Seja bem-vinde a mais uma edição do Boletim! Nesta 47ª edição, destacamos que o Data Privacy Brasil lançou o Prêmio Artigo 50, uma iniciativa que visa premiar boas práticas na […]
Seja bem-vinde a mais uma edição do Boletim!
Nesta 47ª edição, destacamos que o Data Privacy Brasil lançou o Prêmio Artigo 50, uma iniciativa que visa premiar boas práticas na área da proteção de dados. A premiação se aplicará a pessoas físicas dos setores público, privado e do terceiro setor que estão empenhadas em fortalecer a criação de uma cultura de privacidade e proteção de dados no Brasil. Para mais informações basta acessar o nosso site
No contexto nacional, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) e a Secretaria Nacional do Consumidor (SENACON) lançaram o Guia “Como proteger seus dados pessoais”, que tem como foco a conscientização do consumidor sobre a importância dos seus dados pessoais. Entre os conteúdos do guia, estão esclarecidas as situações em que é possível realizar o tratamento de tais dados, quais informações são necessárias e quem pode realizar esse tratamento, além de orientar o consumidor sobre o que deve ser feito em caso de violação que envolvam o compartilhamento indevido de dados.
Por fim, sobre a atuação das autoridades no âmbito internacional, a Autoridade Italiana manifestou parecer favorável ao decreto que introduz procedimentos simplificados sobre o uso do Certificado Verde no ambiente escolar. O texto tem como objetivo garantir o correto cumprimento das obrigações relativas ao Certificado para os funcionários das escolas, o cumprimento das normas de proteção de dados pessoais, além de evitar consequências discriminatórias no ambiente de trabalho.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
ANPD e SENACON lançaram o guia “Como proteger seus dados pessoais”.
A Autoridade Nacional de Proteção de Dados (ANPD) e a Secretaria Nacional do Consumidor do Ministério da Justiça e Segurança Pública (SENACON/MJSP) lançaram o Guia “Como proteger seus dados pessoais”, que tem como foco a conscientização do consumidor sobre a importância dos seus dados pessoais. O Guia foi lançado em evento organizado pela SENACON em razão da comemoração dos 31 anos do Código de Defesa do Consumidor. O material tem linguagem simplificada, a fim de elucidar temas que possuem grande relevância e visando conscientizar e esclarecer toda a sociedade, na medida em que reúne informações sobre a Lei Geral de Proteção de Dados Pessoais, com conceitos básicos e orientações sobre as relações de consumo, regradas majoritariamente pelo Código de Defesa do Consumidor. Entre os conteúdos do guia, estão esclarecimentos sobre as situações em que é possível realizar o tratamento de dados pessoais, quais informações são necessárias para tal e quem pode realizar esse tratamento, além de orientações ao consumidor sobre o que deve ser feito em caso de violações que envolvam o compartilhamento indevido de dados. O guia pode ser acessado aqui.
A audiência pública para debater a proposta de norma de aplicação da LGPD para microempresas e empresas de pequeno porte será realizada nos dias 14 e 15 de setembro de 2021, de forma remota, conforme despacho publicado no Diário Oficial da União (DOU). O objetivo da audiência é discutir com a sociedade a proposta normativa, que está disponível para consulta pública até o dia 29 de setembro de 2021, por meio da plataforma Participa + Brasil. A sessão será aberta ao público e será transmitida pelo canal da ANPD no Youtube. A organização das manifestações foi definida pela ordem alfabética das instituições inscritas, seguidas da ordem alfabética das pessoas naturais inscritas sem vínculo institucional. Cada um disporá de até 5 (cinco) minutos para realizar a sua exposição. Nos casos em que a instituição tenha mais de um inscrito, os representantes poderão escolher quem a representará ou, alternativamente, poderão dividir o tempo como preferirem.
Bélgica
Autoridade Belga contatou plataforma destinada a relatar comentários “esquerdistas” em sala de aula
Durante o atual ano letivo, um site de organização juvenil de um partido político recebeu a atenção da mídia por convidar os alunos a relatarem discursos em sala de aula que tenham um conteúdo “de esquerda”. O formulário postado no site também permite o envio de imagens ou vídeos para embasar a “denúncia”. A Autoridade Belga (APD) questionou a legalidade da plataforma e, por conta disso, contatou os idealizadores por meio de uma carta, para obter mais informações sobre o assunto. Além disso, a APD também destacou que os dados relativos às opiniões políticas de pessoas identificadas ou identificáveis são dados sensíveis, com base no GDPR (artigo 9.º), o que torna, portanto, seu tratamento restrito a algumas hipóteses específicas. Nesse sentido, a Autoridade destacou que ainda não está claro até que ponto alguma das exceções poderiam ser aplicáveis no caso em apreço.
Dinamarca
Crianças e jovens têm proteção especial no GDPR. Nesse sentido, a Autoridade de Proteção de Dados Dinamarquesa afirmou que está prestando uma atenção extra a isso, especialmente quando os respectivos dados pessoais são expostos a tratamentos que não podem ser, em princípio, evitados, como nos casos do uso de plataformas online para fins educacionais. A decisão da Autoridade Dinamarquesa, no caso específico do uso de Google Chromebooks, declarou que a Lei Folkeskole dá aos municípios o direito de escolher os equipamentos e programas de TI a serem usados no ensino. Entretanto, ressaltou que é responsabilidade deles, como controladores, garantir que os equipamentos e programas sejam utilizados de forma que as normas de proteção de dados sejam cumpridas. Para a Autoridade, no caso específico, o município em questão não fez as avaliações necessárias, culminando em diversos riscos para os titulares. Por fim, também foi advertido que o uso de produtos adicionais do G-Suite não pode ser realizado legalmente sem a elaboração de um relatório de impacto, por meio do qual os riscos para os direitos dos titulares podem ser analisados e mitigados.
Estados Unidos
A Federal Trade Commission (FTC) aplicou punições à empresa SpyFone e seu CEO, Scott Zuckerman, devido a alegações de que a empresa de aplicativos Stalkerware secretamente teria coletado e compartilhado dados sobre a localização das pessoas, uso do telefone e atividades online, através de um hack oculto de dispositivo. Os aplicativos da empresa vendiam acesso à vigilância em tempo real de dispositivos, permitindo que stalkers e cibercriminosos rastreassem furtivamente seus potenciais alvos. A falta de segurança básica do SpyFone também expôs os proprietários dos dispositivos a hackers, ladrões de identidade e outras ameaças cibernéticas. Além de impor a proibição de Surveillance Business, a ordem da FTC exigiu que o SpyFone excluísse as informações coletadas ilegalmente e notificasse os proprietários dos dispositivos de que o aplicativo foi instalado secretamente. No caso, depois que um hacker acessou o servidor da empresa e obteve dados pessoais de cerca de 2.200 consumidores em agosto de 2018, ela se comprometeu a trabalhar com uma empresa externa de segurança de dados e autoridades policiais para investigar o incidente. No entanto, a FTC destacou que a empresa não cumpriu o acordado.
Itália
Autoridade Italiana autorizou o uso de Certificados Verdes nas escolas
A Autoridade Italiana de Proteção de Dados, com caráter de urgência, manifestou parecer favorável ao decreto do Presidente do Conselho de Ministros, que introduz procedimentos simplificados de verificação da Certificação Verde Escolar. O texto incorpora as sugestões indicadas pela Garante no contexto de discussões e reuniões com representantes do Ministério da Educação e do Ministério da Saúde do país, a fim de garantir o correto cumprimento das obrigações relativas ao Certificado Verde para funcionários da escola, incluindo normas de proteção de dados pessoais, além de evitar consequências discriminatórias no ambiente de trabalho. Em particular, as instituições de ensino, como empregadoras, limitar-se-ão a verificar, através do Sistema de Informação Educacional-Sidi e da Plataforma Nacional-DGC, a posse da Certificação Verde Covid-19 por parte dos seus colaboradores, tratando apenas os dados estritamente necessários. O processo de verificação deve ser realizado diariamente antes do acesso dos trabalhadores às instalações e deve incidir apenas sobre o pessoal para o qual se prevê a presença efetiva no local no dia da verificação, excluindo, por sua vez, aqueles que se encontram ausentes por motivos específicos: por exemplo, por férias, licença ou doença.
O regulamento do Certificado Verde prevê que ele deve, apenas nos locais onde for determinado nos termos da lei, ser verificado à entrada dos estabelecimentos por meio do aplicativo desenvolvido pelo Governo, o qual permite ao verificador acessar apenas informações restritas, como, por exemplo, se o titular do documento tem ou não um Certificado válido, sem qualquer referência a informações relacionadas a vacina, ou recuperação da Covid19. Assim, para a Autoridade, o pedido de cópia do documento e indicação do prazo de validade, como condição para frequentar centro desportivo ou academias, constitui uma violação da legislação em vigor sobre proteção de dados pessoais. Para a Autoridade, é evidente e compreensível que a prática que está se disseminando no país facilitaria a vida dos donos de academias e centros esportivos, mas, ao mesmo tempo, pode frustrar os objetivos de conciliar privacidade e proteção à saúde. A reabertura do país, buscada com o Certificado Verde, coloca em circulação uma quantidade de dados pessoais maior do que o necessário e, acima de tudo, determina sua coleta e multiplicação em uma série de bancos de dados, o que faz necessária a adoção de algumas restrições, como as ora mencionadas.
Autoridade Italiana autorizou o uso de Câmara Corporais por forças policiais
Com duas opiniões distintas [Documentos n. 9690691 e n. 9690902], a Autoridade Italiana autorizou a Secretaria de Segurança Pública e o Comando Geral dell’Arma dei Carabinieri a usar câmeras corporais para documentar situações críticas de ordem pública durante eventos ou manifestações. Em qualquer caso, as duas Forças policiais terão de observar algumas indicações da Autoridade relativas à implementação de medidas de segurança e ao acompanhamento do acesso aos dados, para tornar as operações de tratamento de acordo com a legislação de proteção de dados pessoais. Em particular, a Autoridade solicitou ao Ministério que especificasse que o sistema que pretende utilizar não permite a identificação unívoca ou o reconhecimento facial dos indivíduos. As câmeras corporais apenas podem ser ativadas na presença de situações concretas e reais de perigo de perturbação da ordem pública ou de ofensas criminais. Não é permitida a gravação contínua de imagens e muito menos de episódios “não críticos”. Dentre os dados recolhidos estão áudio, vídeo e fotos das pessoas gravadas, data, hora da gravação e coordenadas GPS, que estarão disponíveis com diferentes níveis de acessibilidade e segurança, para posterior verificação das atividades.
Irlanda
A Comissão de Proteção de Dados (DPC) anunciou hoje a conclusão de sua investigação envolvendo o WhatsApp Ireland Ltd. A investigação da DPC foi iniciada em 10 de dezembro de 2018 e teve como objetivo examinar se o WhatsApp cumpriu com suas obrigações de transparência, nos termos do GDPR, com relação ao fornecimento de informações e à transparência dessas informações para usuários e não usuários do serviço do aplicativo. Isso inclui informações fornecidas aos titulares dos dados sobre o compartilhamento de informações entre o WhatsApp e outras empresas do Facebook. Após uma investigação longa e abrangente, a DPC apresentou um projeto de decisão a cada uma das Autoridades de Supervisão Interessadas (CSAs), nos termos do Artigo 60 do GDPR, em dezembro de 2020. O DPC posteriormente recebeu objeções de oito CSAs, mas não conseguiu chegar a um acordo sobre o conteúdo das objeções, o que culminou no início do processo de resolução de disputas (Artigo 65 do GDPR). Em 28 de julho de 2021, o Conselho Europeu de Proteção de Dados (EDPB) adotou uma decisão vinculativa e a DPC foi notificada dessa decisão. Além de impor uma multa administrativa, a DPC também repreendeu o WhatsApp com uma ordem para que processasse seu cumprimento por meio de uma série de medidas corretivas especificadas.
Reino Unido
ICO requereu auxílio aos países do G7 para enfrentar o desafio dos cookies pop-ups
O Information Commissioner’s Office (ICO) do Reino Unido requereu às autoridades de proteção de dados do G7 que trabalhem juntas para revisar os pop-ups de consentimento de cookies, para que a privacidade das pessoas seja protegida de forma mais significativa e as empresas possam oferecer uma melhor experiência de navegação na web. Com a adesão da Organização para Cooperação e Desenvolvimento Econômico (OCDE) e do Fórum Econômico Mundial (WEF), cada autoridade apresentará uma questão específica de tecnologia ou inovação para a qual acredita ser necessária uma cooperação mais estreita. O evento está estreitamente alinhado com a iniciativa G7 “Fluxo livre de dados com confiança”. Presidindo a reunião, a comissária de informação Elizabeth Denham, apresentou uma proposta sobre como melhorar o mecanismo de consentimento de cookies atual, tornando a navegação na web mais suave e mais amigável para os negócios, além de proteger os titulares de dados. Atualmente, muitas pessoas selecionam automaticamente “Concordo” quando são apresentadas a pop-ups de cookies na Internet, o que significa que não têm um controle significativo sobre seus dados pessoais.
Proteção de Dados nas Universidades
The Ghost in the Algorithm: Racial Colonial Capitalism and the Digital Age
HAMMER, Ricarda; PARK, Tina.
Embora as tecnologias sejam frequentemente empacotadas como soluções para problemas sociais de longa data, os estudiosos das economias digitais alertam que, longe de serem libertadoras, as tecnologias costumam consolidar ainda mais as desigualdades sociais e, de fato, automatizar estruturas de opressão. Nesse sentido, para os autores, as economias digitais dependem de caminhos coloniais que acabam servindo para replicar uma ordem mundial racializada e neocolonial. Para escrever o texto, os autores se basearam nos escritos de W.E.B Du Bois sobre o desenvolvimento histórico do capitalismo através da colonização e da linha de cor global. Baseando-se em obras do referido autor para compreender a estrutura histórica global do racismo, o texto desenvolve heurísticas que tornam visível como a lógica colonial operou historicamente e continua até hoje, incorporando assim as economias digitais nesta longa história de capitalismo, colonialismo e racismo. A aplicação de uma estrutura de W.E.B Du Bois à produção e propagação de tecnologias digitais mostra como o desenvolvimento de tal tecnologia não só depende de caminhos de produção colonial racial preexistentes e a negação da exploração racial e colonialmente enraizada, mas também replica ainda mais essas estruturas globais.
Contraterrorismo e o legado do 11 de Setembro: um olhar crítico.
ZANATTA, Rafael.
O 11 de Setembro, ocorrido há exatos vinte anos, foi um evento catalítico de redirecionamento geopolítico em nome da “Guerra ao Terror”. Uma de suas inúmeras consequências foi a aceleração dos usos de tecnologias da informação para vigilância e inteligência em escalas inéditas e métodos eticamente questionáveis. Exemplo paradigmático foi o Stellar Wind, programa de vigilância criado em outubro de 2001 pelo governo George W. Bush, como uma das respostas ao atentado da Al-Qaeda, que permitia a varredura e mineração de dados como comunicações por e-mail, dados de utilização de serviços telecomunicações, transações financeiras e atividades online. Para o autor, no texto publicado no JOTA e no Observatório da Privacidade, o resultado dramático desse processo impulsionado pelo 11 de Setembro foi o aumento de poderes ao Executivo, o segredo radical imposto às práticas e os programas da National Surveillance Agency e a incapacidade de demonstração de necessidade e razoabilidade dessas medidas. Robert Mueller, diretor do FBI, mobilizou constantemente o discurso de que, por mais que 99% dos dados coletados fossem de cidadãos estadunidenses e estrangeiros sem qualquer ligação com o terrorismo, o importante era fazer de tudo para “conseguir chegar ao 1%”. Assim, para entender Snowden e os dilemas éticos do aparato de vigilância e contraterrorismo inaugurado nos EUA, é preciso retomar, em análise crítica, à arquitetura jurídica e institucional – incluindo o Patriot Act de 2001 – inaugurada após o 11 de Setembro e seus frágeis discursos legitimadores.
Proteção de Dados no Legislativo
Proposto Projeto de Lei para assegurar a transparência de informações sobre agentes públicos
O Projeto de Lei 3101/2021, proposto pela Deputada Adriana Ventura(NOVO/SP), tem como objetivo alterar a Lei Geral de Proteção de Dados para assegurar a transparência de informações sobre agentes públicos no exercício de suas funções. O PL altera o artigo 2º para inserir um parágrafo único dispondo que “nenhuma disposição desta Lei poderá ser utilizada para fundamentar negativas de acesso a informações sobre agentes públicos no exercício de suas funções e sobre agentes privados que recebam ou gerenciem recursos públicos”. Além disso, também insere o parágrafo 6º, no artigo 23, para determinar que as operações de tratamento necessárias ao cumprimento das obrigações previstas na Lei nº 12.527/11, também constituem finalidade do tratamento de dados pessoais pelo Poder Público. Atualmente, o PL está na Mesa Diretora da Câmara dos Deputados.
