Seja bem-vinde a mais uma edição do Boletim! Nesta 60ª edição do Boletim, inicialmente, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) reuniu-se com a Controladoria-Geral da União […]
Seja bem-vinde a mais uma edição do Boletim!
Nesta 60ª edição do Boletim, inicialmente, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) reuniu-se com a Controladoria-Geral da União (CGU) a fim de estreitar as relações na atuação dos dois órgãos para a harmonização da aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) com a Lei de Acesso à Informação (LAI), além de estabelecer uma agenda conjunta para a atuação em defesa das garantias constitucionais de responsabilidade dos órgãos: a proteção de dados pessoais e a transparência e o acesso à informação.
Ainda no contexto brasileiro, a ANPD instaurou processo administrativo de fiscalização após tomar conhecimento da publicação da Portaria RFB nº 167/22 que autoriza o SERPRO a disponibilizar acesso para terceiros a dados e informações detidas pela Receita Federal do Brasil, no intuito de avaliar a adequação do normativo às disposições da LGPD.
Por fim, no contexto internacional, salientamos que após ter sido aberta uma investigação sobre um incidente de segurança que implicou no vazamento de dados de saúde referentes a quase 500.000 pessoas, a Autoridade Francesa (CNIL) aplicou uma multa de 1,5 milhões de euros na DEDALUS, empresa que comercializa soluções de software para laboratórios de análises médicas.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
ANPD e CGU estreitaram relações para harmonização da aplicação da LGPD e da LAI
A Autoridade Nacional de Proteção de Dados (ANPD) reuniu-se, no dia 24/03, com a Controladoria-Geral da União (CGU) a fim de estreitar as relações na atuação dos dois órgãos para a harmonização da aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) com a Lei de Acesso à Informação (LAI). O intuito é fortalecer a garantia dos direitos constitucionais regulados por ambas as leis, além de estabelecer uma agenda conjunta para a atuação em defesa das garantias constitucionais de responsabilidade dos órgãos: a proteção de dados pessoais e a transparência e o acesso à informação. O Diretor-Presidente da ANPD, Waldemar Gonçalves e o Secretário da Secretaria de Transparência e Prevenção da Corrupção (STPC), Roberto Viégas, conduziram a reunião. O tema principal da reunião foram os avanços normativos relacionados à LGPD e à LAI ocorridos em 2022, como a promulgação da Emenda Constitucional nº 115/2022, que acrescenta o direito à proteção de dados pessoais no rol de direitos e garantias fundamentais ao cidadão (art. 5º da Constituição), e também, a publicação do Enunciado CGU nº 4/2022, que reconhece a compatibilidade sistêmica entre a LAI e a LGPD, por meio da interpretação harmônica dessas leis. Há expectativa dos dois órgãos para uma atuação conjunta a ser, futuramente, formalizada por um Acordo de Cooperação Técnica.
ANPD disponibilizou os vídeos das Reuniões Técnicas sobre a norma do encarregado no Youtube
Nos dias 05 a 08 de abril de 2022, foram realizadas as reuniões técnicas relativas à tomada de subsídios para a elaboração da norma sobre o encarregado de proteção de dados pessoais: Em quatro dias foram realizadas: (i) 5 reuniões técnicas; (ii) 20 especialistas foram ouvidos – dez homens e dez mulheres; (iii) 4 das 5 regiões brasileiras foram representadas por pessoas de diferentes setores de atuação, tais como: academia e centros de pesquisa, agentes de tratamento que realizam tratamentos de alto risco, setor público, entre outros. Após essa etapa e avaliação das contribuições recebidas, a equipe técnica avançará na elaboração do Relatório de Análise de Impacto Regulatório e de elaboração da minuta de normativo sobre o tema. Importante destacar que esse é apenas o início do processo de normatização e que, posteriormente, haverá outras formas de participação popular, como consulta pública e audiência pública, momentos em que será aberta a possibilidade de a sociedade colaborar com o trabalho da Autoridade.
A Autoridade Nacional de Proteção de Dados (ANPD) tomou conhecimento da publicação da Portaria RFB nº 167, de 14 de abril de 2022, que autoriza o SERPRO a disponibilizar acesso para terceiros a dados e informações detidas pela Receita Federal do Brasil. Considerando que a Portaria trata também sobre o uso de compartilhamento de dados pessoais, a ANPD emitiu nota de esclarecimento informando que instaurou processo administrativo de fiscalização, em cumprimento ao dever de zelar pela proteção de dados pessoais, com fundamento na LGPD, no intuito de avaliar a adequação no normativo às disposições da referida norma.
Na tarde da quarta-feira, 20/04, aconteceu a 1º Reunião Extraordinária do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD) para tratar do planejamento e andamento dos Grupos de Trabalho instituídos neste mês de abril. Seguindo o calendário de reuniões aprovado pelo colegiado, a reunião contou com a presença de 31 conselheiros, dentre titulares e suplentes. A reunião foi conduzida pelo Presidente do Conselho, Jonathas Castro, Secretário Executivo da Casa Civil. Para saber sobre a instituição dos Grupos de Trabalhos do CNPD acesse aqui.
Nesta terça-feira (26/04), a ANPD lançou uma versão atualizada (Versão 2.0) do Guia Orientativo para a Definição dos Agentes de Tratamento e do Encarregado. Um dos assuntos que mais têm gerado dúvidas são as definições dos conceitos que a LGPD traz sobre quem são os agentes de tratamento e quais são suas atribuições. Pensando na necessidade de esclarecer esses conceitos, a ANPD atualizou o guia para trazer uma melhor compreensão do tema e de sua aplicação. Além de definições, o guia fornece exemplos práticos e explica quem pode exercer a função do controlador, do operador e do encarregado e suas responsabilidades, e traz conceitos presentes em cadeias mais complexas, como é o caso do suboperador, exemplificando os casos e aplicações deste conceito. A atualização do guia é resultado da contribuição da sociedade, do amadurecimento do tema e de sua harmonização com as produções normativas da ANPD.
ANPD participou do Workshop sobre o sistema CBPR de certificação
A Autoridade Nacional de Proteção de Dados, representada pela Chefe de Gabinete, Mariana Talouki, participou do workshop intitulado “Global Cooperation on Data Privacy & the CBPR System: the Path Foward (Cooperação Global em Proteção de Dados e o Sistema CBPR: próximos passos)”. O evento ocorreu na cidade de Honolulu, Havaí, entre os dias 26 a 28 de abril. O sistema CBPR (Cross Border Privacy Rules) é uma certificação de privacidade abrangente que fornece às organizações um mecanismo para transferências de dados internacionais. O CBPR pode ser usado para transferências de dados dentro da empresa, para transferências entre empresas não afiliadas, bem como para transferências para empresas não certificadas pelo CBPR em qualquer parte do mundo. Antes a participação era restrita aos países membros da APEC (Cooperação Econômica da Ásia-Pacífico). Agora é permitida a adesão de qualquer economia que atenda aos requisitos constantes na Estrutura de Privacidade da APEC e que, cumulativamente possua uma Autoridade de Enforcement em Privacidade e o potencial de eleger um organismo – Accountability Agent – com competência para avaliar a conformidade dos agentes de tratamento com as diretrizes estabelecidas para a certificação CBPR. A representação da ANPD reflete o interesse da Autoridade em conhecer diferentes mecanismos e distintos modelos e possibilidades de transferências internacionais de dados pessoais, bem como a preocupação na construção de um modelo próprio que seja interoperável, sem perder de vista a necessidade de comprometimento com os princípios e diretrizes estabelecidos na LGPD.
Dinamarca
No caso em questão, um ex-funcionário de um município havia, após a rescisão do contrato de trabalho, solicitado informações sobre todas as comunicações em que o seu nome foi mencionado. A Autoridade Dinamarquesa, então, tentou fazer com que o ex-funcionário especificasse seu pedido, pois o material desejado após vários anos de emprego era extenso. No entanto, isso foi rejeitado pelo ex-funcionário. Sendo assim, a Autoridade emitiu posicionamento no sentido de concordar que um controlador de dados pode se recusar a fornecer informações registradas sobre cartas, notas e e-mails, etc., que foram assinados ou enviados ao titular dos dados em conexão com a função que o mesmo exercia no trabalho. Na análise, a Autoridade Dinamarquesa destaca que, ainda que possam ser dados pessoais (informações de que o titular dos dados em determinada situação assinou uma carta, enviou um e-mail etc.), antes de tudo, essa dinâmica faz parte daquela função exercida no cargo.
Espanha
A Agência Espanhola de Proteção de Dados (AEPD) obteve 95,2% no relatório de 2022 do Conselho de Transparência e Boa Governança (CTBG), que mostra o grau de cumprimento das obrigações impostas pela Lei de Transparência, acesso à informação pública e boa governança do país. O resultado obtido pela AEPD aumentou 17,5 pontos percentuais em relação a 2021, sendo a entidade avaliada que mais melhorou no último ano. No conjunto, o nível de transparência em 2022 das entidades avaliadas foi de 89,3%. A CTBG avaliou de forma muito positiva a evolução do cumprimento das obrigações de publicidade ativa por parte da AEPD, uma vez que foram aplicadas todas as recomendações feitas na sequência da avaliação efetuada em 2021. Além disso, a Agência já procedeu à publicação tanto das informações sobre modificações contratuais quanto do organograma em formato reutilizável, aspectos exigidos pelo CTBG para atingir 100% de conformidade.
A Agência Espanhola de Proteção de Dados (AEPD) ministrará o seminário “Estratégias de proteção de dados diante dos desafios do ambiente digital” do dia 4 a 6 de julho, como parte das Atividades de Verão 2022 da Universidade Internacional Menéndez Pelayo (UIMP), que se destina a empresas, prestadores de serviços digitais, administrações públicas, profissionais, investigadores e interessados na matéria. Durante o seminário serão analisados diversos aspectos relacionados com a identidade digital visto que, atualmente, existe um vasto leque de tratamento de dados pessoais que vai desde a identificação e autenticação de pessoas perante as administrações públicas até ao processamento da impressão digital obtida do perfil dos usuários da Internet. Estes tratamentos envolvem diferentes volumes de informação, finalidades e tecnologias e, portanto, diferentes garantias. Segundo a Autoridade, o curso explicará também as obrigações que os provedores que oferecem produtos e serviços relacionados à identidade digital devem cumprir, como o princípio da responsabilidade proativa e a aplicação de medidas e garantias voltadas à gestão de riscos para garantir os direitos e liberdades das pessoas.
European Data Protection Board
Autoridades do EDPB decidiram sobre cooperação mais unida com relação à arquivos estratégicos
Em uma reunião de alto nível de dois dias em Viena, os membros da EDPB concordaram em aumentar ainda mais a cooperação em casos estratégicos e diversificar a gama de métodos de cooperação utilizados. Andrea Jelinek, presidente do Conselho Europeu de Proteção de Dados, asseverou: “Nos últimos quatro anos, investimos muitos recursos na interpretação e aplicação consistente do GDPR, endossando e adotando nada menos que 57 diretrizes e 6 recomendações. A aplicação das autoridades de proteção de dados (DPAs) aumentou com multas cumulativas que somam 1,55 bilhão de euros no final de 2021. Mais do que nunca, uma aplicação forte e rápida é crucial para garantir uma interpretação consistente do GDPR. Todos os membros da EDPB estão comprometidos com uma atuação mais colaborativa, com foco em soluções práticas para fortalecer a capacidade de atuação das DPAs.” Nesse sentido, ficou estabelecido que grupos de DPAs podem decidir unir forças em atividades de investigação e fiscalização e, quando necessário, uma força-tarefa do EDPB pode ser criada. Além disso, as DPAs comprometeram-se a trocar informações sobre as estratégias nacionais de execução com o objetivo de harmonizar as prioridades anuais de execução, que podem ser refletidas nos seus respectivos programas nacionais.
França
Em 23 de fevereiro de 2021, um vazamento maciço de dados referentes a quase 500.000 pessoas foi revelado na imprensa, de responsabilidade da DEDALUS, empresa que comercializa soluções de software para laboratórios de análises médicas. O nome, número de segurança social, nome do médico prescritor, data de exames, bem como e sobretudo informações médicas (doenças genéticas, gravidezes, tratamentos medicamentosos e até dados genéticos) dessas pessoas foram disseminadas na internet. Após as conclusões obtidas a partir das inspeções, a comissão estrita– órgão da CNIL responsável pela prolação de sanções – considerou que a empresa descumpriu várias obrigações previstas no GDPR, aplicando uma multa de 1,5 milhões de euros.
República Tcheca
“No caso de um ataque hacker bem-sucedido e roubo de dados pessoais (incidente de segurança), isso também pode significar uma violação do Regulamento Geral de Proteção de Dados (GDPR) para a entidade afetada (controlador de dados pessoais). Se a violação ocorrer, deve ser relatada imediatamente ao nosso escritório “, disse Jiří Kaucký, presidente da Autoridade Tcheca de Proteção de Dados Pessoais. Diante disso, a referida Autoridade preparou um resumo básico das obrigações que lhes são impostas para os controladores pelo GDPR no âmbito do tratamento de dados pessoais. Em caso de incidente da segurança, a principal obrigação do controlador é relatar imediatamente tal incidente à Autoridade, procedimento que pode ser feito pelo formulário online de violação de segurança.
México
Brinquedos conectados à Internet podem colocar em risco a proteção de dados pessoais e segurança, tanto para meninas quanto crianças, bem como seu ambiente familiar, alerta o Instituto Transparência Nacional, Acesso à Informação e Proteção de Dados Pessoais (INAI). Os chamados brinquedos inteligentes criam novas brincadeiras interativas e oportunidades de aprendizagem, porém, também apresentam desafios significativos em termos de segurança e proteção de dados pessoais. Sem o devido controle, os dados podem cair em mãos de estranhos ou cibercriminosos, além de existir a possibilidade da obtenção de imagens ou vídeos registrados no ambiente doméstico ou familiar, o que representa um risco para a sua segurança. Diante desse cenário, no marco do dia do menino e da menina, O INAI emite as seguintes recomendações para as famílias: (i) Identifique quais dados pessoais serão usados, para qual finalidade e se são compartilhados com terceiros; (ii) Leia os termos e condições relacionados à proteção de dados pessoais; (iii) Verifique como o consentimento é solicitado e fornecido para o uso de dados pessoais nos dispositivos; (iv) Identifique se o brinquedo conectado pode gravar, entender algumas palavras ou frase tirar fotos ou capturar vídeo de usuários, entre outros pontos que podem ser conferidos no site da autoridade.
Proteção de Dados nas Universidades
Education in a datafied world: Balancing children’s rights and school’s responsibilities in the age of Covid 19
BURKE, Maria; STOCKMAN, Caroline; NOTTINGHAM, Emma
A pandemia de Covid-19 criou uma situação em que o aprendizado on-line rapidamente se tornou a única opção. Durante os períodos de lockdown, quando não era possível para a maioria das crianças frequentar fisicamente a escola, a eficácia e eficiência das plataformas digitais permitiram que as escolas cumprissem seus deveres de fornecer educação. No entanto, a urgência da situação trazia o risco de que essa dinâmica fosse implementada sem a devida consideração dos riscos de proteção de dados de várias ferramentas de aprendizado online. Embora o Regulamento Geral de Proteção de Dados (GDPR) forneça uma estrutura de regulamentos e direitos para proteger os usuários, o processo legal é difícil de aplicar devido às tensões no equilíbrio dos direitos da criança e a importância de que elas recebam educação. Este artigo recomenda mudanças necessárias a serem implementadas nas práticas de escolarização digital para que as crianças tenham formas realistas de fazer valer seus direitos de proteção de dados, bem como uma abordagem esclarecida e hamonizada para apoiar as escolas.
Priceless data: why the EU fundamental right to data protection is at odds with trade in personal data
MALGIERI, Gianclaudio; CUSTERS, Bart.
Muitos serviços online gratuitos, incluindo site de busca e redes sociais, utilizam modelos de negócio baseados na coleta e tratamento de dados pessoais dos seus usuários. Os dados do usuário são analisados, transferidos ou vendidos para gerar lucros. Basicamente, apesar dos serviços não estarem sendo pagos com taxas de assinatura ou qualquer tipo de pagamento monetário, a moeda de troca são os dados pessoais. Neste artigo, os autores argumentam que esses modelos de negócios, que tratam os dados pessoais como uma mercadoria, são problemáticos sob o prisma da lei de proteção de dados da União Europeia (UE). Tanto ao abrigo da Carta dos Direitos Fundamentais da UE, como do Regulamento Geral de Proteção de Dados (GDPR), os direitos atrelados à proteção de dados são inalienáveis. Isso está em desacordo com o comércio real de dados pessoais na economia de dados, uma vez que o “pagamento” não pode ser uma transferência de propriedade de dados pessoais. Para os autores, como a base legal para o tratamento de dados pessoais muitas vezes é o consentimento, as pessoas podem invocar seus direitos de titular de dados (e assim retirar seu “pagamento”) a qualquer momento após ter recebido (acesso a) serviços online por controladores de dados e podem não contribuir para a economia de dados prevista para a UE.
PEARCE, Henry.
Este artigo considera a regulamentação da doação póstuma de dados médicos (PMDD) e examina até que ponto a lei deve exigir o consentimento ante-mortem opt-in de pessoas falecidas para que seus dados médicos sejam retidos e usados como parte de iniciativas de PMDD. O artigo considera os argumentos de ambos os lados deste debate (ou seja, pró-consentimento vs. anti-consentimento) antes de sugerir que, como uma questão geral, o consentimento opt-in não deve ser exigido para que os dados médicos de pessoas falecidas sejam usados para Objetivos do PMDD. Propõe-se também, no entanto, que, embora o consentimento opt-in não deva ser exigido por lei, os indivíduos devem ter um direito qualificado através do qual podem se opor ou “excluir” que seus dados médicos sejam usados dessa maneira.
LOUREIRO, Rodrigo Miguel; AZEVEDO, Daniela Alves; CORREIA, Tiago.
A revolução digital nos serviços de saúde veio disponibilizar novas oportunidades para o desenvolvimento da qualidade da prestação de cuidados, investigação de novos tratamentos e uma melhor utilização dos recursos. A maioria da informação que presentemente é compartilhada digitalmente, anteriormente era partilhada em papel, suscitando, assim, novos desafios e ameaças digitais ao nível da segurança e privacidade. Dada esta necessidade foi desenvolvido e aprovado o Regulamento 2016/679, do Parlamento Europeu e do Conselho, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. O Regulamento Geral sobre a Proteção de Dados veio introduzir alterações significativas ao enquadramento legal da proteção de dados pessoais dentro da União Europeia, estabelecendo regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Estas alterações devem influenciar o modo de tratamento dos dados de saúde pelas entidades prestadoras de cuidados de saúde, quer no âmbito da prestação de cuidados de saúde quer para efeitos de investigação.
Proteção de Dados no Legislativo
O Projeto de Lei 1109/2022, proposto pelo Deputado Tiririca (PL/SP), tem como objetivo permitir a entrega de resultados de exames diagnósticos ou senhas para seu acesso, a parentes até segundo grau, cônjuge ou companheiro do paciente. Entre outros pontos, o PL acrescenta o §4º ao artigo 4º, apontando que “Na hipótese de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, é permitida a entrega de resultados de exames ou senhas para seu acesso a parentes até segundo grau, cônjuge ou companheiro.” Atualmente, a proposição encontra-se aguardando Despacho do Presidente da Câmara dos Deputados
