Seja bem-vinde a mais uma edição do Boletim! Nesta 57ª edição do Boletim, inicialmente, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) anunciou que realizará nova tomada de […]
Seja bem-vinde a mais uma edição do Boletim!
Nesta 57ª edição do Boletim, inicialmente, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) anunciou que realizará nova tomada de subsídios para debater sobre a atuação do encarregado pelo tratamento de dados pessoais. Os interessados em participar das reuniões técnicas poderão se inscrever no período de 18 a 28 de março de 2022, por meio de formulário de inscrição disponível aqui.
Além disso, recentemente, o aplicativo de mensagens Telegram foi bloqueado no território brasileiro, por decisão do STF, sob a alegação de que a falta de algumas medidas no aplicativo estavam tornando-o um ambiente propício para disseminação de fake news e até mesmo para práticas criminais. No entanto, após recurso interposto pela Advocacia Geral da União e o cumprimento por parte do aplicativo das determinações que foram impostas pelo STF , foi determinado o seu desbloquei.
Por fim, no legislativo brasileiro, destacamos que foi proposto o Projeto de Lei nº 613/2022 pelo Senador Carlos Viana (MDB/MG), que, entre outros pontos, estabelece como obrigatório que veículo de comunicação social e o provedor de notícia em rede social identifique o usuário que publicar mensagem própria ou divulgar mensagem de outrem em sua página na internet ou na plataforma.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
ANPD abriu as inscrições para tomada de subsídios sobre a norma do encarregado
A Autoridade Nacional de Proteção de Dados (ANPD) anunciou que realizará tomada de subsídios, por meio de reuniões técnicas, restritas a convidados, para debater sobre a atuação do encarregado pelo tratamento de dados pessoais. Os interessados em participar das reuniões técnicas poderão se inscrever no período de 18 a 28 de março de 2022, por meio de formulário de inscrição disponível aqui. Serão selecionados vinte especialistas para responderem questões previamente estabelecidas pela Autoridade. O objetivo das reuniões é realizar uma tomada de subsídios restrita aos convidados selecionados. A intenção é que especialistas externos possam contribuir no processo de regulamentação da norma sobre o encarregado, nos termos da Lei Geral de Proteção de Dados Pessoais (LGPD). O tema desta tomada de subsídios está previsto na Agenda Regulatória 2021-2022 da ANPD. As reuniões acontecerão nos dias 05 a 07 de abril de 2022 e estarão disponíveis posteriormente no canal da Autoridade no Youtube. Não será necessário realizar inscrição para os que querem apenas assistir às reuniões. Espera-se que a participação de diferentes setores da sociedade, em conjunto com os estudos conduzidos pela equipe técnica da ANPD, contribua para a elaboração do relatório de Análise do Impacto Regulatório (AIR) e da minuta de regulamento a ser elaborado pela Autoridade.
Capacitar e desenvolver o colaborador é prioridade para a ANPD!
Para que um órgão público como a ANPD possa ter um corpo funcional qualificado e produtivo, uma das necessidades é a capacitação de seus servidores e colaboradores. Segundo a ANPD, investir em capacitação e qualidade de vida dos servidores, além de uma necessidade, é uma prioridade para a ANPD que, desde 2021, vêm angariando esforços para robustecer seu corpo funcional. Os cursos e os temas são escolhidos pelo próprio colaborador e pela sua chefia imediata. E eles devem justificar adequadamente os critérios específicos de cada curso, de modo a demonstrar a necessidade da qualificação e de sua relação com as atividades exercidas. A partir de 2022, teremos capacitação e desenvolvimento de servidores em diversas áreas, as quais estão listadas no site da Autoridade.
Seguindo o calendário de reuniões, os membros do CNPD se reuniram nesta última sexta-feira, dia 11 de março, sob a condução do presidente do Conselho, Sr. Jonathas de Castro, Secretário Executivo da Casa Civil da Presidência da República. A primeira reunião do ano e a 2ª Reunião Ordinária do conselho contou com a presença de 33 conselheiros, entre membros titulares e suplentes e ocorreu de forma on line. Foram discutidos os temas: votação do Regimento Interno do CNPD, aprovação do calendário anual de reuniões e criação de grupos de trabalho. O grupos de trabalho criados abordarão os seguintes temas: a)Subsídios à Política Nacional Proteção de Dados; b) Ações Educativas – cultura de proteção de dados; c) Acompanhamento da Agenda Regulatória; d) Transferência Internacional de dados; e e)Impactos da LGPD no setor público. Acesse aqui a pauta completa da 2ª reunião do CNPD.
A primeira portaria publicada pela Autoridade, no dia 08 de março de 2021, continha o Regimento Interno da Autoridade Nacional de Proteção de Dados (ANPD). O documento estabelece o conjunto de regras para o funcionamento da Autoridade e contempla, por exemplo, a finalidade da ANPD, a estrutura organizacional, a composição, as obrigações dos diretores e as competências do Conselho Diretor e das Unidades Administrativas. O Regimento é dividido em sete capítulos que além de tratar sobre os temas centrais de funcionamento da Autoridade, como estrutura, competências das áreas, procedimentos de normatização e consulta pública trata, também, sobre o processo de deliberação do Conselho Diretor.
Estados Unidos
FTC apontou as falhas de proteção de dados pessoais ocorridas no caso CafePress
Muitas pequenas empresas acessam a plataforma de varejo online “CafePress” quando desejam comprar ou vender itens personalizados. No entanto, de acordo com um pronunciamento realizado pela Federal Trade Comission (FTC), as práticas de segurança negligentes da empresa permitiram que os “ladrões de dados” levassem a ideia de “personalização” em uma direção perturbadoramente diferente. A denúncia alega que hackers exploraram as falhas de segurança da empresa para acessar informações pessoais sobre milhões de usuários do CafePress, incluindo endereços residenciais, endereços de e-mail, senhas, perguntas e respostas de segurança, mais de 180.000 números de CPF não criptografados, além de dados parciais de cartões de pagamento. Segundo a FTC, é particularmente preocupante que algumas dessas informações tenham sido encontradas posteriormente à venda em uma plataforma online, na Dark Web. Embora o CafePress tenha dito aos clientes que “a segurança 100% completa não existe atualmente em nenhum lugar online ou offline”, a empresa afirmou que “nossos servidores são seguros” e que “se comprometeu a usar os melhores e mais aceitos métodos e tecnologias para garantir sua segurança pessoal”. De acordo com a denúncia, os seguintes exemplos foram apenas algumas das práticas envolvendo dados questionáveis da empresa: a) O CafePress armazenou números de Seguro Social e perguntas e respostas de segurança em texto claro e legível e manteve informações pessoais indefinidamente em sua rede sem necessidade; b) O CafePress não implementou proteções prontamente disponíveis contra vulnerabilidades conhecidas, como ataques de injeção de SQL (Structured Query Language); c) CafePress falhou em tomar medidas razoáveis para proteger senhas e não exigiu que os usuários criassem senhas complexas que seriam mais difíceis de adivinhar; entre outros pontos.
European Data Protection Board
O European Data Protection Board (EDPB) e a EDPS adotaram um parecer conjunto sobre as propostas da Comissão Europeia para prorrogar por 12 meses o atual Regulamento sobre o Certificado Digital COVID da União Europeia (EUDCC) e alterar algumas disposições, como o alargamento dos tipos de testes COVID aceitos no contexto de viagens dentro da União Europeia (UE) e esclarecendo que os certificados de vacinação devem conter o número de doses aplicadas. Em consonância com o anterior parecer conjunto sobre o Regulamento inicial do Certificado COVID, as autoridades recordam que o cumprimento das regras de proteção de dados não constitui um obstáculo ao combate à pandemia COVID-19. Dada a imprevisibilidade do possível prolongamento da situação sanitária, o EDPB entende a necessidade de alargar a aplicabilidade do Regulamento EUDCC. No entanto, uma vez que a presente proposta visa prolongar a duração de uma medida de combate à pandemia de COVID-19, as provas científicas relevantes e as medidas adicionais em vigor devem ser avaliadas regularmente para garantir o respeito dos princípios gerais de eficácia, necessidade e proporcionalidade.
Holanda
A Autoridade Espanhola de Proteção de Dados (AEPD) multou a agência de recrutamento Michael Page no montante de € 240.000. A agência foi multada porque as pessoas que queriam ver seus dados tinham que, necessariamente, enviar uma cópia completa de sua identidade, entre outros dados excessivos. A AEPD iniciou a investigação após uma reclamação de um holandês e, portanto, a multa foi aplicada após diálogo com a Autoridade Holandesa de Proteção de Dados (AP). A denúncia foi apresentada à AP nos Países Baixos. Ressalte-se que o regulador espanhol conduziu a investigação, em estreita cooperação com a AP.
Itália
A Autoridade Italiana de proteção de dados pessoais abriu uma investigação para avaliar os riscos em potencial relacionados ao tratamento de dados pessoais de clientes italianos realizado pela empresa russa que fornece o software antivírus “Kaspersky”. A iniciativa empreendida ex officio pela Autoridade foi realizada após os eventos de guerra na Ucrânia, a fim de investigar os alarmes lançados por vários órgãos italianos e europeus especializados em segurança informática sobre o possível uso desse produto para ataques cibernéticos contra usuários italianos. A Autoridade solicitou à Kaspersky Lab que fornecesse o número de clientes italianos, bem como informações detalhadas sobre o tratamento de dados pessoais realizado no contexto dos vários produtos ou serviços de segurança, incluindo telemetria ou diagnóstico. A empresa também deverá esclarecer se, durante o processamento, os dados são transferidos para fora da União Europeia (por exemplo, na Rússia) ou disponibilizados para países terceiros. Por fim, a Kaspersky Lab deverá indicar o número de pedidos de aquisição ou comunicação de dados pessoais, referentes a titulares de dados italianos, dirigidos à empresa por autoridades governamentais de países terceiros.
México
O Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI) enfatiza que para garantir que os jogos de futebol ocorram com segurança, os mesmos devem cumprir as estabelecido na Lei Federal de Proteção de Dados Pessoais em Posse de Pessoas Físicas (LFPDPPP) do país. Sobre o projeto “FAN ID”, da Federação Mexicana de Soccer (FEMEXFUT), que considera a implantação de dispositivos de futebol com reconhecimento facial para quem assiste a partidas de futebol, o que inclui o tratamento de dados pessoais sensíveis, como biometria, o Instituto salienta que devem ser consideradas as implicações que isso poderia representar para os direitos dos titulares de dados, especialmente crianças e adolescentes. Assim, o INAI reconhece a importância de estabelecer medidas de segurança em partidas de futebol, especialmente com relação a eventos esportivos com grande concentração de pessoas.
Proteção de Dados nas Universidades
A responsabilidade civil na lei geral de proteção de dados pessoais e a regra de hand
SANTOS, Rômulo Marcel; LEITÃO, André Studart; WOLKART, Erik Navarro.
O texto se propõe a investigar o tema da responsabilidade civil por danos decorrentes do tratamento de dados pessoais, fazendo-o nos termos e nos limites em que regulado pela Lei Federal nº 13.709, de 14 de agosto de 2018, cognominada Lei Geral de Proteção de Dados Pessoais (LGPD). A indagação central a ser respondida, por não ter sido definida de forma clara pelo legislador infraconstitucional, diz respeito ao tipo de responsabilidade civil previsto na LGPD, se de índole objetiva ou subjetiva. Pretende-se analisar, em complemento, se a regra de Hand, formulada pelo magistrado estadunidense Learned Hand, pode ser útil à delimitação da responsabilidade por negligência dos agentes de tratamento de dados pessoais.
BIONI, Bruno; SILVA, Paula; MARTINS, Pedro.
O direito à informação e o direito à proteção de dados pessoais são ambos direitos fundamentais previstos na Constituição Federal de 1988 e regulamentados por leis infraconstitucionais, respectivamente, Lei de Acesso à Informação (LAI – lei 12.527/2011) e pela Lei Geral de Proteção de Dados (LGPD – lei 13.709/2018). Nos últimos anos, levantou-se um aparente conflito entre as leis, o que foi, inclusive, utilizado para negar inadequadamente pedidos de acesso à informação pública sistematicamente. Nesse cenário, o presente artigo busca desmistificar tal interpretação, partindo da hipótese de que a relação entre LAI e LGPD é de convergência, considerando que ambas são pautadas pela redução de assimetrias de informação da parte vulnerável, o cidadão. Para isso, o foco do artigo será a análise do direito de acesso em ambas as legislações, trazendo suas peculiaridades e relação com os princípios de proteção de dados pessoais. Conclui-se que a governança de dados é um elemento cada vez mais importante para materialização dos princípios da eficiência e transparência na administração pública, de forma a enfatizar a convergência entre LAI e LGPD.
Proteção de Dados no Legislativo
O Projeto de Lei 613/2022, proposto pelo Senador Carlos Viana (MDB/MG), tem como objetivo tornar obrigatória a identificação de usuários em veículos de comunicação social e provedores de notícias em redes sociais. Entre outros pontos, o PL estabelece como obrigatório ao veículo de comunicação social e ao provedor de notícia em rede social, que identifique o usuário que publicar mensagem própria ou divulgar mensagem de outrem em sua página na internet ou na plataforma. Atualmente, o PL foi encaminhado para publicação.
Proteção de Dados no Judiciário
Telegram é bloqueado e desbloqueado no brasil, após decisões do STF
Na última quinta-feira (17), uma solicitação da Polícia Federal foi encaminhada para o Ministro do Supremo Tribunal Federal, Alexandre de Moraes, pedindo o bloqueio do aplicativo de mensagens Telegram no Brasil. Isso porque alegavam que a falta de algumas medidas no aplicativo, estava tornando-o um ambiente propício para disseminação de fake news e até mesmo para práticas criminais. Diante disso, nesse mesmo dia (17), uma ordem judicial foi emitida por decisão de Moraes, que condicionava o prazo de 5 dias de retorno – com multa de R$ 100 mil a cada dia fora desse prazo – e declarava o bloqueio do uso do aplicativo em todo o país. No sábado (19), a Advocacia Geral da União recorreu da decisão de bloqueio do aplicativo. Apesar disso, o bloqueio foi revogado apenas no domingo (20), com a declaração do ministro do STF. O desbloqueio se deu diante do cumprimento por parte do aplicativo das determinações que foram impostas pelo ministros do STF, como condições mínimas para a continuação do uso do aplicativo no Brasil. Entre essas determinações, destacam-se: nomeação de um representante no Brasil para o aplicativo, tomar medidas para o combate de fake news, bloqueio de perfis, fiscalização dos dados cadastrais, implementação de medidas de segurança e sigilo em canais públicos, entre outros.
