Seja bem-vinde a mais uma edição do Boletim! Nesta 61ª edição do Boletim, inicialmente, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) publicou o estudo técnico preliminar, aberto […]
Seja bem-vinde a mais uma edição do Boletim!
Nesta 61ª edição do Boletim, inicialmente, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) publicou o estudo técnico preliminar, aberto para sugestões, “A LGPD e o tratamento de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa”, com o objetivo de estabelecer parâmetros que possam orientar tanto instituições de ensino e pesquisa que realizam tratamento de dados pessoais, quanto entidades e órgãos públicos responsáveis por analisar pedidos de acesso e disponibilizar dados pessoais para fins de pesquisa científica.
Ainda no contexto brasileiro, a ANPD expediu a 3ª Nota Técnica de nº 49/2022/CGF/ANPD que concluiu a fase de avaliação das alterações feitas na Política de Privacidade do aplicativo de mensagens WhatsApp, por meio da qual foram analisadas as versões da Política de Privacidade de todas as ferramentas do aplicativo WhatsApp e sua adequação à LGPD. Foram determinadas, ainda, as alterações necessárias para que a política se torne mais clara e transparente para o usuário.
Por fim, no contexto internacional, salientamos que o European Data Protection Board (EDPB) adotou novas orientações sobre o cálculo das multas administrativas, harmonizando as diferentes metodologias adotadas pelas Autoridades de Proteção de Dados que compõem o Conselho. As diretrizes sugerem uma análise composta por cinco etapas, para possibilitar uma padronização na aplicação das sanções.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
A Autoridade Nacional de Proteção de Dados (ANPD) publicou o estudo técnico “A LGPD e o tratamento de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa”. O documento foi elaborado com o intuito de abordar e apresentar respostas aos principais questionamentos sobre o tema recebidos pela ANPD nos últimos meses, buscando estabelecer parâmetros que possam auxiliar e orientar tanto instituições de ensino e pesquisa, quanto entidades e órgãos públicos responsáveis por analisar pedidos de acesso e disponibilizar dados pessoais para fins de pesquisa científica. Na parte final, é discutido o conceito de órgão de pesquisa e as bases legais previstas nos arts. 7º, IV e 11, II, c, da LGPD, incluindo aspectos práticos sobre a instrução de processos de disponibilização de acesso ou compartilhamento de dados pessoais para fins de pesquisa. Com essa iniciativa, a ANPD busca ampliar os mecanismos de debate com a sociedade e estabelecer uma discussão qualificada com base em um estudo preliminar, ou seja, o documento não representa necessariamente a opinião final da ANPD sobre o tema, tendo em vista que serão recolhidas contribuições.
ANPD concluiu a análise de adequação da nova Política de Privacidade do Whatsapp à LGPD
A Autoridade Nacional de Proteção de Dados expediu a 3ª Nota Técnica de nº 49/2022/CGF/ANPD que conclui a fase de avaliação das alterações feitas na Política de Privacidade do aplicativo de mensagens WhatsApp. Na Nota Técnica, a ANPD analisou as versões da Política de Privacidade de todas as ferramentas do aplicativo WhatsApp (WhatsApp Messenger, WhatsApp for Business e WhatsApp for Business – API) e avaliou a sua adequação à LGPD. Foram ainda determinadas as alterações necessárias para que a política se torne mais clara e transparente para o usuário. A análise efetuada na Nota Técnica se deu em função da Recomendação Conjunta expedida pela ANPD, pelo Conselho Administrativo de Defesa Econômica (Cade), pelo Ministério Público Federal (MPF) e pela Secretaria Nacional do Consumidor (Senacon). Tais órgãos, posteriormente, irão examinar a 3ª Nota Técnica e emitirão as suas considerações dentro de suas respectivas esferas de competência. Mesmo após o atendimento das recomendações da ANPD pelo WhatsApp, a Autoridade seguirá analisando os desdobramentos da alteração da política de privacidade do aplicativo no País. Nesse sentido, a ANPD informou sobre a abertura imediata de procedimento que irá analisar especificamente o compartilhamento de dados do WhatsApp com o Facebook, prática que ocorre desde 2016 e não foi objeto da última atualização da política. Além disso, a ANPD pretende divulgar em breve as mudanças mais específicas ocorridas na plataforma, a fim de facilitar a compreensão dos usuários sobre as medidas implementadas pelo WhatsApp a partir das recomendações da Autoridade.
ANPD manifestou-se sobre divulgação de microdados do Enem e Censo Escolar pelo INEP
A Autoridade Nacional de Proteção de Dados manifestou-se, por meio da Nota Técnica nº 46/2022/CGF/ANPD, sobre a não divulgação dos microdados do Censo Escolar e do Exame Nacional do Ensino Médio (Enem) pelo Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (INEP). Em fevereiro deste ano, o INEP entendeu que a divulgação de dados constantes nas publicações do Enem 2020 e do Censo Escolar da Educação Básica 2021 poderia trazer riscos para a identificação e violar a privacidade dos estudantes, circunstância que poderia acarretar na violação à Lei Geral de Proteção de Dados Pessoais (LGPD). Os dados eram utilizados para produção de pesquisas e políticas públicas de educação. O objetivo da Nota Técnica expedida pela Autoridade é expor o entendimento da ANPD sobre o caso, fornecer orientações e indicar ao INEP a adoção de providências a serem tomadas. A principal determinação da ANPD ao INEP é que o instituto elabore o Relatório de Impacto à Proteção de Dados – RIPD, com vistas a avaliar os riscos que podem ser causados aos titulares com a divulgação, tornando-o público, no que couber, a fim de dar transparência às decisões e medidas que serão adotadas pelo instituto. Além disso, a ANPD entende que o INEP tem condições de decidir sobre a amplitude da divulgação, sendo possível que os microdados sejam apresentados em versões diferentes para a sociedade e para instituições de pesquisa, mediante termo de responsabilidade. Para acessar a Nota Técnica clique aqui.
Dinamarca
Autoridade Dinamarquesa de Proteção de Dados expressou sérias críticas ao tratamento de dados pessoais realizado pela FSA dinamarquesa
A Autoridade Dinamarquesa de Proteção de Dados (Datatilsynet) tomou uma decisão em um caso em que a Autoridade de Supervisão Financeira (FSA) do país transmitiu de maneira indevida a um jornalista, informações sobre pessoas que já realizaram denúncias à Autoridade, em conjunto com um pedido de acesso a documentos. A divulgação não intencional ocorreu porque a Autoridade de Supervisão Financeira Dinamarquesa não removeu de maneira suficientemente segura os dados pessoais do material que havia sido fornecido. Ao avaliar o caso, a Autoridade Dinamarquesa de Proteção de Dados, entre outros pontos, destacou que o responsável pelo tratamento de dados deve estabelecer medidas para garantir que o material disponibilizado não contenha dados pessoais que deveriam ter sido anonimizados. Além disso, a mesma Autoridade deu ênfase ao fato de que o risco para os direitos do titular dos dados deve geralmente ser considerado maior quando a informação se origina de um procedimento de denúncia/reclamação. Neste contexto, a Autoridade de Proteção de Dados expressou sérias críticas ao tratamento de dados pessoais realizado pela FSA dinamarquesa, pois estes não ocorreram de acordo com as regras do GDPR.
A Autoridade Dinamarquesa realizou em colaboração com o Departamento de Direitos Humanos uma conferência sobre o futuro digital no “IGF Dinamarquês” (Internet Governance Forum) 2022. O programa incluiu um painel de debate sobre direitos humanos e uso de algoritmos na administração pública com a participação da Diretora de Proteção de Dados, Cristina A. Gulisano. O painel discutiu uma série de questões sobre o uso de inteligência artificial e como o respeito aos direitos fundamentais dos cidadãos deve ser considerado desde o início do desenvolvimento e uso desses tipos de soluções tecnológicas. Dessa forma, a Autoridade Dinamarquesa reuniu um grupo de projeto interno em todas as unidades profissionais da entidade, com o objetivo de examinar mais de perto a inteligência artificial e a proteção de dados em um contexto amplo. Especificamente, o trabalho do grupo de projeto deve resultar em: (i) Orientação, incluindo templates e paradigmas que podem ser utilizados no desenvolvimento e uso de soluções de inteligência artificial; (ii) Mapeamento do uso de soluções de inteligência artificial em todo o setor público. Isso será feito para que a Autoridade a longo prazo – e na construção das diretrizes – possa garantir que os requisitos de proteção de dados sejam cumpridos em relação à inteligência artificial.
Espanha
Atualmente, aplicativos como o WhatsApp nos permitem compartilhar áudios, fotos, vídeos, documentos ou até mesmo nossa localização em tempo real com outros usuários ou grupos. A capacidade de compartilhar esses tipos de informações com um único clique pode colocar em risco nossa privacidade e a de outras pessoas, por isso devemos ter um cuidado especial e usar o aplicativo com responsabilidade. Isso porque, uma vez que qualquer conteúdo é enviado pelo WhatsApp ou outros aplicativos de mensagens, perdemos o controle sobre ele. O mesmo acontece se fizermos isso em um chat privado com outro usuário, pois dependemos da boa vontade dessa pessoa para que a foto ou vídeo não acabe sendo encaminhado em outros chats ou grupos massivos. Pode acontecer que um amigo ou parceiro que consideramos totalmente confiável hoje aja de forma irresponsável ou impensada, ou que, no futuro, mude de condição e use esse conteúdo para nos prejudicar, como acontece nos casos da chamada “pornografia de vingança” . Diante disso, a Autoridade Espanhola sinalizou que no site do WhatsApp é possível encontrar informações detalhadas sobre todas as ferramentas de controle de privacidade oferecidas pelo próprio aplicativo: (i) Controle as configurações de privacidade no Android e iPhone; (ii) Bloqueie usuários indesejados no Android e iPhone;(iii) Mensagens de bate-papo vazias no Android e iPhone; (iv) Desative os recibos de leitura no Android e no iPhone. (v) Exclua e denuncie mensagens como spam; (vi) Sair de um grupo no Android e iPhone. Para mais informações, acesse o site da Autoridade.
European Data Protection Board
EDPB adotou diretrizes sobre cálculo de multas aplicadas pelas Autoridades de Proteção de Dados
O EDPB adotou novas orientações sobre o cálculo das multas administrativas, para harmonizar as metodologias adotadas pelas Autoridades de Proteção de Dados (DPA’s). As orientações incluem “pontos de partida” para o cálculo de uma multa e três elementos são considerados: (i) a natureza das infrações; (ii) a gravidade das infrações; e (iii) o volume de negócios da empresa. Nesse sentido, as diretrizes estabelecem uma metodologia de cálculo em 5 etapas. Primeiramente, as DPA’s devem determinar se a situação em questão diz respeito a um ou mais casos de conduta passível de sanções e se conduziram a uma ou várias infrações. Em segundo lugar, as APD devem basear-se num ponto de partida para o cálculo da multa para a qual o EDPB prevê um método harmonizado. Terceiro, as DPAs devem considerar fatores agravantes ou atenuantes que podem aumentar ou diminuir o valor da multa, para os quais o EDPB fornece uma interpretação consistente. O quarto passo é determinar os máximos legais de multas, conforme estabelecido no art. 83 (4)-(6) GDPR e para garantir que esses valores não sejam excedidos. Na quinta e última etapa, as DPAs precisam analisar se o valor final calculado atende aos requisitos de eficácia e proporcionalidade ou se são necessários ajustes adicionais no valor. As diretrizes são uma adição importante à estrutura que o EDPB está construindo para uma cooperação mais eficiente entre as DPAs em casos transfronteiriços, uma prioridade estratégica para o EDPB .
EDPB adotou Diretrizes sobre o uso de tecnologia de reconhecimento facial
O EDPB adotou Diretrizes sobre o uso de tecnologia de reconhecimento facial que fornecem orientações aos legisladores da UE e nacionais, bem como às autoridades policiais, sobre como implementar e usar sistemas de tecnologia de reconhecimento facial. Esse tipo de tecnologia está intrinsecamente ligada ao tratamento de dados pessoais, incluindo dados biométricos, e apresenta sérios riscos aos direitos e liberdades individuais, por conta disso, o EDPB salientou que as ferramentas de reconhecimento facial só devem ser utilizadas em estrita conformidade com a Law Enforcement Directive (LED). Nas orientações, a EDPB reitera o seu apelo à proibição da utilização de tais tecnologias em determinados casos, como havia solicitado no parecer conjunto EDPB-EDPS sobre a proposta de Lei da Inteligência Artificial. Mais especificamente, o EDPB considera que deve haver uma proibição de: (i) identificação biométrica remota de indivíduos em espaços acessíveis ao público; (ii) sistemas de reconhecimento facial que categorizam os indivíduos com base em sua biometria em grupos de acordo com etnia, gênero, orientação política ou sexual ou outros motivos de discriminação; (iii) reconhecimento facial ou tecnologias semelhantes para inferir emoções de uma pessoa física; (iv) tratamento de dados pessoais em um contexto de aplicação da lei que dependeria de um banco de dados preenchido por coleta de dados pessoais em grande escala e de forma indiscriminada, por exemplo, por “raspagem” de fotografias e imagens faciais acessíveis on-line, entre outros pontos. As orientações estarão sujeitas a consulta pública por um período de 6 semanas.
França
Em 2021, a CNIL recebeu 14.143 reclamações e finalizou 12.522 . Efetuou 384 verificações/investigações e as infrações constatadas em algumas das investigações levaram à emissão de 135 autos e 18 sanções, resultando em um montante acumulado de multas nunca alcançado antes que ultrapassou os 214 milhões de euros. Paralelamente, a CNIL continuou as suas atividades de controle sobre a segurança dos dados de saúde: realizou 30 novas investigações junto a laboratórios de análises médicas, hospitais, prestadores de serviços e data brokers em saúde, especialmente sobre tratamentos relacionados com a COVID -19 epidemia, sendo que alguns desses procedimentos ainda estão em análise. Por fim, a CNIL emitiu duas sanções públicas contra o Ministério do Interior, relativas ao uso ilícito de drones e má gestão do arquivo automatizado de impressões digitais (FAED).
Reino Unido
ICO emitiu declaração sobre o documentário ‘Inside the Metaverse’ do Channel 4
Um recente documentário “C4 Dispatches – Inside the Metaverse” olhou para o metaverso e como as plataformas se impõem contra usuários que agem de forma inadequada. O programa mostrou exemplos de comportamento racista e sexualmente explícito, incluindo ações dirigidas a crianças. Diante disso, o ICO ponderou que tais questões levantadas provavelmente serão cobertas pela Online Safety Bill, mas que está também avaliando os riscos de proteção de dados dessas novas tecnologias. Nesse sentido, sobre os perigos para o público infantil, um porta-voz do ICO declarou que “Serviços e produtos online que usam dados pessoais e podem ser acessados por crianças são obrigados a cumprir os padrões do nosso Código da Criança. Os serviços devem tomar medidas proporcionais para avaliar a idade dos usuários e fornecer configurações de privacidade padrão altas para crianças ou, alternativamente, aplicar os padrões do código a todos os usuários. Além disso, seguiu afirmando que o ICO continuará a “avaliar os riscos de proteção de dados associados à implantação de tecnologias imersivas novas e emergentes, como realidade virtual e aumentada, bem como a interação entre privacidade e segurança online nesta área”.
México
INAI e INAP assinaram acordo para implementar ações em questões de transparência e proteção de dados
O Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI) e o Instituto Nacional de Administração Pública (INAP) assinaram um Acordo Geral de Colaboração para implementar programas, estratégias, projetos, atividades e eventos específicos na área de transparência, acesso à informação, proteção de dados pessoal, governo aberto, transparência proativa, gestão documentação, arquivos e prestação de contas. Na assinatura do documento, o Comissário Presidente do INAI, Blanca Lilia Ibarra Cadena, destacou a importância de continuar promover a profissionalização de quem trabalha na administração pública, para formar uma nova geração de servidores públicos que trabalham de acordo com a lei e os princípios da transparência governamental. “Este acordo é de grande relevância social e pública, pois permite formar novos quadros de pessoal com a convicção e a compromisso com a ética, integridade e transparência no agenda pública; São questões que hoje fazem parte de uma aspiração, mas também da necessidade de construir confiança e legitimidade entre o governo e a sociedade”, destacou.
Proteção de Dados nas Universidades
Impacto da LGDP nos pedidos de LAI ao governo federal
Fiquem Sabendo; Insper Instituto de Ensino e Pesquisa; Programa de Transparência Pública da Fundação Getúlio Vargas (FGV)
O relatório “Impacto da LGDP nos pedidos de LAI ao governo federal”, realizado pela Fiquem Sabendo (FS), agência de dados especializada no acesso à informações públicas, em parceria com o Insper, está disponível para consulta e download. A pesquisa, que recebeu apoio do Programa de Transparência da Fundação Getúlio Vargas (FGV) e financiamento da Fundação Heinrich Boll, analisou os impactos da Lei Geral de Proteção de Dados no acesso à informações públicas. De acordo com os dados obtidos pela pesquisa, ao menos 84 solicitações, presentes no repositório da CGU, constam como “acessos concedidos”, mas não foram de fato acatadas. Há também situações em que requerentes questionam a negativa através de recurso e recebem como resposta, por exemplo, que a informação não existe nos bancos de dados oficiais. Além disso, chama a atenção a quantidade de pedidos – quase 10% da amostra analisada – sem dados pessoais de identificação e que mesmo assim foram recusadas pelo governo federal com o argumento de que poderiam ferir os preceitos da LGPD. Os casos analisados indicam que em cada quatro pedidos via LAI negados com base na lei de proteção de dados, um é indevido. Dentre os diversos achados da pesquisa, ficou evidente que o uso indevido da LGPD passou a ser uma barreira para obtenção de dados por meio da LAI.
BENTES, Anna Carolina.
Em um contexto sociotécnico marcado por intensa competição por atenção, as plataformas digitais investem em estratégias de formação de hábitos, considerando que isso garante o retorno automático dos usuários. Neste artigo, a autora propõe uma discussão sobre as relações entre as engrenagens do capitalismo de vigilância e a economia da atenção a partir da análise metodológica do “modelo do gancho”, um guia prático de design comportamental que combina mecanismos psicológicos e tecnológicos voltados à formação de hábitos. O “gancho” é entendido como um exemplo emblemático do que chamamos de tecnocomportamentalismo para designar a tecnociência que atualiza referências ao pensamento behaviorista, apontando para a construção de interações homem-computador por meio de princípios condicionantes. Vamos argumentar que no elo inseparável entre o capitalismo de vigilância e a economia da atenção, o tecnocomportamentalismo oferece modelos teóricos e práticos ideais para atingir os objetivos econômicos das plataformas digitais, com o objetivo de engajar. Com um olhar crítico, concluímos que a formação de hábitos tecnocomportamentais articula formas de automatizar a captura da atenção e o controle do comportamento, explorando as vulnerabilidades humanas por meio de mecanismos sutis de influência psicológica e controle fino de estímulos em arquiteturas de escolha de ambientes digitais.
Desafios na inserção da criança e do adolescente na era digital
REQUIÃO, Maurício; NASCIMENTO, Rodrigo.
A era digital vem moldando a cultura da sociedade brasileira. Apesar de trazer benefícios para a sociedade, ela também é um campo fértil de captação massiva de dados pessoais para que as grandes empresas se valham de máquinas preditivas, com a finalidade de influenciar na tomada de decisão dos indivíduos, impactando na sua autonomia. O surgimento do mundo digital fez surgir a denominada sociedade da indignação, onde as pessoas estão constantemente expostas a violências virtuais como o cyberbullying e cyberstalking. Dentro dessa cultura estão inseridas as crianças e os adolescentes que apesar de apresentarem elevado grau de vulnerabilidade, seus dados pessoais possuem a mesma carga de exposição que os dos adultos, tanto no que tange à captação de dados para a comercialização e violação da sua privacidade e autonomia, quanto na exposição da sua imagem na sociedade da indignação. Apesar de o direito dispor de uma série de normas jurídicas, ele vem se mostrando ineficaz e insuficiente para trazer uma proteção efetiva, adequada, resolutiva e integral para esses sujeitos que estão postos em uma nova era de difícil compreensão para toda sociedade, com novas facilidades voltadas para seu prazer e também para sua exploração.
Proteção de Dados no Legislativo
Proposto projeto de lei para dispor sobre a acessibilidade em aplicações de internet
O Projeto de Lei 981/2022, proposto pela Senadora Mara Gabrilli (PSDB/SP), tem como objetivo alterar a Lei Brasileira de Inclusão da Pessoa com Deficiência (Estatuto da Pessoa com Deficiência), para dispor sobre a acessibilidade em aplicações de internet. Entre outros pontos, o PL aponta que deve ser obrigatória a acessibilidade em sítios e aplicações de internet mantidos por empresas com sede ou representação comercial no País para “uso da pessoa com deficiência, garantindo-lhe acesso às informações disponíveis, conforme as melhores práticas e diretrizes de acessibilidade adotadas internacionalmente”.