste evento internacional que reunirá mais de 130 autoridades de proteção de dados e privacidade de 80 países. O objetivo é discutir e analisar a convivência entre desenvolvimento das novas tecnologias de informação e o direito à proteção de dados pessoais, além de posicionar o México como referência mundial no assunto. Em razão do contexto de crise da saúde, a GPA será realizada em um formato híbrido, ou seja, com atividades presenciais e virtuais, aproveitando o uso de novas tecnologias para remover barreiras de distância física e tornar a cooperação e troca de ideias sobre o assunto possível entre os participantes.
Holanda
Reino Unido
ICO aprovou os primeiros critérios do esquema de certificação GDPR do Reino Unido
O Information Commissioner’s Office (ICO) aprovou os primeiros critérios do esquema de certificação em proteção de dados do Reino Unido. A certificação foi introduzida pela Lei Geral de Proteção de Dados do Reino Unido como uma forma de ajudar as organizações a demonstrar conformidade com as regras de proteção de dados e, por sua vez, inspirar confiança nas pessoas que usam seus produtos, processos e serviços. A certificação funciona fornecendo uma estrutura a ser seguida pelas organizações, que oferece aos clientes a garantia de que estão aderindo a padrões rígidos e necessários para garantir a segurança. O ICO aprovou os critérios para dois protocolos, que agora serão implementados. O primeiro é o ADISA, em que especialistas em serviços de TI desenvolveram um padrão que garante que os dados pessoais sejam tratados de forma adequada quando o equipamento de TI é reutilizado ou destruído. O segundo é o Esquema de certificação de verificação de idade (ACCS) em que foram desenvolvidos critérios para dois procedimentos, o primeiro relacionado à garantia de idade e o segundo à privacidade online das crianças. Assim, as organizações que alcançarem os padrões estabelecidos nesses esquemas de certificação podem criar uma vantagem competitiva e demonstrar que possuem o mais alto nível de compromisso com a proteção de dados com seus clientes, parceiros e investidores.
O ano de transição acabou e o Age Appropriate Design Code entra em vigor em 2 de setembro. É um código inovador que cria uma Internet melhor para crianças, garantindo serviços online que podem ser acessados por crianças com respeito aos seus direitos e liberdades no tocante a seus dados pessoais. Como era de se esperar, isso já está causando grande impacto nos citados serviços. Por exemplo, Facebook, Google, Instagram, TikTok e outros fizeram mudanças significativas nas medidas de privacidade e segurança para crianças recentemente. Sendo um código pioneiro no cenário mundial, também está tendo uma influência global. Membros do Senado e do Congresso dos Estados Unidos pediram às principais empresas de tecnologia e jogos dos Estados Unidos que adotassem voluntariamente os padrões do código da ICO para crianças nos Estados Unidos. O ICO identificou também que, atualmente, alguns dos maiores riscos para o público infantil vêm de plataformas de mídia social, sites de streaming de vídeo e música e plataformas de jogos. Nesses setores, os dados pessoais das crianças estão sendo usados e compartilhados para bombardeá-las com recursos de conteúdo e serviços personalizados. Isso pode incluir anúncios inadequados, mensagens não solicitadas e pedidos de amizade, incentivos que corroem a privacidade, incentivando as crianças a permanecerem conectadas. Diante disso, o ICO ressalta a preocupação com uma série de danos físicos, emocionais e financeiros que podem ser gerados a partir desse uso de dados, o que torna urgente a adoção de mudanças, muitas das quais estão dispostas no Age Appropriate Design Code.
Proteção de Dados nas Universidades
Proteção de Dados: contextos, narrativas e elementos fundantes
BIONI, Bruno e outros
O livro “Proteção de Dados: contextos, narrativas e elementos fundantes” é uma coletânea de 20 artigos escritos por Bruno Bioni e diversos especialistas da área. O novo livro é curadoria de escritos ao longo de 10 (dez) anos de pesquisa em proteção de dados. Ao todo, são 20 (vinte) artigos dos quais, muitos deles são em coautoria com pessoas que são referências no campo. Segundo resenha da obra feita pela Líder Geral de Projetos da Associação Data Privacy de Pesquisa, Mariana Rielli, a multiplicidade de abordagens e temas correlatos que são objeto dos interesses e estudos de Bruno Bioni, assim como da Associação de pesquisa que dirige, se refletem na riqueza da coletânea recentemente disponibilizada ao público, algo que não passou despercebido pelo Ministro Ricardo Villas Bôas Cueva, que prefaciou o livro e destacou a variedade de assuntos abordados e conectados nesta que é uma grande contribuição à matéria da privacidade e proteção de dados, especialmente em termos de construção de uma dogmática jurídica robusta. Dividida em duas partes, a primeira – contexto e narrativas – e a segunda – elementos fundantes – dão nome à obra. Para baixar o ebook de forma gratuita, basta acessar AQUI.
Old Facts, New Beginnings: Thinking with Arendt about Algorithmic Decision-Making
HERZOG, Lisa.
Mais e mais decisões em nossas sociedades são feitas por algoritmos. O que são tais decisões e como elas se comparam à tomada de decisão humana? Neste texto serão analisadas características centrais da tomada de decisão algorítmica com três elementos-chave – pluralidade, natalidade e julgamento – com base no pensamento político de Hannah Arendt. Em “Arendtian practices”, os seres humanos se unem como iguais, trocam argumentos e fazem decisões conjuntas, às vezes trazendo algo novo ao mundo. Com os algoritmos e as tomadas de decisão automatizadas assumindo mais áreas da vida, as oportunidades para as “Arendtian practices” estão ameaçadas. Com base no texto, existe, ainda, o perigo de que algoritmos sejam encarregados de decisões para as quais são inadequados, ou incapazes de fornecer um resultado eficaz. Por fim, segundo a autora, a análise do contraste com o pensamento de Arendt pode ser um ponto de partida para delinear ambientes em que a tomada de decisão algorítmica deve ou não ser bem-vinda.
Proteção de Dados no Legislativo
O Projeto de Lei 2758/2021, proposto pelo Veneziano Vital (MDB/PB), tem como objetivo alterar a Lei Geral de Proteção de Dados para dispor sobre a composição do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD). O PL altera o artigo 58-A para modificar a composição do CNPD, determinando que tenham 2 (duas) vagas para entidades da sociedade civil com atuação relacionada à proteção de dados pessoais e 1 (uma) vaga para advogado indicado pelo Conselho Federal da Ordem dos Advogados do Brasil. Atualmente, o PL está aguardando despacho do Presidente da Câmara dos Deputados.
Câmara aprova em 2º turno PEC 17/19 que inclui a proteção de dados pessoais na Constituição
A Câmara dos Deputados aprovou nesta terça-feira (31) a Proposta de Emenda à Constituição (PEC) 17/19, do Senado, que torna a proteção de dados pessoais, inclusive nos meios digitais, um direito fundamental e remete privativamente à União a função de legislar sobre o tema. A proposta foi aprovada em dois turnos na forma do substitutivo do relator, deputado Orlando Silva (PCdoB-SP), e deve retornar ao Senado Federal devido às mudanças feitas. Na votação em segundo turno, foram 436 votos a 4. No primeiro turno, foram 439 a 1. Segundo a proposta, também caberá à União organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos da lei. Por fim, ressaltamos que a Associação Data Privacy de Pesquisa contribuiu diretamente na elaboração do projeto, auxiliando o Deputado Orlando Silva.
Proteção de Dados no Judiciário
Turma do STJ negou provimento a REsp, julgando que a divulgação de prints de conversas de Whatsapp sem autorização gera dever de indenizar
Trata-se de Recurso Especial julgado pela 3ª Turma do Superior Tribunal de Justiça (STJ), que possui como propósito decidir, em suma, se a divulgação pública de mensagens trocadas via WhatsApp caracteriza ato ilícito apto a ensejar a responsabilização por eventuais danos decorrentes da publicização. Segundo o acórdão, nas hipóteses em que o conteúdo das conversas enviadas via WhatsApp possa, em tese, interessar a terceiros, haverá um conflito entre a privacidade e a liberdade de informação, revelando-se necessária a realização de um juízo de ponderação. Nesse aspecto, há que se considerar que as mensagens eletrônicas estão protegidas pelo sigilo em razão de o seu conteúdo ser privado; isto é, restrito aos interlocutores. Assim, continuando o argumento, a Turma apontou que é certo que ao enviar mensagem a determinado ou a determinados destinatários via WhatsApp, o emissor tem a expectativa de que ela não será lida por terceiros, quanto menos divulgada ao público, seja por meio de rede social ou da mídia. Assim, ao levar a conhecimento público conversa privada, além da quebra da confidencialidade, estará configurada a violação à legítima expectativa, bem como à privacidade e à intimidade do emissor, sendo possível a responsabilização daquele que procedeu à divulgação se configurado o dano. Dessa maneira, julgando que a divulgação ilícita de prints de conversas gera o dever de indenizar, a Turma negou provimento ao recurso especial.