Seja bem-vinde a mais uma edição do Boletim! Nesta 59ª edição do Boletim, inicialmente, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) anunciou o início dos Grupos de […]
Seja bem-vinde a mais uma edição do Boletim!
Nesta 59ª edição do Boletim, inicialmente, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) anunciou o início dos Grupos de Trabalho (GTs) do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD). Cada grupo contará com a participação de sete membros do CNPD, que deverão submeter, em até 90 dias, relatórios conclusivos de diferente temas como ”Diretrizes estratégicas e fornecimento de subsídios para elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade”, “Ações educativas e fomento à cultura de proteção de dados e da privacidade”, entre outros.
Na academia, ressaltamos que na nova edição dos Cadernos de Conjuntura das Comunicações do Laboratório de Políticas de Comunicação da Universidade de Brasília (LaPCom/UnB), pesquisadores da Associação Data Privacy de Pesquisa, Mariana Rielli, Júlia Mendonça, Paula da Silva e Pedro Santos, contribuíram para a publicação com o artigo “Proteção de dados pessoais: históricos e tendências”. A edição também aborda temas como tendências regulatórias da Inteligência Artificial, questões relacionadas ao leilão do 5G, proteção de dados pessoais, ataques à comunicação pública, entre outros pontos.
Por fim, no legislativo, destacamos o projeto de Lei 807/2022, proposto pela Deputada Maria do Rosário (PT/RS), o qual tem como objetivo estabelecer medidas de prevenção e combate ao trabalho infantil em empresas de aplicativos de entregas ou transporte, além de dar outras providências.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
Foram iniciados os Grupos de Trabalho (GTs) do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD) da ANPD. Deliberada na 2ª Reunião Ordinária do CNPD, a criação dos GTs tem como objetivo a proposição de diretrizes na temática da proteção de dados e da privacidade. Cada grupo contará com a participação de sete membros do CNPD, que deverão submeter, em até 90 dias, relatórios conclusivos com as seguintes proposições: (i) Diretrizes estratégicas e fornecimento de subsídios para elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade, no âmbito do CNPD; (ii) Ações educativas e fomento à cultura de proteção de dados e da privacidade; (iii) Acompanhamento da Agenda Regulatória da ANPD; (iv) Diretrizes estratégicas relacionadas à Transferência Internacional de Dados Pessoais; (v) Diretrizes estratégicas relacionadas aos Impactos da Lei Geral de Proteção de Dados no Setor Público.
ANPD participou do 2º dia do Privacy Symposium em Veneza, na Itália
Na tarde do dia 07/04, a Diretora Nairane Rabelo fez uma apresentação no painel Data Protection Compliance and Economic Value Creation (Conformidade da proteção de dados e criação de valor econômico). O painel contou com a moderação de Fabrice Naftalski, da Ernst & Young Advogados Associados e sócio na Global Head of Data Protection Law Services. Em sua apresentação, a Diretora Nairane abordou aspectos sobre a jornada brasileira na construção de uma cultura de proteção de dados. Ressaltou a necessidade de disseminação do conhecimento sobre proteção de dados pessoais para que sejam observadas as diretrizes protetivas enquanto direito fundamental e para que o valor econômico da proteção de dados pessoais seja percebido. Nairane falou também sobre como o Brasil vem adotando a linha da regulação responsiva, a qual valoriza a participação social e inclui o ponto de vista multissetorial na regulamentação da LGPD, de modo a encontrar o equilíbrio entre a estrutura protetiva e a inovação tecnológica. Na finalização da sua participação, Nairane por fim enfatizou que a proteção de dados consiste em um dos pontos essenciais da responsabilidade social corporativa e deve ser considerada como um investimento.
ANPD participou do Global Privacy Summit 2022 nos Estados Unidos
A conferência foi organizada pela Organização Internacional de Profissionais de Privacidade (IAPP) para debate técnico sobre proteção de dados e contou com a participação de diversas entidades interessadas no tema do mundo inteiro, além de cerca de 5.500 membros da IAPP. A delegação da ANPD composta pelo Diretor-Presidente Waldemar Gonçalves, pela Diretora Miriam Wimmer e pela Coordenadora de Relações Internacionais Virgínia Trinks, teve encontros bilaterais com outras autoridades para estreitar as relações e trocar experiências sobre implementação de regulamentação do setor. Na segunda-feira (11/04), a delegação participou do Data Protection Authority Day, dia com atividades voltadas para que as Autoridades de Proteção de Dados, representantes do governo, acadêmicos e membros da sociedade civil pudessem desenvolver laços de cooperação e promover a troca de informação e a partilha de experiências no âmbito de suas regulações. O objetivo foi fomentar debates entre autoridades reguladoras de diversas partes do mundo e as autoridades americanas, especialmente o Federal Trade Commission (FTC) e o International Trade Administration (ITA), além da sociedade civil, empresas e acadêmicos especialistas do setor. Outro encontro importante, foi a reunião com o diretor da DCMS britânica, órgão responsável pelas decisões de adequação da Inglaterra. Nessa reunião, a ANPD discutiu tendências importantes da regulação mundial do setor e foi convidada a visitar o órgão, em Londres, para aprofundar as trocas de informações e poder divulgar a LGPD e o Brasil ao mercado inglês.
França
CNIL notificou três organizações sobre a transmissão indevida de dados de clientes entre parceiros
O presidente do CNIL enviou três notificações formais a empresas por terem transmitido aos seus parceiros dados pessoais de potenciais clientes, sem obter o seu consentimento. Ressalte-se que a Autoridade, após ter recebido múltiplas queixas, passou a controlar de forma mais direta as práticas de diversas entidades com relação à transmissão de dados para prospecção de clientes. Essas investigações resultaram na identificação de várias deficiências em três das empresas, que consistiam, em sua maioria, na coleta e transmissão de dados pessoais aos parceiros que pretendiam efetuar prospecção comercial por e-mail, SMS e por telefone, mas sem obter o consentimento dos clientes para tanto. Dessa forma, segundo a Autoridade, tais transferências de dados pessoais não possuem base legal adequada, além de violarem diversas outras disposições do GDPR. Com base nisso, o Presidente do CNIL notificou as organizações, estabelecendo o prazo de três meses para se regularizarem, sob risco de sofrerem sanções administrativas, cujo valor pode ascender a 4% do seu faturamento.
Holanda
Autoridade Holandesa lançou guia de aplicação do GDPR para PMEs
A grande maioria das empresas está familiarizada com o GDPR, no entanto, apesar de a privacidade ser considerada importante, às vezes é difícil para os empreendedores aplicarem as normas na prática. Para ajudar as PMEs em seu caminho, a Autoridade Holandesa de Proteção de Dados (AP) fez uma série de animações e infográficos sobre as principais questões concretas que surgem, tais como: Quais dados são coletados pelo (pequeno) empresário? Você realmente precisa de todos os dados coletados para entregar seu serviço ou produto? Como você garante uma visão geral e uma boa segurança? Como você garante que seus clientes possam usar seus direitos de privacidade? Todas as respostas para esses outros questionamentos estão disponíveis na página da Autoridade.
Autoridade Holandesa impôs uma multa de 3,7 milhões de euros às autoridades fiscais.
A Autoridade Holandesa de Proteção de Dados (AP) impôs uma multa de 3,7 milhões de euros às autoridades fiscais do país. A referida multa foi aplicada devido aos anos de tratamento ilegal de dados pessoais realizado na Unidade de Sinalização de Fraudes (FSV), a qual consistia em uma lista negra que a Administração Tributária e Aduaneira mantinha registros de fraude ocorridas anteriormente. Ocorre que, com essa prática, muitas vezes pessoas eram erroneamente incluídas na lista. Durante uma investigação sobre o FSV, a AP identificou uma longa lista de violações ao GDPR. Um dos exemplos é que a Administração Fiscal e Aduaneira não tinha uma base legal adequada para tratar os dados pessoais constantes da lista e, dessa maneira, com base no GDPR, esse tratamento é proibido. Diante disso e de outras violações identificadas, foi aplicada a mencionada multa.
México
Acesso a plataformas de informação e tecnologia representam uma oportunidade para promover outros direitos das mulheres, bem como de outras grupos em situação de vulnerabilidade, aponta Blanca Lilia Ibarra Cadena, Comissária Presidente do Instituto Transparência Nacional, Acesso à Informação e Proteção de Dados Pessoais (INAI). Nesse sentido, ela asseverou: “No INAI procuramos que a informação seja devolvida à sociedade, para fazer com que aqueles que estão no serviço público devolvam às pessoas a informação que lhes pertencem. Dessa maneira, elas podem contribuir para o avanço da sociedade e o bem-estar da comunidade em geral”. Ao participar da discussão “Mulheres e nossos direitos redes digitais em torno do acesso à informação”, organizada pela Universidade Realista do México, a presidente destacou os pontos mencionados acima, além de salientar que existem lacunas enfrentadas pela população feminina em condições vulnerabilidade, que se acentuaram no contexto da pandemia e confinamento, gerando, em muitos casos, defasagem e riscos diversos. Mais informações e detalhes sobre a fala podem ser encontradas aqui.
INAI alerta sobre práticas de fraude digital: phishing, pharming, smishing e vishing
O Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI) alerta para as práticas mais usadas por cibercriminosos para obter dados ilegalmente e cometer fraudes ou golpes no ambiente digital: phishing, pharming, smishing e vishing. A prática que consiste em usurpar a identidade de uma empresa ou organização governamental é chamada de phishing, cuja estratégia reside no envio de e-mails para a vítima com um link para uma página aparentemente correta, mas na realidade é uma duplicata, onde são solicitados dados pessoais para serem usados para fraudes. Duas variantes de phishing são: vishing e smishing, sendo o primeiro mensagens de texto SMS fraudulentas usadas para obter dados pessoais da vítima e, o segundo, que apesar de ter o mesmo intuito, aplica a fraude por meio de telefonemas ou mensagens de voz. Para que as pessoas evitem ser vítima de um ou vários desses tipos de fraude, o INAI fez as seguintes recomendações: (i) Não acesse links ou links contidos em e-mails ou mensagens de texto provenientes de um remetente desconhecido; (ii) Verifique se o endereço do portal de um banco, por exemplo, comece com um ícone de cadeado fechado e com https, pois o “s” implica que os dados inseridos serão transmitidos de forma criptografada; (iii) Evite o uso de computadores públicos para acessar informações pessoais e realizar operações acesso a operações bancárias via Internet; se necessário, lembre-se de limpar o histórico ao terminar de navegar, entre outros pontos.
Proteção de Dados nas Universidades
Caderno de Conjuntura das Comunicações LaPCom 2022: Desinformação, crise democrática e políticas de comunicação e cultura
Laboratório de Políticas de Comunicação da Universidade de Brasília (LaPCom/UnB)
O Laboratório de Políticas de Comunicação da Universidade de Brasília (LaPCom/UnB) lançou a nova edição dos Cadernos de Conjuntura das Comunicações, uma publicação em parceria com a União Latina de Economia Política da Informação, Comunicação e Cultura-Capítulo Brasil (Ulepicc-Brasi). Nesse sentido, ao longo de dez artigos, pesquisadores discutem temas como o Projeto de Lei das Fake News, tendências regulatórias da Inteligência Artificial, questões relacionadas ao leilão do 5G, ameaças institucionais à Ancine, proteção de dados pessoais, ataques à comunicação pública, entre outros pontos. Destacamos que os pesquisadores Mariana Rielli, Júlia Mendonça, Paula da Silva e Pedro Santos, do Data Privacy Brasil, contribuíram com o artigo “Proteção de dados pessoais: históricos e tendências” que também está disponível na publicação.
VIEGAS, Carolina Castro Costa.
O artigo traça um panorama do direito ao esquecimento no ordenamento jurídico nacional, com enfoque em controvérsias recentes, que envolvem casos de divulgação de dados na internet e sua indexação pelos provedores de busca. O método escolhido é o histórico-analítico, a partir de uma incursão sobre sua origem e desenvolvimento jurisprudencial, inclusive no direito estrangeiro, e antes mesmo da era digital. Aponta-se a evolução do entendimento do Superior Tribunal de Justiça quanto ao direito ao esquecimento, inclusive de casos relacionados à internet, impugnando- -se algumas premissas assentadas, e analisa-se os impactos das Leis 12.965/14 e 13.709/18, de modo a indicar argumentos para uma mudança jurisprudencial, que seria mais consentânea com os desafios de conciliar os direitos de personalidade com o direito à informação.
Estaria o acesso à informação ameaçado pela proteção de dados pessoais? uma falsa antinomia normativa, mas uma insegurança fática no âmbito das instituições federais de ensino superior
NETO, Carlos; LUIZA, Maria.
O presente trabalho se propõe a analisar e compreender a existência ou não de uma contraposição entre a Lei de Acesso à Informação (LAI, Lei n. 12.527/2011), e a Lei Geral de Proteção de Dados (LGPD, Lei n. 13.709/2018), na transparência pública no âmbito das Instituições Federais de Ensino Superior (IFES). Em que pese, esses instrumentos legislativos, compreendem disciplinas distintas, a primeira, voltada aos dados públicos e a outra, aos dados pessoais, o problema que conduziu o desenvolvimento desta pesquisa consistiu nos seguintes questionamentos: há um conflito aparente na aplicabilidade desses aportes legais? A possível insegurança pode gerar um retrocesso na transparência pública? Para análise dos dados pesquisados foi empregado uma trilha metodológica que entrelaça um estudo de campo, com uma análise qualitativa dos questionários aplicados ao corpus da pesquisa que se concentra em 22 universidades federais e 08 (oito) institutos federais. Inicialmente, no primeiro capítulo, é feito um recorte sobre a Lei de Acesso à informação na condição de instrumento de efetividade da transparência pública. Em seguida, discute-se as diretrizes da Lei Geral de Proteção de Dados enquanto marco representativo na autodeterminação informativa. No capítulo final, analisa-se a (in)compatibilidade entre a LAI e a LGPD pelas instituições no tocante às informações solicitadas ao Serviço de Informação ao Cidadão.
LIMA, Caio César Carvalho; LASMAR ALMADA, Marco Antonio; MARANHÃO, Juliano.
As diretrizes de Data Protection by Design e Data Protection by Default são baseadas na ideia de que o funcionamento de um sistema de informação e, particularmente, a forma pela qual esses sistemas afetam titulares de dados, dependem primordialmente de sua arquitetura. Os dois princípios estão ligados; e, de fato, a proteção de dados por padrão tem sido vista como um aspecto específico da privacidade por design. Ambos os princípios correspondem a uma abordagem proativa de prevenção de riscos à proteção de dados. Em relação à Lei Geral de Proteção de Dados (LGPD), subsiste alguma dúvida acerca incorporação do DPbD e do DPbDf em seu regramento, havendo entendimentos contrários e favoráveis. Parece-nos, porém, que no § 2º do artigo 46 houve a inclusão de ambos os princípios. Este capítulo analisa a implementação do Data Protection by Design na LGPD, endereçando os seus 7 Princípios Fundacionais à luz da doutrina de Ann Cavoukian, passando também pelo histórico legislativo da proteção de dados no Brasil.
Proteção de Dados no Legislativo
O Projeto de Lei 879/2022, proposto pelo Senador Carlos Viana (PL/MG), tem como objetivo qualificar o crime de invasão de dispositivo informático quando houver a obtenção de dados pessoais e criar o crime de sequestro de dados informáticos. Entre outros pontos, o PL modifica o parágrafo §3º, do artigo 154-A para constar que na hipótese em que a “invasão resultar a obtenção de dados pessoais, conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, ou informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido” a pena será de reclusão, com duração de 2 (dois) a 5 (cinco) anos, e multa, se a conduta não constitui crime mais grave. Atualmente, a proposição encontra-se no plenário do Senado Federal.
O Projeto de Lei 807/2022, proposto pela Deputada Maria do Rosário (PT/RS), tem como objetivo estabelecer medidas de prevenção e combate ao trabalho infantil em empresas de aplicativos de entregas ou transporte, além de dar outras providências. Entre outros pontos, o PL estabelece que as empresas de aplicativos devem exigir “cadastro biométrico ou identificação facial dos trabalhadores da empresa e promover checagem de forma periódica e sistemática do sistema, a fim de evitar a exploração do trabalho infantil, inclusive nas possibilidades de fraudes cadastrais”. Atualmente, a proposição encontra-se aguardando designação de relator na comissão de seguridade social e família (cssf).