Seja bem-vinde a mais uma edição do Boletim! Nesta 70ª edição do Boletim, no contexto brasileiro, destacamos que Autoridade Nacional de Proteção de Dados prorrogou o prazo de duas tomadas […]
Seja bem-vinde a mais uma edição do Boletim!
Nesta 70ª edição do Boletim, no contexto brasileiro, destacamos que Autoridade Nacional de Proteção de Dados prorrogou o prazo de duas tomadas de subsídios que estavam abertas para contribuições: (i) sobre o tratamento de dados pessoais em larga escala e de alto risco; (ii) hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes.
No contexto internacional, a Meta anunciou publicamente na Itália que lançou uma campanha de informação dirigida a usuários adultos italianos, que teria como objetivo combater a interferência e remover conteúdo que desencoraja a votação durante o período eleitoral no país. Com isso, a Autoridade Italiana solicitou esclarecimentos sobre as atividades realizadas pela empresa, para compreender de forma mais detalhada o que está sendo feito.
Também sobre o período eleitoral, a Autoridade Norueguesa publicou novas orientações que devem ser cumpridas pelos autores políticos durante as eleições no país, as quais concentram-se principalmente nas técnicas de segmentação e amplificação utilizadas para difundir mensagens na Internet.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
A Coordenação-Geral de Normatização da ANPD prorrogou o prazo da consulta referente à tomada de subsídios sobre o tratamento de dados pessoais em larga escala e de alto risco. Com data prevista para encerramento no dia 28/09/2022, a pesquisa terá mais 30 (trinta) dias para o envio de contribuições e tem como objetivo subsidiar o aprofundamento do tema pela Autoridade, para que se possa trazer mais clareza à definição de tratamento de alto risco para os agentes de tratamento e titulares de dados. A justificativa para o adiamento do prazo da pesquisa dá-se pela necessidade de maior possibilidade de aprofundamento e prazo para os diversos setores da sociedade contribuírem. Acesse a pesquisa na Plataforma Participa + Brasil
Foi adiado até 07/11 o prazo para envio de contribuições referentes ao enunciado de hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes. A Coordenação-Geral de Normatização ampliou o prazo da tomada de subsídios em função da necessidade de maior aprofundamento no tema e para que os diversos setores da sociedade possam contribuir. Para enviar suas sugestões acesse a Plataforma Participa + Brasil disponível neste link.
Argentina
A Autoridade de Acesso à Informação Pública, no âmbito do processo participativo, aberto e transparente que vem realizando, publicou em seu site a Resolução AAIP 145/2022 por meio da qual iniciou a consulta pública sobre a proposta de atualização da Lei 25.326 sobre a Proteção de Dados Pessoais. Durante este processo de consulta, foram recebidos pedidos de prorrogação de prazos para apresentação de propostas e pareceres sobre a minuta da Autoridade. Com base nisso, e com o objetivo de garantir a participação efetiva dos cidadãos, a Autoridade prorrogou os prazos da consulta pública. Até agora, foram recebidas mais de 70 propostas e pareceres sobre o texto do anteprojeto da Lei de Proteção de Dados Pessoais, enquanto 10 comentários informais foram feitos e publicados no site. Para enviar contribuições, basta entrar no formulário de consulta.
Espanha
A diretora da Autoridade Espanhola (AEPD), Mar España, e a presidente da Associação de Mulheres do Setor Público (MSP), Concepción Campos, assinaram um Protocolo de Ação Geral com o objetivo de promover a presença das mulheres em atividades que promovam o desenvolvimento tecnológico, em especial, demandas atreladas à privacidade, proteção de dados pessoais e igualdade de gênero. Além disso, a Mulher no Setor Público manifestou sua disposição de aderir ao Pacto Digital para a proteção das pessoas, um grande acordo de convivência cidadã promovido pela Autoridade que promove um compromisso com a privacidade nas políticas de sustentabilidade e modelos de negócios das organizações, compatibilizando o direito fundamental à proteção de dados com a inovação, ética e competitividade empresarial. De igual maneira, o protocolo contempla que o MSP colabore nas atividades da Autoridade, especialmente a divulgação do Canal Prioritário e os materiais e ferramentas sobre igualdade de gênero e combate à violência de gênero. Por seu lado, a AEPD apoiará o Congresso MSP anual e as conferências, seminários ou workshops que a associação organiza e coopera na realização de estudos e publicações de interesse de ambas as partes.
França
O General Data Protection Regulation (GDPR) torna obrigatória a nomeação de um responsável pela proteção de dados em determinados casos, especialmente quando o tratamento de dados pessoais é realizado por uma autoridade ou órgão público (artigo 37.º do GDPR). Assim, esta obrigação diz respeito a todas as autarquias locais, independentemente da sua dimensão. Em 25 de abril de 2022, o presidente da Autoridade Francesa (CNIL) publicou notificações formais direcionadas a 22 municípios que não haviam nomeado um responsável pela proteção de dados (DPO), dando um prazo de 4 meses para solucionar a situação. No período estabelecido, 18 municípios estavam em conformidade, enquanto 02 estão em processo de nomeação e outros 02 ainda não responderam à CNIL, nem nomearam um DPO através do serviço online que lhes foi disponibilizado em cnil.fr. Diante desses elementos, para os municípios que não cumpriram o aviso formal, o presidente da CNIL declarou que pode instaurar procedimento para que sejam proferidas outras medidas corretivas, se necessário, como multa ou liminar sob pena.
Itália
A Autoridade Italiana enviou ao Facebook Itália (Meta) um pedido urgente de esclarecimento sobre as atividades realizadas pela rede social em relação às próximas eleições para a renovação do Parlamento italiano. Nesse sentido, a Meta, empresa que administra o Facebook, anunciou publicamente que lançou uma campanha de informação dirigida a usuários adultos italianos, que teria como objetivo combater a interferência e remover conteúdo que desencoraja a votação. A Autoridade, também à luz da anterior sanção imposta à empresa para o caso “Cambridge Analytica” e o projeto “Candidates”, lançado para as eleições de 2018, lembra que é necessário prestar especial atenção ao tratamento de dados adequados para divulgação de opiniões políticas das partes interessadas e respeito à liberdade de expressão. A partir disso, a Meta deve fornecer informações mais detalhadas sobre a iniciativa empreendida (natureza e os métodos de tratamento de dados sobre quaisquer acordos destinados ao envio de lembretes/mensagens), bem como sobre as medidas tomadas para garantir, conforme anunciado, que a iniciativa seja levada ao conhecimento apenas do público adulto.
A Autoridade Italiana deu parecer favorável ao projeto de decreto legislativo para a reforma do processo penal da Itália (reforma “Cartabia”), no entanto, foram sugeridas maiores garantias para os dados dos acusados e todas as outras pessoas envolvidas em processos criminais. O texto inicial do decreto propõe muitas inovações que têm um impacto significativo no tratamento de dados pessoais dos cidadãos: por exemplo, com relação ao nível da criação, notificação e comunicação de documentos, no acesso das gravações audiovisuais e participação remota em determinados atos, como audiências judiciais. Ao manifestar o seu parecer, a Autoridade sugeriu, no entanto, que o Governo adote mais salvaguardas no tratamento de dados particularmente sensíveis, como os dados judiciais. De igual maneira, o ente também aproveitou a oportunidade para requerer que as disposições de implementação previstas pelo decreto legislativo fossem levadas ao seu conhecimento, a fim de adequar seu conteúdo às normas de proteção de dados. Por fim, a Autoridade propôs a introdução de uma proteção mais eficaz para os indivíduos que sejam absolvidos, definindo duas novas formas de “esquecimento”, alinhadas ao princípio constitucional da presunção de inocência, quais sejam: (i) a garantia da desindexação preventiva das medidas judiciais para possibilitar a retirada do nome de suspeitos e acusados das buscas realizadas por meio de mecanismos “generalistas”; (ii) a possibilidade de que os sujeitos envolvidos solicitem a retirada dos seus dados contidos na prestação da indexação, ex post.
Noruega
Autoridade Norueguesa comemora mês da segurança cibernética com Hotline e dicas diárias
Considerando que outubro é o mês nacional da segurança cibernética na Noruega, a Autoridade Norueguesa irá criar uma hotline sobre segurança de dados pessoais, por meio da qual os cidadãos poderão ter a oportunidade de falar diretamente com um dos consultores de segurança de TI da entidade, que trabalham com o tema. Além disso, a Autoridade também compartilhará diariamente em seu site a “Dica de segurança de hoje”, que vai tratar sobre diferentes tipos de orientações, como, por exemplo, o que pode ser feito para evitar as violações de segurança de dados pessoais que são frequentemente relatadas à autoridade supervisora.
Autoridade Norueguesa publicou novas orientações sobre sobre campanhas eleitorais
A Autoridade Norueguesa de Proteção de Dados está publicando orientações direcionadas a atores políticos com relação às normas do GDPR que são relevantes para campanhas eleitorais. Atualmente, as mensagens políticas e o marketing político são divulgados digitalmente por meio dos canais de comunicação digital disponíveis, possibilitando uma infinidade de oportunidades para alcançar grupos e segmentos de eleitores que podem ser selecionados com base nas características exclusivas desses grupos específicos. É possível, devido à grande quantidade de informações que são coletadas e analisadas, realizar inferências precisas sobre as pessoas para as quais você deseja direcionar seu marketing, no entanto, quando tais análises são realizadas com base em dados pessoais, o GDPR deve ser cumprido. Nesse sentido, a Autoridade Norueguesa publicou novas orientações que descrevem os principais pontos da norma que devem ser cumpridos pelos atores políticos, as quais concentram-se principalmente nas técnicas de segmentação e amplificação utilizadas para difundir mensagens na Internet.
Autoridade Norueguesa se pronunciou sobre transferência internacional de dados pessoais para os EUA
O presidente dos EUA, Joe Biden, emitiu uma “ordem executiva” para implementar o acordo sobre a transferência de dados pessoais entre a União Europeia e os Estados Unidos, que foi firmado na primavera. No entanto, a Autoridade Norueguesa destacou que a publicação do decreto americano não significa que as empresas e entidades do país já possam transferir dados pessoais para os EUA sem uma base de transferência e cumprimento dos requisitos decorrentes da decisão Schrems II. Isso porque, ainda resta pendente o próximo passo que consiste na Comissão da UE, seguindo um procedimento especial que também inclui a consulta ao Conselho Europeu de Proteção de Dados, decidir se uma avaliação de adequação pode ser feita. Para que isso aconteça, a coleta de dados pessoais deve ser proporcional e limitada ao estritamente necessário, e os cidadãos da UE que têm seus dados pessoais processados pelos serviços de inteligência dos EUA devem ter acesso a recursos legais eficazes, incluindo um órgão de recurso independente.
Reino Unido
Começar a universidade ou o ensino superior pode ser um momento emocionante, mas para alguns também pode ser uma transição difícil e que gera muita ansiedade. As universidades e faculdades, então, trabalham para fornecer apoio aos alunos que estão com dificuldades, o que acaba implicando em uma coleta de informações confidenciais sobre eles. Diante disso, muitas vezes existe um receio de compartilhar os dados pessoais dos alunos em uma situação de urgência ou emergência, citando a proteção de dados como o problema, o que não deveria ser o caso, conforme aponta o Information Commissioner ‘s Office (ICO). A Lei de Proteção de Dados permite que as organizações compartilhem dados pessoais em uma situação de urgência ou emergência, inclusive para ajudá-las a evitar a perda de vidas ou danos físicos, emocionais ou mentais graves. Assim, para ajudar as universidades e faculdades, o ICO organizou as seguintes orientações práticas: (i) Planejar com antecedência as medidas a serem adotadas; (ii) Realizar treinamento da equipe de colaboradores; (iii) Possuir um acordo de compartilhamento de dados em vigor. Mais detalhes sobre cada etapa, podem ser conferidos no site da ICO.
O Information Commissioner’s Office (ICO) multou a Easylife Ltd em £ 1.350.000,00 por usar informações pessoais de 145.400 clientes para prever sua condição médica e direcioná-los com produtos relacionados à saúde sem seu consentimento. A empresa também foi multada em £ 130.000,00 por fazer 1.345.732 ligações predatórias de marketing direto. Easylife é um varejista de catálogo que vende itens domésticos, bem como serviços e produtos em seus clubes de saúde, automóveis e jardinagem. A investigação do ICO descobriu que, quando um cliente comprava um produto do catálogo do Easylife Health Club, a empresa fazia suposições sobre sua condição médica e, em seguida, direcionava anúncios ou realizava ligações para comercializar produtos relacionados à saúde para eles sem seu consentimento. Por exemplo, se uma pessoa comprasse um abridor de potes ou uma bandeja de jantar, a Easylife usaria esses dados de compra para presumir que essa pessoa teria artrite e, em seguida, ligaria para o indivíduo para comercializar adesivos de glucosamina para articulações. Devido a esses e outros fatores, foram aplicadas as multas.
Proteção de Dados nas Universidades
Dados, regulação e fronteiras do metaverso: a urgência por parcimônia
MENDONÇA, Júlia; RIELLI, Mariana.
Quando se trata do tão famoso metaverso, sempre existem muitas dúvidas, inclusive sobre a sua definição. Seria um único metaverso, ou estaríamos tratando, em verdade, de metaversos no plural? Quais as tecnologias envolvidas? O metaverso pertencerá a uma única empresa, ou vai destravar novas competições entre as big techs, como já tem sido noticiado? São diversas perguntas que permeiam o tema e precisam ser amadurecidas. Alguns desses temas foram debatidos no Webinário “Dados, regulação e fronteiras do Metaverso”, organizado pela Associação Data Privacy Brasil de Pesquisa, somada a algumas outras reflexões teóricas culminaram nesse texto crítico escrito por Júlia Mendonça e Mariana Rielli.
Educação em um cenário de plataformização e de economia de dados: problemas e conceitos
COMITÊ GESTOR DA INTERNET (CGI)
Com a pandemia COVID-19, escolas, alunos e professores tiveram que se adequar ao ensino remoto, até então pouco adotado no Brasil, e passaram a utilizar plataformas tecnológicas estrangeiras, fenômeno conhecido como “plataformização da educação”. Em tempos de uma economia global baseada em dados, quais são os problemas e os desafios que este cenário traz? Como os dados e as produções de alunos, docentes e pesquisadores são armazenados, utilizados e compartilhados? Para discutir e responder a essas e outras importantes questões, o Grupo de Trabalho sobre Plataformas na Educação Remota do Comitê Gestor da Internet no Brasil (CGI.br) lançou o estudo “Educação em um cenário de plataformização e de economia de dados: problemas e conceitos“. Trata-se do primeiro documento de uma série que reunirá três volumes, que pretendem analisar as preocupações e possíveis providências relacionadas ao destino e armazenamento dos dados de usuários das plataformas utilizadas no ensino. Dentre os problemas apontados, estão a falta de transparência das soluções adotadas por instituições de ensino, bem como a ausência de autonomia nacional em termos de infraestrutura tecnológica de suporte ao ensino e à pesquisa e também falhas relacionadas ao uso comercial dos dados de alunos brasileiros, assim como a vigilância de suas atividades educacionais.
Proteção de Dados no Legislativo
O Projeto de Lei nº 2556/2022, proposto pelos Deputados Tiago Andrino (PSB/TO) e Felipe Carreras (PSB/PE), tem como objetivo determinar o monitoramento de vídeo nos locais onde se executam procedimentos de saúde com sedação de pacientes, estabelecer critérios, tipificar a conduta de exposição não autorizada das imagens produzidas e determinar a criação de canal exclusivo para apresentação de denúncias. Dentre outros pontos, o projeto determina que as imagens do monitoramento de vídeo deverão “registrar de forma ampla o paciente submetido ao procedimento de saúde, e não apenas parte do seu corpo, iniciando-se a gravação no ato da sedação e terminando após a passagem dos seus efeitos ou quando da entrega do paciente ao acompanhante”. Atualmente, o projeto encontra-se aguardando despacho do Presidente da Câmara dos Deputados.
Aprovada na Câmara MP 1124/2022 que transforma ANPD em autarquia de natureza especial
A Medida Provisória (MPV) nº 1.124, de 13/6/2022, publicada no Diário Oficial da União em 14/6/2022, promove alterações na Lei n° 13.709, de 13/6/2022 (Lei Geral de Proteção de Dados Pessoais (LGPD), para: (i) transformar a Autoridade Nacional de Proteção de Dados (ANPD) em autarquia de natureza especial; (ii) estabelecer medidas necessárias para viabilizar o funcionamento da nova entidade da Administração Indireta. A partir disso, o Relator Deputado Jerônimo Goergen, em nome da Comissão Mista formada para a análise das medidas provisórias da sessão respectiva da Câmara dos Deputados, decidiu, quanto ao mérito pela aprovação da Medida Provisória nº 1.124/2022 e pela rejeição das Emendas apresentadas. Agora a MPV segue para votação no Senado Federal.
