Seja bem-vinde a mais uma edição do Boletim! Nesta 48ª edição, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) realizou uma reunião de boas-vindas do Conselho Nacional de […]
Seja bem-vinde a mais uma edição do Boletim!
Nesta 48ª edição, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) realizou uma reunião de boas-vindas do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), do qual Bruno Bioni, diretor da Associação Data Privacy de Pesquisa, é integrante. Na ocasião, os Conselheiros se apresentaram e os Diretores da ANPD falaram sobre os principais resultados da Autoridade em quase um ano de funcionamento do órgão.
Conforme foi anunciado em edições anteriores, foi realizada a primeira reunião das Autoridades de Proteção de Dados do G7, coordenada pelo ICO. O objetivo do encontro foi discutir e identificar soluções para responder às questões mais relevantes relacionadas à proteção de dados pessoais no cenário global atual, em particular com relação aos novos problemas e desafios delineados pelas tecnologias emergentes e pela situação pandêmica mundial. A reunião contou com a presença das instituições que coordenam as estratégias de proteção de dados no Canadá, França, Alemanha, Japão, Grã-Bretanha, Itália e Estados Unidos da América e, como convidados, representantes da Organização para Cooperação e Desenvolvimento Econômico (OCDE) e Fórum Econômico Mundial (WEF).
Por fim, na academia, destacamos o texto “A Bahia está virando um laboratório de reconhecimento facial”, produzido pelo The Intercept em conjunto com a Associação Data Privacy Brasil de Pesquisa. A reportagem analisa a infraestrutura de vigilância inaugurada pelo Governo de Rui Costa (PT/BA), a qual fará com que, além de Salvador, outras 77 cidades ganhem 4.095 câmeras conectadas no estado. Assim, diante de tal conjuntura, com o uso de câmeras de reconhecimento facial para fins de segurança pública, são analisados quais os principais impactos para grande parte dos titulares dos dados.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
ANPD realizou reunião de boas-vindas do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD)
A Autoridade Nacional de Proteção de Dados (ANPD) realizou uma reunião de boas-vindas do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD). Na ocasião, os Conselheiros se apresentaram e os Diretores da ANPD falaram sobre os principais resultados da Autoridade em quase um ano de funcionamento do órgão. A reunião iniciou com a apresentação dos Conselheiros e Conselheiras, que falaram brevemente sobre sua trajetória na área. As apresentações foram muito ricas e um elemento comum esteve presente em todas as falas: a vontade de contribuir para a formação de uma cultura de proteção de dados pessoais e privacidade no Brasil. Em seguida, o Diretor-Presidente, Waldemar Gonçalves Ortunho Junior, manifestou-se discorrendo a respeito do histórico e dos avanços institucionais do Órgão, bem como sobre o papel e a estruturação da ANPD. Por sua vez, o Corregedor da Autoridade, Artur Coimbra, palestrou sobre o tema “Conflito de Interesse” e complementou sua fala indicando pontos relevantes sobre o funcionamento do Conselho. A reunião foi encerrada com a manifestação de todos os Diretores e Diretoras da ANPD, oportunidade na qual os Conselheiros puderam sanar dúvidas e trazer contribuições aos passos futuros do CNPD. Caso queira conhecer todos os Conselheiros e funções, acesse aqui.
European Data Protection Board
Durante a sua última plenária, o European Data Protection Board (EDPB) decidiu criar um grupo de trabalho para coordenar a resposta às reclamações relativas a banners de cookies apresentadas a várias Autoridades de Proteção de Dados. O grupo de trabalho foi estabelecido de acordo com o art. 70 (1) (u) do GDPR e visa promover a cooperação, o compartilhamento de informações e as melhores práticas entre as Autoridades Europeias. Em particular, a força-tarefa possui como objetivo: (i) trocar opiniões sobre análises jurídicas e possíveis infrações; (ii) dar suporte às atividades em nível nacional; (iii) agilizar a comunicação entre os entes.
A Slovenian SA ordenou que uma agência de produção de conteúdo excluísse uma coleção de 88 fotos, com base no Artigo 17 do GDPR
Uma agência de produção de conteúdo de mídia possuía um acervo de 88 fotos de um titular de dados em específico, tiradas durante os últimos 7-15 anos, durante diferentes eventos sociais. Tais fotos foram publicadas em um site e também colocadas à venda online. Diante disso, o referido titular requereu o seu direito de apagamento (direito ao esquecimento) definido no artigo 17 do GDPR, destacando que não forneceu consentimento para o tratamento dos seus dados pessoais, que não existem interesses legítimos para o tratamento, além de requerer seu direito de oposição. Por sua vez, a empresa se negou a encerrar o tratamento e atender os requerimentos, sob a justificativa do exercício da liberdade de expressão, para “as atividades de mídia”. Após tomar conhecimento, a Slovenian SA, Autoridade da Eslovênia, decidiu que o controlador deveria excluir todas as fotos do site, juntamente com o nome do indivíduo, endereço URL e metadados que permitiram o acesso às fotografias. Isso porque, para a autoridade, o direito à proteção de dados pessoais deve ser equilibrado com a liberdade de expressão, e para justificar uma interferência nesse direito, o controlador deve ter demonstrado forte interesse público ou redução justificada da expectativa de privacidade. Sendo assim, considerando que o conteúdo do site não contribuiu para o debate de relevância social, nem se referiu a um tema de interesse público, a empresa não demonstrou a existência de interesses legítimos para o tratamento dos dados.
França
CNIL multou a Société nouvelle de l’annuaire français (SNAF) por descumprimento dos direitos dos titulares
A CNIL multou a Société nouvelle de l’annuaire français (SNAF) no valor de 3.000 euros por violações aos direitos de diversos titulares de dados. A Autoridade Francesa recebeu dezesseis reclamações, entre 2018 e 2019, que indicaram diversas dificuldades encontradas pelos titulares ao solicitar o apagamento e retificação de seus dados pessoais. O presidente da CNIL notificou, então, o SNAF para realizar as adequações necessárias com o GDPR no prazo de dois meses, o que a empresa não cumpriu. Diante disso, a comissão restrita – órgão da CNIL responsável pelas sanções – aplicou ao SNAF uma multa de 3.000 euros, devido ao descumprimento dos direitos de retificação e apagamento e não colaboração com a CNIL. A Autoridade destacou que a sanção levou em consideração o tamanho e a situação financeira da empresa, destacando, ainda, que a sua publicização justifica-se pela dimensão educativa das sanções.
Itália
Autoridade Italiana solicita informações sobre o novo óculos inteligente do Facebook
Foram realizadas duas reuniões entre a Autoridade Italiana e os representantes do Facebook e da Luxottica, com o objetivo de iniciar uma discussão sobre as questões colocadas pela Autoridade envolvendo as possíveis implicações de privacidade com o uso de óculos inteligentes Ray-Ban Stories, recentemente introduzidos no mercado pelas empresas. Os óculos são equipados com a funcionalidade “Facebook View” que permite a gravação de áudio e vídeo. Nos últimos dias, a Autoridade lançou um procedimento formal em conjunto com a Autoridade Irlandesa competente (DPC-Comissão de Proteção de Dados), para solicitar uma série de informações úteis e avaliar a compatibilidade dos óculos inteligentes com as normas de privacidade e proteção de dados. Durante os encontros, as duas empresas manifestaram-se disponíveis para trabalhar para o lançamento de ações informativas e de sensibilização, com o objetivo de empoderar tanto quem compra os óculos como todos os cidadãos. Por sua vez, a Autoridade se reservou ao direito de avaliar a eficácia das propostas operacionais que serão apresentadas pelas empresas.
Concluído o primeiro encontro mundial do G7 das Autoridades de Proteção de Dados e Privacidade
Foi realizada a primeira reunião das Autoridades de Proteção de Dados do G7, coordenada pelo Information Commissioner’s Office (ICO). O objetivo do encontro foi discutir e identificar soluções compartilhadas para responder às questões mais relevantes relacionadas à proteção de dados pessoais no cenário global atual, em particular com relação aos novos problemas e desafios delineados pelas tecnologias emergentes e pela situação pandêmica mundial. A reunião contou com a presença das instituições que coordenam as estratégias de proteção de dados no Canadá, França, Alemanha, Japão, Grã-Bretanha, Itália e Estados Unidos da América e, como convidados, representantes da Organização para Cooperação e Desenvolvimento Econômico (OCDE) e Fórum Econômico Mundial (WEF). A Autoridade Italiana foi representada oficialmente por sua Vice-Presidente, Prof. Ginevra Cerrina Feroni. Em sua fala, foram apresentados e desenvolvidos dois temas importantes, reconhecidos no comunicado final: (i) a reafirmação da centralidade do papel das autoridades de proteção de dados na definição dos princípios e critérios fundamentais para o mundo digital, salvaguardando os direitos fundamentais ligados à proteção de dados, papel que se tornou ainda mais crucial na atual emergência pandêmica; (ii) a necessidade de melhorar e promover as competências das autoridades responsáveis pela proteção de dados no domínio complexo e em constante evolução da inteligência artificial e os desenvolvimentos e aplicações futuras das tecnologias a ela associadas.
Irlanda
A Comissão de Proteção de Dados Irlandesa (DPC) deu início a duas investigações, por iniciativa própria, com base na seção 110 do GDPR para averiguar a conformidade do TikTok Technology Limited (TikTok) com os requisitos do referido regulamento. A primeira investigação examinará a conformidade do TikTok com as diretrizes de proteção de dados do GDPR e os requisitos padrões no que se refere ao contexto das configurações da plataforma para usuários menores de 18 anos e medidas de verificação de idade para menores de 13 anos. A segunda investigação incidirá sobre as transferências de dados pessoais pelo Tiktok para a China e a conformidade do aplicativo com os requisitos do GDPR para transferências de dados pessoais para países terceiros.
México
Todos os usuários da Internet que têm seus dados pessoais circulando online, especialmente crianças e adolescentes, são os mais vulneráveis a sofrerem ciberataques, já que em suas redes costumam ser publicadas informações sobre seu humor, localização, fotos íntimas da família, entre outros, o que os torna um alvo fácil para cibercriminosos, advertiu o comissário do Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoal (INAI), Norma Julieta del Río Venegas. Durante a sua participação na apresentação do guia de orientação “Proteção de Dados como ferramenta de prevenção à violência digital”, em Tijuana, Baja Califórnia, o membro do Plenário do INAI afirmou que o uso sem precauções de tecnologia pode colocar os dados pessoais de quem navega na redes em perigo. Assim, asseverou a importância das ponderações trazidas pelo estudo da proteção de dados pessoais e propôs uma reflexão: “Não vamos deixar de usar tecnologia, mas temos esse desafio: usá-la, mas também conscientizar (sobre) o uso indevido de redes”.
Reino Unido
Blog: Compartilhando dados pessoais em caso de emergência – um guia para universidades e faculdades
Começar a universidade ou continuar os estudos pode ser um momento emocionante, mas para alguns também pode ser uma transição difícil e ansiosa. Sabemos que as universidades e faculdades trabalham muito para fornecer suporte aos alunos que estão passando por dificuldades. Isso significa que as universidades muitas vezes precisam lidar com informações pessoais confidenciais sobre eles. E estamos cientes de que, às vezes, as universidades hesitam em compartilhar os dados pessoais dos alunos em uma situação de urgência ou emergência, citando a proteção de dados como o problema. Para o ICO, este não deveria ser o caso. Simplificando, o staff das universidades devem fazer o que for necessário e proporcional para proteger a vida de alguém. A lei de proteção de dados permite que as organizações compartilhem dados pessoais em uma situação de urgência ou emergência, inclusive para ajudá-las a prevenir a perda de vidas ou sérios danos físicos, emocionais ou mentais. Para ajudar as universidades e faculdades a se sentirem confiantes de que podem compartilhar as informações das pessoas de maneira legal, o ICO fez diversas sugestões de atuação: (i) Planejar com antecedência; (ii) Tenha um acordo de compartilhamento de dados em vigor; (iii) Treinamento dos empregados; (iv) Acesse nossos recursos de compartilhamento de dados.
Proteção de Dados nas Universidades
The Rise of Digital Constitutionalism in the European Union
GREGORIO, Giovanni de.
Nos últimos vinte anos, a política da União Europeia (UE) no campo das tecnologias digitais mudou de uma perspectiva econômica liberal para uma abordagem de base constitucional. O desenvolvimento das tecnologias digitais desafia a proteção dos direitos fundamentais dos indivíduos, como a liberdade de expressão e a proteção de dados. Ainda mais importante, esta nova estrutura tecnológica também capacitou corporações transnacionais que operam no ambiente digital como provedores de hospedagem para desempenhar funções quase públicas no contexto transnacional. Esses dois motores levaram a UE a entrar numa nova fase do constitucionalismo moderno (ou seja, o constitucionalismo digital). O presente trabalho analisa o caminho (e as razões) que levaram a política da UE a passar de uma abordagem liberal para uma abordagem constitucional em relação ao ambiente digital nos últimos trinta anos. O objetivo principal é descrever as características do constitucionalismo digital como um novo momento constitucional e delinear a potencial evolução da política da UE no contexto global. Essa evolução é descrita por três fases constitucionais: liberalismo digital, ativismo judicial e constitucionalismo digital. Em seguida, analisa-se uma quarta fase do constitucionalismo da UE que está se aproximando, com base na extensão dos valores constitucionais para além das fronteiras da UE e na expressão de um modelo tecnológico centrado no ser humano em um contexto global.
Privacy and Data Protection Magazine
Universidade Europeia
Após o número inaugural, a Privacy and Data Protection Magazine, Revista Científica da Universidade Europeia, prossegue o seu compromisso de publicação regular, com uma edição em que são abordados temas de proteção de dados a partir de um estudo sociológico sobre o consumo na sociedade atual. A par de temas clássicos, o atual número investe no tema da inteligência artificial, quer através da publicação da proposta de regulamento apresentada pela Comissão Europeia, quer através da revisão e expansão de obras que versam sobre o tema.
A Bahia está virando um laboratório de reconhecimento facial
FALCÃO, Cintia e Associação Data Privacy de Pesquisa
O texto, produzido pelo The Intercept em conjunto com a Associação Data Privacy Brasil de Pesquisa, analisa a infraestrutura de vigilância inaugurada pelo Governo de Rui Costa (PT/BA) na Bahia, que realizou uma parceria de R$ 665 milhões com o conglomerado Oi e Avantia, especializada em tecnologias de segurança, fazendo com que além de Salvador, outras 77 cidades ganhem 4.095 câmeras conectadas no estado. Assim, diante de tal conjuntura, com o uso de várias câmeras de reconhecimento facial para fins de segurança pública, o texto analisa quais são os principais impactos para grande parte dos titulares dos dados.
Proteção de Dados no Legislativo
Proposto projeto de lei para tratar sobre o tratamento de dados processuais eletrônicos
O Projeto de Lei 3244/2021, proposto pela Deputada Carla Zambelli (PSL/SP), tem como objetivo alterar a Lei nº 11.419, de 19 de dezembro de 2006, para dispor sobre o tratamento de dados processuais eletrônicos na rede mundial de computadores. O PL, dentre outros pontos, altera o artigo 13-A para dispor que os sistemas eletrônicos processuais disponibilizarão a consulta aos dados básicos de processos judiciais, assegurado o direito de acesso a informações processuais a toda e qualquer pessoa, “independentemente de prévio cadastramento ou de demonstração de interesse, ressalvada a tramitação em sigilo ou segredo de justiça”. Atualmente, o PL está na Mesa Diretora da Câmara dos Deputados.
Aprovado projeto de lei que torna obrigatório o uso de biometria em eventos esportivos
A Comissão do Esporte da Câmara dos Deputados aprovou o Projeto de Lei 10089/18, do deputado licenciado Danrlei de Deus Hinterholz (PSD-RS), que torna obrigatória a instalação de biometria em eventos esportivos para identificar torcedores proibidos pela Justiça de frequentar estádios. O texto altera o Estatuto de Defesa do Torcedor para incluir a instalação dos aparelhos entre as obrigações da entidade responsável pela competição. Atualmente, essa lei prevê cinco deveres, como disponibilizar ambulância a cada dez mil torcedores e contratar seguro de acidentes pessoais. O projeto tramita em caráter conclusivo e ainda será analisado pela Comissão de Constituição e Justiça e de Cidadania. O texto já foi aprovado pela Comissão de Segurança Pública e Combate ao Crime Organizado.
