Seja bem-vinde a mais uma edição do Boletim! Nesta 53ª edição do Boletim, destacamos um novo caso de utilização de tecnologias para o combate ao Covid-19, tópico amplamente abordado em […]
Seja bem-vinde a mais uma edição do Boletim!
Nesta 53ª edição do Boletim, destacamos um novo caso de utilização de tecnologias para o combate ao Covid-19, tópico amplamente abordado em edições anteriores. Após receber notificações de que a polícia de Ravenna, na Itália, estava tratando dados pessoais relativos à geolocalização de indivíduos positivos para Covid-19, com o objetivo de verificar o cumprimento da medida de isolamento, a Autoridade Italiana abriu uma investigação. Com isso, foi determinado que o município fornecesse: as finalidades objetivadas através do uso da geolocalização, os prazos e métodos de armazenamento dos dados recolhidos, além da comprovação do cumprimento dos princípios da proporcionalidade e minimização do tratamento.
Ainda no contexto internacional, a Autoridade Austríaca constatou que, após fazer uso da ferramenta Google Analytics em seu site, uma empresa do país transferiu dados pessoais para a Google LLC nos EUA, violando o artigo 44.º do Regulamento de Proteção de Dados, visto que não assegurou um nível de proteção para as informações transferidas. Com base nessa discussão do tema, a Autoridade Dinamarquesa anunciou que analisará atentamente a decisão e fornecerá mais orientações sobre o uso do Analytics às empresas e autoridades dinamarquesas.
Por fim, destacamos no legislativo brasileiro o Projeto de Lei 4429/2021, Deputado Fabiano Contarato (PT/ES). O PL visa alterar o Código de Defesa do Consumidor para dispor sobre a obrigação de apresentar a motivação acerca das razões que fundamentam a recusa de crédito e combater a discriminação racial nas relações de consumo. Entre outros pontos, o PL acrescenta o parágrafo 7º ao artigo 43 do CDC para acrescentar o pedido de informações mais detalhado e em menos tempo, após recusa de crédito.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Dinamarca
A Autoridade Austríaca de Proteção de Dados decidiu um caso em que uma empresa austríaca fez uso da ferramenta Google Analytics em seu site. Na sequência da decisão do Tribunal de Justiça Europeu no chamado caso Schrems II, a organização None of Your Business (“NOYB”) apresentou 101 queixas a várias autoridades europeias de proteção de dados sobre organizações que fazem uso da ferramenta Google Analytics em seus sites, o que na visão da NOYB envolve a transferência de informações pessoais sobre os visitantes do site para a Google LLC nos Estados Unidos, violando as normas de proteção de dados. A Autoridade Austríaca constatou no caso que os dados pessoais das reclamações foram transferidos para a Google LLC nos EUA e que a transferência ocorreu com base nas disposições contratuais padrão da Comissão da UE (2010/87/UE). Nesse sentido, a Autoridade avaliou, à luz da jurisprudência do Tribunal de Justiça Europeu no caso Schrems II, que a transferência violava o artigo 44.º do Regulamento de Proteção de Dados, uma vez que não teria sido assegurado um nível de proteção para as informações transferidas. Nesse contexto, ela considerou que a empresa austríaca não podia utilizar a ferramenta Google Analytics nas circunstâncias descritas. Por sua vez, na Dinamarca, a Autoridade Dinamarquesa de Proteção de Dados enunciou que analisará atentamente a decisão e com base em outras decisões futuras de outros países, fornecerá mais orientações sobre isso às empresas e autoridades dinamarquesas. Para tanto, a Autoridade irá preparar um texto resumido e indicativo com base tanto na decisão austríaca quanto nas outras decisões esperadas sobre o uso de ferramentas como o Google Analytics.
Espanha
Autoridade Espanhola forneceu dicas para reforçar a privacidade no WhatsApp
O aplicativo de mensagens instantâneas WhatsApp é um dos mais usados hoje na Espanha e no mundo. Para utilizá-lo, os usuários devem inserir o número de celular, que está associado ao perfil, e ao fazer download do aplicativo, por padrão ele permite que qualquer pessoa com esse número de telefone entre em contato e acesse determinadas informações pessoais. Isso também implica na possibilidade do recebimento de mensagens de pessoas desconhecidas e inclusão em grupos sem consentimento. Nesse sentido, esse acesso pode facilitar, iniciar ou agravar situações de assédio, cyberbullying, violência de gênero, aliciamento, phishing, ataques de malware ou outras práticas que possam ocorrer no ambiente digital. Por isso, é altamente recomendável configurar as opções de privacidade oferecidas pelo serviço, revisando as incluídas por padrão. Nesse sentido, a autoridade forneceu, entre outros pontos, as seguintes recomendações: “(i) Foto e outras informações do seu perfil: Por padrão, o WhatsApp permite que qualquer usuário veja sua foto e informações do perfil, bem como a última vez que você se conectou. Recomendamos que você restrinja o acesso a essas informações pessoais a pelo menos seus contatos; (ii) Grupos: Por padrão, o aplicativo também permite que qualquer usuário inclua você em um grupo do WhatsApp apenas por ter seu número de telefone. Você pode evitar que isso aconteça selecionando nas opções de privacidade que apenas seus contatos ou alguns contatos específicos possam fazer isso; (iii) Bloquear e denunciar outros usuários: Se outro usuário estiver incomodando você , você pode bloqueá -lo para parar de receber suas mensagens, chamadas e atualizações de status. Este usuário não poderá ver a última vez que você esteve conectado, se você está online ou seus status, mesmo que seja um de seus contatos.”
European Data Protection Board
EDPB adotou novas “Diretrizes sobre Direito de Acesso” e uma carta sobre consentimento de cookies
Durante a sessão plenária de janeiro, o EDPB adotou Diretrizes sobre o Direito de Acesso . As Diretrizes visam analisar os vários aspectos do direito de acesso e fornecer orientações mais precisas sobre como o mesmo deve ser implementado em diferentes situações, tais como, o alcance, as informações que o responsável pelo tratamento deve fornecer ao titular dos dados, o formato do pedido de acesso, as principais modalidades de acesso, entre outros pontos. Em novembro de 2019, foi realizado um evento com stakeholders sobre este tema e as opiniões e opiniões dos stakeholders foram levadas em consideração durante o processo de elaboração, e agora as Diretrizes estarão sujeitas a consulta pública por um período de 6 semanas. Além disso, o EDPB também adotou uma carta abordando e respondendo questionamentos sobre a interpretação acerca do consentimento de cookies. Na carta, a EDPB reiterou que está empenhada em garantir a aplicação harmonizada das regras de proteção de dados em todo o Espaço Económico Europeu. Para isso, a EDPB apontou que recentemente criou um grupo de trabalho sobre banners de cookies para coordenar a resposta a reclamações relativas a esse assunto, além de ter atualizado as diretrizes sobre consentimento para garantir uma abordagem harmonizada sobre o tema.
Holanda
Com base no novo projeto de lei criado no país, os holandeses poderão ser responsabilizados criminalmente por publicar informações pessoais de alguém para assustá-las, prática conhecida como doxxing. No entanto, segundo a Autoridade Holandesa, para combater essa prática, também é necessário que o próprio governo pare de tornar os endereços residenciais facilmente acessíveis através do Registro de Imóveis e do Registro de Comércio, sem uma boa justificativa. Doxxing é a coleta ou divulgação de informações pessoais como, por exemplo, do endereço ou número de telefone de alguém, com o objetivo de assustar, causar sérios incômodos ou atrapalhar a pessoa em sua função. Essa dinâmica inclui também informações que já estão publicamente disponíveis em outros lugares, por exemplo, nas redes sociais, em sites que publicam informações sobre violações de dados ou em registos governamentais, como o Registo Predial e o Registo Comercial. Dessa forma, o ministro da Justiça e Segurança da Holanda, Grapperhaus, destacou que governo deveria alterar a legislação para evitar que dados de seus próprios registros sejam usados para casos de doxxing. De igual maneira, a Autoridade Holandesa destacou que legislação holandesa e os regulamentos atuais possibilitam que muitos dados acessíveis no Registro Comercial e no Registro Predial possam ser usados para doxxing, dessa forma, é preocupante que tais informações possam ser solicitadas sem que o requerente tenha de demonstrar que tem um interesse específico em obter esses dados.
Itália
A Autoridade Italiana impôs uma multa de mais de 26 milhões e 500 mil euros à Enel Energia pelo tratamento ilícito de dados pessoais de usuários para fins de telemarketing. Para além do pagamento da multa, a empresa terá de adotar uma série de medidas ditadas pela Autoridade para cumprir a legislação nacional e europeia em matéria de proteção de dados. A decisão foi proferida ao final de uma complexa atividade iniciada pela Autoridade após centenas de denúncias de usuários que reclamaram do recebimento de ligações de marketing indesejadas da empresa, da dificuldade em exercer os seus direitos em matéria de proteção de dados pessoais e, de forma mais geral, dos problemas decorrentes da gestão de dados, incluindo os tratamentos efetuados através da área reservada do website da empresa (o chamado Perfil Único). Durante a investigação, foi identificado um fenômeno crônico, intenso e cada vez mais invasivo de chamadas telefônicas de marketing indesejadas, sem o consentimento necessário, além da demora ou não resposta dos pedidos para exercer os direitos de acesso aos dados pessoais ou oposição ao tratamento para fins de marketing. Diante das infrações encontradas, o Garantidor de Privacidade aplicou uma multa de € 26.513.977,00.
A Autoridade Italiana deu parecer favorável ao novo regime de regulação do registo público de utilizadores que se oponham à utilização dos seus dados pessoais e do seu número de telefone para vendas ou promoções comerciais. O texto modifica e atualiza o funcionamento do chamado Registro Público de Oposições (Rpo), no qual os consumidores que não desejam mais receber ligações promocionais devem se cadastrar, aceitando as observações expressas pela Autoridade Italiana em pareceres anteriormente publicados. Graças às inovações introduzidas, os consumidores poderão em breve opor-se à receção não só de chamadas indesejadas via telefone, mas também daquelas efetuadas com recurso a sistemas automatizados, meios de contato que até agora escapavam às limitações estabelecidas pela regulamentação anterior. O registo no Rpo implicará, entre outras coisas, a revogação dos consentimentos anteriores expressos pelos consumidores, de forma a evitar a continuação de quaisquer abusos.
Em relação a notícias recentes da imprensa segundo as quais a polícia local da região de Ravenna estava tratando dados pessoais relativos à geolocalização de indivíduos positivos para Covid-19, com o objetivo de verificar o cumprimento da medida de isolamento, a Autoridade Italiana abriu uma investigação e enviou um pedido de informações para a municipalidade. O Município terá de fornecer à Autoridade todos os elementos úteis à avaliação do tratamento de dados pessoais efetuado, especialmente com referência aos métodos de tratamento, descrevendo as ferramentas do sistema criado, incluindo aplicações específicas para dispositivos móveis utilizados; as finalidades prosseguidas através da geolocalização e os prazos e métodos de armazenamento dos dados recolhidos, bem como o cumprimento dos princípios da proporcionalidade e minimização do tratamento. A autarquia local deve ainda indicar as medidas técnicas e organizativas adotadas para garantir um nível adequado de segurança dos dados tratados e de quaisquer terceiros destinatários dos dados adquiridos através das funções de geolocalização.
Peru
Autoridade Peruana publicou dados quantitativos sobre sua atuação em 2021
Em 2021, a Autoridade Peruana de Dados Pessoais (ANPD) do Ministério da Justiça e Direitos Humanos (MINJUSDH) realizou importantes ações que objetivaram garantir e promover uma cultura de proteção de dados pessoais no Peru, especialmente em ambientes digitais. Com base nessa atuação, a Autoridade divulgou que supervisionou 335 entidades, públicas e privadas, foram instaurados 132 processos sancionatórios, sendo que 124 foram finalizados em primeira instância e 44 recursos, dos 61 recebidos, foram “resolvidos” relativos às sanções impostas. 61 recursos foram recebidos). Além disso, a ANPD também é responsável pelo Cadastro Nacional de Proteção de Dados Pessoais: através dele, qualquer cidadão pode saber que tipos de dados pessoais uma determinada entidade recolhe e o que faz com eles, uma vez que existe a obrigação de registar essa informação. A novidade que 2021 trouxe foi a virtualização desse cadastro por meio de uma plataforma digital, a fim de facilitar o cadastro de bancos de dados e evitar o gerenciamento físico desse procedimento. No ano que terminou, foram realizados 3.285 procedimentos (cadastro, modificação, cancelamento de bancos de dados pessoais e registro de sanções impostas) perante este Cadastro Nacional. Por fim, com o objetivo de orientar sobre o uso adequado de dados pessoais, principalmente sobre dados de saúde, perigos tecnológicos, uso de dados durante o trabalho remoto, entre outros, a ANPD realizou 11 campanhas digitais nas redes sociais, entre outras iniciativas. Diante disso, a Autoridade Peruana destacou que, no ano de 2022, a ênfase na promoção de uma cultura de proteção de dados pessoais voltará às crianças e adolescentes, voltando às aulas presenciais.
Proteção de Dados nas Universidades
The Future of International Data Transfers: Managing New Legal Risk with a ‘User-Held’ Data Model
JURCYS, Paulius; COMPAGNUCCI, Marcelo; FENWICK, Mark.
O General Data Protection Regulation (GDPR) contém uma proibição geral sobre a transferência de dados pessoais para fora do Espaço Econômico Europeu (EEE), a menos que requisitos rigorosos sejam atendidos. A justificativa para esta disposição é proteger os dados pessoais e os direitos dos titulares de dados, restringindo as transferências de dados para países que podem não ter o mesmo nível de proteção que o EEE. No entanto, o caráter onipresente e permeável de novas tecnologias, como a crescente interconectividade entre as sociedades, tornaram as transferências internacionais de dados a norma e não a exceção. O caso Schrems II e os desenvolvimentos regulatórios subsequentes elevaram ainda mais o padrão para as empresas cumprirem regras complexas e, muitas vezes, opacas. Muitas empresas estão, portanto, buscando soluções baseadas em tecnologia para mitigar esse novo risco legal. Essas alternativas tecnológicas emergentes reduzem a necessidade de transferências transfronteiriças ilimitadas e os desafios práticos e o risco legal que tais transferências criam pós-Schrems. Este artigo examina uma dessas alternativas, ou seja, um modelo de dados “mantido pelo usuário”.
Crianças e Tecnologia: um perfil de uso das mídias e ambiente virtual
MARTINS, Raul; SOUZA, Ayvin.
Na contemporaneidade, as tecnologias da comunicação e informação (TIC) tem tomada muito espaço e interferido em valores, comportamentos e interação entre os indivíduos. A utilização do ambiente virtual e do consumo de mídias é algo que vem ocorrendo desde muito cedo entre as gerações atuais, podendo estar relacionado com o fato de já nascerem inseridas em um mundo tecnológico e digital. Esta situação desperta questionamentos em relação à exposição em excesso no ambiente virtual, e a perda da privacidade e segurança digital, o que tem levado à criação de legislações que objetivam a proteção de dados e identidade que circulam na rede de computadores. Nesta perspectiva, o trabalho realizado teve o objetivo de investigar o que as crianças estão acessando na rede de computadores, acesso a materiais de conteúdo adulto, e como ocorre (e se ocorre) a mediação da família. Entender o perfil de acesso às TIC das crianças entrevistadas e de seus cuidadores é necessário para que se possa saber como mediar a relação dos indivíduos mais novos com um mundo digital e virtual que permeia nossas relações, trabalho e lazer. O trabalho foi realizado com 66 crianças do sexto ano do ensino fundamental e com seus cuidadores, em que foram aplicados questionários sobre a utilização de mídias e critérios socioeconômicos. A análise dos dados possibilitou observar que os aparelhos de telefonia móvel são os principais meios utilizados pelas crianças para acessar a internet, e esse acesso se dá prioritariamente em ambiente doméstico. Foi notado também que as estudantes do sexo feminino passam mais tempo em redes sociais em relação aos meninos, que em contrapartida dispensam maior tempo com jogos. Sobre a mediação, é necessário que os cuidadores conversem e proponham uma discussão crítica com as crianças, sobre segurança de dados, exposição e conteúdos acessados para fomentar o desenvolvimento da capacidade crítica e capacidade de lidar com o que é exposto na rede.
Critérios de imputação da responsabilidade civil na lei geral de proteção de dados pessoais
SANTOS, Marcelo.
O presente artigo, publicado na revista científica Conversas Civilísticas, aborda a responsabilidade civil dos agentes de tratamento de dados na Lei Geral de Proteção de Dados Pessoais (LGPD). Destaca a evolução do tema no tempo, passando pelas diversas fases da obrigação de reparar o dano, bem como pela relação dessa evolução com o desenvolvimento tecnológico. A partir dos elementos circunstanciais que costumam concentrar a aplicação das normas de responsabilidade civil, como as que regulam a antijuridicidade da conduta, o nexo causal, a culpa e o ônus da prova, analisa-se o recente tratamento legislativo dado ao tema. O esforço se ampara em uma perspectiva sistemática da relação entre a LGPD, o Código de Defesa do Consumidor e o Código Civil, buscando dar o correto relevo à autonomia de cada regime jurídico.
Proteção de Dados no Legislativo
O Projeto de Lei 4429/2021, proposto pela Deputado Fabiano Contarato (PT/ES), tem como objetivo alterar o Código de Defesa do Consumidor para dispor sobre a obrigação de motivação acerca das razões que fundamentam a recusa de crédito e combater a discriminação racial nas relações de consumo. Entre outros pontos, o PL acrescenta o parágrafo 7º ao artigo 43 do CDC para acrescer o pedido de informações, nos seguintes termos: “Sempre que solicitado pelo consumidor, os motivos da recusa de crédito por instituição financeira ou instituição a ela equiparável serão fornecidos por escrito, em até dois dias úteis, por meio que garanta a aferição de sua autenticidade”. Atualmente, o PL está no Plenário do Senado Federal.
