Seja bem-vinde a mais uma edição do Boletim! Nesta 65ª edição do Boletim, inicialmente, destacamos que a Federal Trade Commission (FTC) está tentando impedir a Meta de adquirir a empresa […]
Seja bem-vinde a mais uma edição do Boletim!
Nesta 65ª edição do Boletim, inicialmente, destacamos que a Federal Trade Commission (FTC) está tentando impedir a Meta de adquirir a empresa “Within Unlimited” e seu popular aplicativo fitness dedicado à realidade virtual, denominado “Supernatural”. Isso porque, a denúncia alega que a Meta é uma potencial participante no mercado de aplicativos de fitness dedicados à realidade virtual, e sua entrada de forma independente no mercado aumentaria a escolha do consumidor, a inovação, além de estimular a concorrência. Para a Autoridade, se a Meta for autorizada a fazer a aquisição em questão, essa pressão competitiva diminuirá, reduzindo a concorrência e violando as leis antitruste.
Ainda no contexto internacional, o European Data Protection Board (EDPB) adotou duas cartas em resposta a Access Now e ao BEUC sobre as movimentações adotadas pelo TikTok, acerca da mudança de base legal para direcionamento de publicidade personalizada, discussão que esteve presente no nosso último Boletim #64. Em tais cartas, o EDPB destaca a rápida ação tomada pelas Autoridades Irlandesa, Italiana e Espanhola após o anúncio do TikTok, apontando que isso seria uma prova do compromisso de salvaguardar os interesses dos usuários do aplicativo e titulares de dados em geral.
Por fim, no Judiciário, o TJ/SP prolatou uma decisão declarando que vazamento de informações sobre gravidez gera dever de indenizar. De acordo com os autos, a autora descobriu em 2020 que estava grávida, mas logo em seguida perdeu o bebê. Poucos dias após o aborto espontâneo, ela recebeu mensagens de um laboratório de criobiologia com uma oferta de coleta e armazenamento de cordão umbilical, sem ela ter fornecido qualquer informação anteriormente. Nesse sentido, para o Tribunal, a gravidez em questão era notadamente “um dado sensível”, como dispõe o artigo 5º, inciso II, da LGPD, o que, dentre outros motivos, culminou na condenação.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Dinamarca
A Autoridade Dinamarquesa de Proteção de Dados avaliou que os benefícios da adesão ao clube de clientes da empresa “Magasin”, em troca do consentimento para marketing, estavam no âmbito de um incentivo que um controlador de dados pode dar para obter o consentimento, sem que o mesmo seja considerado ser contrário à condição de voluntariedade. Além disso, a Autoridade destacou que é possível obter certas vantagens como membro do clube de clientes, mas que, de qualquer forma, existe uma escolha real e livre em relação à possibilidade de comparar ou não os produtos da Magasin em termos gerais. Com base nisso,foi emitido parecer destacando que o tratamento de dados pessoais dos clientes em questão ocorreu em conformidade com o GDPR.
Autoridade Dinamarquesa realizou investigações sobre o uso de nuvem e aplicou disponibilizou o formulário com informações sobre o tema
A Autoridade Dinamarquesa de Proteção de Dados nos últimos meses realizou uma série de inspeções do uso da nuvem por autoridades públicas e empresas privadas. Nesse sentido, as investigações seguem as orientações recentes da Autoridade Norueguesa de Proteção de Dados sobre o uso de serviços em nuvem e devem esclarecer se as autoridades e empresas estão cumprindo as regras. Para tal finalidade, a Autoridade elaborou previamente um questionário para ser utilizado nas inspeções e o enviou às respectivas autoridades e empresas. O questionário está dividido em quatro partes: (i) Conhecimento sobre seus serviços; (ii) Conhecimento sobre seus fornecedores; (iii) Supervisão de fornecedores; (iv) Transferência para países terceiros e pode ajudar os controladores de dados que usam soluções em nuvem a investigar se seu uso está em conformidade com as normas de proteção de dados.
European Data Protection Board
EDPB adotou cartas em resposta a Access Now e ao BEUC sobre o TikTok
O European Data Protection Board (EDPB) adotou duas cartas em resposta a Access Now e ao BEUC sobre o TikTok. Nestas cartas, o EDPB destaca a rápida ação tomada pelas Autoridades de Proteção de Dados Pessoais Irlandesa, Italiana e Espanhola após o anúncio do TikTok de que não solicitaria mais o consentimento expresso dos usuários para enviar publicidade direcionada, mas que a base legal adequada para isso seria o legítimo interesse do TikTok e seus parceiros. Como resultado dessas ações, o TikTok precisou suspender a transição de base legal que estava sendo iniciada. Nesse sentido, o vice-presidente da EDPB, Ventsislav Karadjov, disse: “A suspensão da alteração da base legal prevista é uma prova da determinação das Autoridades de Proteção de Dados e seu compromisso de salvaguardar os interesses dos usuários do TikTok e titulares de dados em geral. Estou confiante de que as Autoridade têm as ferramentas necessárias para proteger os direitos dos titulares e que a cooperação no EDPB garante que isso seja feito de forma eficiente e consistente em todo o Espaço Económico Europeu.”
O European Data Protection Board (EDPB) e a European Data Protection Supervisor (EDPS) adotaram um parecer conjunto sobre a proposta de regulação para prevenir e combater o abuso sexual infantil . A proposta visa impor obrigações relacionadas à detecção, denúncia, remoção e bloqueio de material de abuso sexual infantil (CSAM) online, bem como a solicitação de crianças à provedores de serviços de hospedagem, serviços de comunicação interpessoal, lojas de aplicativos de software, internet serviços de acesso e outros serviços relevantes. A EDPB e a EDPS consideram o abuso sexual de crianças um crime particularmente grave e hediondo, no entanto, destacam, de igual maneira, que as limitações aos direitos à vida privada e à proteção de dados devem respeitar a essência de tais direitos fundamentais e limitar-se ao estritamente necessário e proporcionado. Nesse sentido, a proposta, na sua forma atual, pode apresentar mais riscos para os titulares e para a sociedade em geral do que para os criminosos perseguidos por CSAM. A falta de detalhamento, clareza e precisão das condições para emissão de ordem de detecção de aliciamento infantil, por exemplo, não garante que esses mecanismos serão utilizados apenas para abordagens direcionadas à detecção de CSAM. Existe o risco de que a Proposta se torne a base para uma varredura generalizada e indiscriminada do conteúdo de praticamente todos os tipos de comunicações eletrônicas. Por conta disso, o EDPB e a EDPS emitiram parecer requerendo maiores detalhamentos das medidas que são determinadas pela proposta.
Estado Unidos
A Federal Trade Commission (FTC) está tentando impedir a Meta e seu CEO Mark Zuckerberg de adquirir a empresa “Within Unlimited” e o popular aplicativo fitness dedicado à realidade virtual, denominado “Supernatural”. A Meta, anteriormente conhecida como Facebook, já é um ator importante em todos os níveis do setor de realidade virtual. Nesse sentido, a denúncia alega que a mesma é uma potencial participante no mercado de aplicativos de fitness dedicados à realidade virtual, além de possuir os recursos necessários e uma probabilidade razoável de construir seu próprio aplicativo para competir no mercado, no entanto, optou por tentar comprar a Supernatural. A Autoridade destacou que a entrada independente da Meta aumentaria a escolha do consumidor, aumentaria a inovação, estimularia a concorrência adicional para atrair os melhores funcionários e geraria outros benefícios competitivos. A aquisição da Within pela Meta, por outro lado, eliminaria a perspectiva de tal entrada, amortecendo inovações futuras e rivalidade competitiva. A denúncia alega, ainda, que a mera possibilidade da entrada da Meta provavelmente influenciou a concorrência no mercado de aplicativos de fitness dedicados à realidade virtual. Se a Meta for autorizada a fazer a aquisição em questão, essa pressão competitiva diminuirá, reduzindo a concorrência e violando as leis antitruste, de acordo com a denúncia.
França
As chamadas câmaras “aumentadas” ou “inteligentes” estão em pleno desenvolvimento e levantam inúmeras questões sobre as quais a CNIL é regularmente chamada a se pronunciar. Depois de ter organizado uma consulta pública, a Autoridade publicou a sua posição sobre tal tecnologia e o quadro legal aplicável para estabelecer limites e dar segurança jurídica aos interessados. As câmeras “aumentadas”, que consistem em softwares automatizados de processamento de imagens acoplados a câmeras comuns, permitem não apenas filmar pessoas, mas também analisá-las de maneira automatizada para deduzir determinadas informações e dados pessoais sobre elas. Permitem, por exemplo, contar automaticamente o número de pessoas num local, analisar algumas das suas características (roupa, uso de máscara, etc.), ou ainda identificar determinados comportamentos. No seu documento, a CNIL apontou que a implantação em espaço público desse tipo de tecnologia apresenta novos riscos para a privacidade. Com efeito, uma generalização descontrolada desses dispositivos, por natureza intrusivos, levaria a um risco de vigilância e análise geral no espaço público suscetível de modificar o comportamento das pessoas que circulam na rua ou vão a algumas lojas. A CNIL propõe, assim, uma reflexão global sobre o uso justo de tais ferramentas em espaços públicos, independentemente da legitimidade de cada uso tomado isoladamente. Ela acredita que é necessário estabelecer limites gerais para que essas câmeras nunca sejam usadas com o objetivo de “classificar” as pessoas.
O acesso a determinados sites ou serviços na Internet é reservado a adultos, especialmente com relação, por exemplo, a sites pornográficos. Diante disso, é necessário configurar um sistema para verificar a idade do usuário da Internet. Segundo a CNIL, tais ferramentas, que contribuem para a proteção de crianças e adolescentes, nunca são perfeitamente eficazes, além de poderem representar riscos à privacidade. A CNIL lembra que, como não é possível obter uma eficiência absoluta, devem ser escolhidos sistemas relevantes e seguros para alcançar o melhor resultado possível. A verificação da idade do usuário, com o objetivo de proteger os jovens, é compatível com o GDPR, desde que sejam apresentadas garantias suficientes para minimizar as violações de privacidade e evitar que a verificação da idade seja uma oportunidade para coletar dados adicionais sobre os usuários. Além disso, é aconselhável adotar as medidas necessárias para evitar que os dados sejam capturados por terceiros para uso malicioso (violação de dados biométricos, phishing, usurpação, chantagem, etc.). Com base nisso, a CNIL seguirá analisando as soluções existentes e especifica as condições a respeitar para garantir a sua segurança.
CNIL arquivou decisão sobre cookies envolvendo a Meta, após efetivo cumprimento
Em 31 de dezembro de 2021, além de tê-la condenado a uma multa de 60 milhões de euros, a CNIL ordenou à empresa Facebook Ireland Limited que, no prazo de três meses, permitisse aos usuários do site “facebook.com”, localizado em França, recusar os cookies coletados com a mesma facilidade de que era possível aceitá-los. O descumprimento da decisão levaria a empresa ao pagamento de uma sanção pecuniária de 100.000 euros por dia de atraso. Tendo em conta a resposta dada dentro do prazo por parte da Meta Platforms Ireland Limited, que configurou e adotou um botão de recusa intitulado “Permitir apenas cookies essenciais” acima do botão de aceitação intitulado “Permitir cookies essenciais e opcionais”, culminando no cumprimento da determinação ora proferida, o Comitê Restrito decidiu encerrar o procedimento em 11 de julho de 2022. Com efeito, esta decisão de encerramento não prejudica a análise do CNIL sobre a conformidade das novas janelas de consentimento de cookies implantadas no site “facebook.com” com todas as disposições do artigo 82 da norma sobre Informática e Liberdades, reservando-se, assim, o direito da Autoridade continuar fiscalizando no futuro o cumprimento do site “facebook.com” com estes outros requisitos.
Singapura
A Autoridade de Proteção de Dados de Singapura (PDPC) lançou um Guia sobre Considerações de Proteção de Dados Pessoais para Design de Blockchain, com o objetivo de ajudar as organizações com a adoção desse tipo de tecnologia. No documento, a Autoridade esclarece como cumprir as normas de proteção de dados ao implantar aplicativos blockchain e como garantir um gerenciamento mais responsável dos dados pessoais dos clientes. Clique aqui para saber mais sobre o guia e aqui para o infográfico com informações coletadas.
A Infocomm Media Development Authority (IMDA) e a Autoridade de Proteção de Dados de Singapura (PDPC) lançaram um sandbox de tecnologias de aprimoramento de privacidade (PET) para apoiar as empresas que desejam pilotar projetos PET que abordam desafios comerciais comuns. O PET permite a extração e compartilhamento de insights, enquanto protege dados pessoais e informações sensíveis. Nesse sentido, os participantes do PET Sandbox terão, dentre outros, os seguintes benefícios: (i) Acesso imediato a um painel de fornecedores de soluções PET; (ii) Um conjunto abrangente de suporte, incluindo subsídios e orientações regulatórias para apoiar casos pilotos. Para saber mais sobre como são feitas as inscrições, clique aqui e acesse o release aqui.
México
INAI emitiu recomendações para evitar dados pessoais sejam violados durante o uso Whatsapp
Dado o constante aumento do uso do WhatsApp no México como meio de comunicação e mensagens instantâneas, o Instituto Nacional de Transparência, Acesso à Informação e A Proteção de Dados Pessoais (INAI) emitiu uma série de recomendações para evitar que os dados pessoais do usuários sejam violados e que os mesmos sejam vítimas do uso indevido de suas informações. No país, 95% dos internautas ter pelo menos uma rede social ou plataforma de mensagens instantâneo, de acordo com o 18º Estudo sobre os Hábitos da Usuários da Internet no México 2022, elaborado pelo Associação de Internet MX. O estudo conclui que o WhatsApp é o principal aplicativo de mensagens instantâneas, sendo amplamente utilizado como ferramenta de comunicação; apenas no ano passado 63,3% dos usuários da Internet usaram este aplicativo para videochamadas, por exemplo. Nesse sentido, a Autoridade fez as seguintes recomendações: (i) Configure a privacidade no WhatsApp. Entre na opção Configurações> Conta> Privacidade, para definir quem pode ver sua foto de perfil, suas informações, seus status e o horário da última conexão; (ii) Evite enviar dados confidenciais pelo WhatsApp, mesmo quando se trata de compartilhá-los com contatos conhecidos; (iii) Não abra nenhum arquivo recebido via WhatsApp ou baixado imediatamente depois de acessar um link em uma página da web: pode iniciar a instalação de softwares maliciosos, entre outras recomendações.
O Instituto Nacional de Transparência, Acesso à Informação e a Proteção de Dados Pessoais (INAI) recomendou a adoção de uma postura atenta e cautelosa diante da prática de Malvertising, que consiste no uso de publicidade online para espalhar e instalar malwares ou redirecionar para sites maliciosos, com o objetivo de coletar dados pessoais das vítimas que podem resultar em roubo de identidade e fraudes em geral. O nome Malvertising se origina da expressão “malicious advertising”, termo que descreve a estratégia utilizada por invasores, que usam sites confiáveis para ocultar malwares em janelas pop-up, com o objetivo de infectar o dispositivo em questão. Geralmente são anúncios que prometem grandes recompensas, preenchimento de um formulário de pesquisa e avaliação, ou mesmo a realização de alguma outra tarefa trivial e ao clicar o usuário é infectado. Para reduzir a probabilidade de que as pessoas caiam nesse tipo de engano, o INAI emitiu, dentre outras, as seguintes recomendações: (i) Sempre baixe as atualizações de software do site do fabricante; (ii) Instale um antivírus e verifique se ele está sempre ativo e atualizado; (iii) Use um bloqueador de anúncios, essas são ferramentas projetadas para ocultar ou remover anúncios; (iv) Desative os complementos do navegador, como plug-ins. É possível ajustar as configurações navegador para limitar os plugins que são executados por padrão, entre outras recomendações.
Proteção de Dados nas Universidades
Há muita conversa sobre o Metaverso nos dias de hoje. Isso acontece porque Mark Zuckerberg, uma das pessoas mais ricas e influentes do mundo, decidiu apostar tudo nessa tecnologia. Mas também acontece porque o mundo dos negócios digitais está em busca de novas fontes de lucro. De acordo com algumas pesquisas, como a do ReportLink, por exemplo, o mercado de Metaverso pode valer 758,6 bilhões de dólares em 2026. A consequência é que os investimentos são significativos e influentes, o que gera o seguinte raciocínio “se essas empresas investirem tanto com certeza [adicione aqui sua conclusão preferida]”. Eles são feitos por empresas como Microsoft (70 bilhões de dólares), Meta (o antigo Facebook, 10 bilhões de dólares) ou Google (“apenas” 39,5 milhões de dólares). Fala-se muito sobre isso também porque é supostamente uma nova fronteira onde não há regras. Em vez disso, chegaram regulamentações para dados e inteligência artificial, pelo menos na União Europeia, embora não faltem iniciativas legais, semelhantes ao GDPR e AI Act, nos EUA e em outros lugares. Quando o “gato” legislativo parece ter finalmente pegado o “rato” da inovação pelo rabo, o rato foge e o gato deve retomar a perseguição. E por fim, fala-se muito sobre o Metaverso, não só porque é a notícia típica que faz a notícia, mas também porque é um sonho antigo. É, de fato, uma rede de mundos virtuais, nos quais nos imergimos para desfrutar de uma variedade de experiências sem sair de nossos assentos. Uma realidade desejável, que se adapta a nós, aos nossos desejos e comandos, e não vice-versa. Como não achá-lo fascinante? Mas o que é exatamente o Metaverso? E que questões fundamentais estão subjacentes ao seu desenvolvimento?
Government policies and data protection in Ecuador: ideas around health emergency
ORDÔNEZ, Luís ; CORREA, Quezada
A pesquisa visa demonstrar a necessidade de aprimorar o direito fundamental à proteção de dados por meio da formulação e implementação de políticas públicas no Equador, especialmente no âmbito da saúde. Para tanto, o presente estudo analisou a política pública “Por uma internet segura para crianças e adolescentes”, bem como três decisões do Tribunal Constitucional do país. Nesse sentido, é importante, para os autores, apoiar instâncias que garantam a proteção de dados pessoais e destacar que o tratamento de dados sensíveis pode afetar o exercício dos direitos das pessoas afetadas por emergências sanitárias. Diante de intrusões ilegítimas na privacidade dos indivíduos, as políticas públicas ajudam a fortalecer e gerar programas de prevenção e conscientização sobre a proteção de dados pessoais, tanto regionalmente quanto de maneira mais específica no Equador.
Speak up! legal challenges in the light of the determination of emotion in conducting targeted advertising through a voice recognition device
RACHMANIAR, Adélia
A tecnologia de Inteligência Artificial (IA) continua sendo desenvolvida e começou a surgir em alguns dispositivos e/ou máquinas. A IA pode ser incorporada de várias formas, e uma delas é a tecnologia de reconhecimento de voz. Essa tecnologia que oferece um recurso interativo semelhante ao humano apareceu no iPhone Siri e Amazon Alexa. A tendência crescente também se manifestou quando a Amazon obteve uma nova patente de sua assistente virtual, Alexa, em 2018. De acordo com a patente, o dispositivo inferirá automaticamente a voz do usuário para determinar sua emoção e gerar anúncios direcionados. Essa dinâmica representa um risco de prejudicar a autonomia do usuário, uma vez que o mesmo não consegue deixar suas emoções passarem despercebidas pelo dispositivo. Portanto, a mercantilização da emoção pode desafiar a adequação dos atuais regimes jurídicos, em particular, a proteção de dados e as leis do consumidor, uma vez que ambas têm como principal preocupação proteger a autonomia e a dignidade dos consumidores. Com base nesse panorama, a pesquisa teve como objetivo analisar se as atuais leis europeias de proteção de dados e do consumidor são adequadas para mitigar os riscos representados pela mercantilização da emoção para realizar publicidade direcionada por meio da tecnologia de reconhecimento de voz.
Proteção de Dados no Judiciário
TJ/SP declarou que vazamento de informações sobre gravidez gera dever de indenizar
“Deve-se coibir o procedimento agressivo e atentatório à privacidade adotado por empresas que negociam bancos de dados de seus clientes a terceiros, causando-lhes dano indenizável”. O entendimento foi adotado pela 1ª Câmara de Direito Privado do Tribunal de Justiça de São Paulo para confirmar a condenação de um laboratório pelo uso de dados sensíveis para oferecer seus serviços a uma paciente, que não havia autorizado o compartilhamento de tais informações. A indenização foi arbitrada em R$ 10 mil. De acordo com os autos, a autora descobriu, em dezembro de 2020, que estava grávida, mas perdeu o bebê em fevereiro de 2021. Poucos dias após o aborto espontâneo, ela recebeu mensagens de WhatsApp de um laboratório de criobiologia com uma oferta de coleta e armazenamento de cordão umbilical. A autora alegou não ter fornecido seus dados pessoais, nem informações sobre a gravidez, para o laboratório. Em contestação, a empresa disse que só teria utilizado dados não sensíveis e não sigilosos, referentes apenas ao nome e número de telefone da autora. Não foi esse o entendimento da Justiça ao condenar o laboratório. Segundo o magistrado, a gravidez da autora era notadamente “um dado sensível”, como dispõe o artigo 5º, inciso II, da Lei 13.709/2018, a Lei Geral de Proteção de Dados (LGPD). O dispositivo classifica como dado pessoal sensível qualquer informação referente à saúde das pessoas. Para o relator, o artigo se aplica ao caso dos autos, culminando na mencionada condenação.
