Nessa 22ª edição do Boletim você encontrará o relatório da autoridade belga sobre compreensão do GDPR pelas pequenas e médias empresas, as orientações do EDPS para medição de temperatura corporal, o novo código estatutário da ICO para maior proteção de crianças online e muito mais!
Proteção de Dados nas Autoridades
Autorité de la protection des données – Bélgica
O relatório indica que, em geral, o conhecimento e a compreensão das PME não são tão nítidos em todas as áreas da GDPR. Um grande número de empresas pesquisadas possui conhecimento teórico suficiente sobre as implicações do processamento de dados pessoais no âmbito do GDPR. No entanto, os resultados são díspares em relação aos três temas centrais do projeto: (i) o princípio da transparência; (ii) avaliação do impacto da proteção de dados (DPIA) e (iii) os conceitos de “controlador” e “operador”. Além disso, o relatório revela que as PME têm principalmente dificuldades com os seguintes tópicos: (i) os períodos de retenção de dados pessoais; (ii) o registro das atividades de processamento; (iii) subcontratação com partes externas e (iv) os princípios de privacy by design e privacy by default.
Datatilsynet – Dinamarca
Autoridade dinamarquesa concluiu três auditorias com foco no registro de atividades de tratamento
A autoridade concluiu três inspeções planejadas contra os municípios de Ringkøbing-Skjern, Varde e Holstebro, respectivamente. As inspeções incidiram sobre o cumprimento, por parte dos municípios, da exigência de manutenção de registros das atividades de tratamento, incluindo, em particular, se os registros mantidos municípios poderiam ser usados para os fins em que se baseia tal exigência. Em um dos casos, a autoridade dinamarquesa concluiu que a maioria das listas do município foi preparada de maneira apropriada, pois geralmente fornece uma boa visão geral das atividades de tratamento do município.
Autoridade dinamarquesa reporta uma violação de segurança ocorrida na própria autoridade
No início de agosto, a autoridade dinamarquesa tomou conhecimento de uma violação da segurança de dados pessoais nas instalações da própria Autoridade em Valby. O caso inclui documentos físicos, que podem conter informações confidenciais e sensíveis sobre cidadãos, funcionários, etc. Segundo a autoridade, este material era armazenado eletronicamente nos sistemas, mas foi impresso pelos funcionários da autoridade em ocasiões quando, por exemplo, tiveram de discutir um assunto interno ou revisar um projeto de carta ou nota. O material foi, então, jogado em um recipiente, na crença de que os resíduos de papel seriam triturados. No entanto, um funcionário da autoridade descobriu que, em vez disso, ele foi descartado como lixo comum.
Autoridade dinamarquesa critica exclusão tardia das informações de um cidadão
Um cidadão fez uma queixa à autoridade de que o município de Høje-Taastrup não apagou o registo médico do paciente. O município concordou com o cidadão que o prontuário do paciente fosse excluído, pois a informação havia sido enviada ao município por engano. O município de Høje-Taastrup afirmou que tentou fazer com que o seu operador excluísse as informações e que foram as circunstâncias do operador que dificultaram a exclusão. Em sua decisão, a autoridade dinamarquesa enfatizou que levou quase um ano desde o momento em que os reclamantes solicitaram que o município de Høje-Taastrup solicitasse a exclusão das informações até que isso fosse implementado, e que o município, como controlador, deve garantir que os direitos do titular dos dados sejam respeitados. Isso significa, entre outras coisas, que o controlador deve contratar operadores que possam fornecer as garantias necessárias de que as medidas técnicas e organizacionais adequadas serão tomadas para garantir a proteção dos direitos dos titulares dos dados.
European Data Protection Supervisor – EDPS
Nas suas orientações, o EDPS distingue entre as verificações da temperatura corporal que estão sujeitas à GDPR e as que não são: verificações básicas concebidas apenas para medir a temperatura corporal e operadas manualmente e não seguidas de registo, documentação ou outro tratamento de dados pessoais de indivíduos, em princípio, não estão sujeitos ao regulamento. Estão sujeitos ao Regulamento os demais sistemas de controle de temperatura, operados manualmente ou automaticamente, seguidos do tratamento de dados pessoais dos indivíduos. Dependendo das capacidades de processamento dos sistemas usados para realizar verificações de temperatura corporal, medidas adicionais de proteção de dados precisam ser implementadas. A proteção de dados by design e by default também significa que as instituições europeias devem projetar verificações de temperatura corporal de forma que a quantidade de dados pessoais coletados seja minimizada.
Office of the Data Protection Ombudsman – Finlândia
Nas reclamações, os titulares dos dados relataram ter recebido mensagens de marketing direto da empresa sem consentimento. De acordo com a lei finlandesa, o marketing direto só pode ser direcionado a pessoas físicas que tenham dado seu consentimento prévio. De acordo com o artigo 4.º da GDPR, o consentimento deve ser uma indicação livre, específica, informada e inequívoca dos desejos do titular dos dados. Alguns dos titulares dos dados responderam à mensagem de marketing enviada como SMS, conforme solicitado pelo controlador, a fim de proibir o marketing direto. Apesar da proibição, os titulares dos dados ainda receberam novas mensagens de marketing direto. Portanto, o controlador não conseguiu implementar o direito de retirada do consentimento de acordo com o GDPR.
CNIL – França
Autoridade francesa publica carta para garantir maior transparência nas atividades do órgão
Devido aos riscos particularmente elevados da supervisão exercida pela autoridade, ela considera essencial que as organizações envolvidas compreendam o andamento dessas investigações e saibam como a CNIL pode intervir. O objetivo da Carta de Supervisão CNIL é, portanto, relembrar, com a maior precisão possível, os direitos e obrigações dos órgãos sujeitos à supervisão, especialmente no que diz respeito à GDPR. A CNIL especifica também o andamento e as consequências de uma fiscalização, qualquer que seja a sua forma, bem como os princípios de boa conduta a seguir neste contexto.
Garante per la Protezione dei Dati Personali – Itália
Em consideração a alguns episódios recentes de exposição de menores nos meios de comunicação, também por ocasião de reportagens relativas às férias de verão, a autoridade italiana lembrou a todos os meios de comunicação que a legislação sobre a proteção de informações pessoais no campo jornalístico estabelece garantias específicas para a proteção de menores. Em particular, a fim de proteger sua personalidade, é necessária a adoção de cuidados especiais para evitar a exposição dos menores à divulgação de informações que lhes digam respeito, inclusive de sua imagem, com consequências negativas que podem repercutir em seu desenvolvimento.
Autoriteit Persoonsgegevens – Holanda
Autoridade holandesa publica resultados iniciais de pesquisa sobre cidades inteligentes
A pesquisa se concentra no tratamento de dados pessoais em espaço público com sensores e outras tecnologias. A autoridade mapeou como os municípios lidam com a privacidade de residentes e visitantes. Nesse ínterim, um grupo diversificado de municípios, espalhados em tamanho e localização, forneceram informações para o estudo. Durante a investigação, a autoridade solicitou os DPIAs de aplicativos de cidades inteligentes, entre outras coisas, e aconselhou que as cidades: (i) prestem atenção na qualidade do seu DPIA. Indiquem claramente quais dados são tratados na prática com, por exemplo, sensores e câmeras; (ii) mantenham seu DPIA atualizado. Verifiquem de vez em quando se o tratamento ainda é o mesmo. Pode ser necessário revisar o DPIA em caso de alterações e (iii) envolvam os cidadãos no desenvolvimento de aplicativos de cidades inteligentes e peçam sua opinião antes do início do projeto.
Datatilsynet – Noruega
Autoridade norueguesa multa Administração Pública de Estradas da Noruega
A autoridade norueguesa deu à Administração Pública de Estradas da Noruega uma multa de NOK 400 mil por ter tratado dados pessoais para fins incompatíveis com a finalidade original e por não excluir as gravações das câmeras após 7 dias. Informações pessoais foram amplamente coletadas por câmeras fixas nas estradas para monitorar contratados, funcionários, subcontratados e funcionários dos subcontratados.
ICO – Reino Unido
Autoridade britânica publica código estatutário para proteção de crianças online
O código exige que as organizações forneçam melhor proteção à privacidade das crianças e se aplica para as organizações que fornecem serviços e produtos online que podem ser acessados por pessoas de até dezoito anos. O código estabelece quinze pontos que devem ser seguidos por desenvolvedores de produtos online e como estes devem cumprir o regulamento de proteção de dados. A autoridade deu o prazo de um ano para as mudanças necessárias.
O documento apontou para um crescimento da confiança em relação ao NHS, serviços financeiros, telecomunicações e provedores de serviços públicos. Segundo o relatório, a confiança permanece bastante consistente e a proporção de pessoas com alta confiança teve pequena queda,, enquanto a proporção de pessoas com baixa confiança também diminuiu. Para Elisabeth Denham, Comissária de Informação e Informação do Reino Unido, “O que está claro é que devemos continuar promovendo o valor da proteção de dados. Talvez não seja surpresa que as pessoas que tiveram uma experiência negativa com a perda ou roubo de seus dados tenham menos confiança e segurança nas organizações que usam seus dados de forma mais ampla: um pequeno número de organizações com baixo desempenho pode ter um grande impacto na confiança.”.
Proteção de Dados nas Universidades
Digital Contact-Tracing for COVID-19: A Primer for Policymakers
Rhema Vaithianathan, Matthew Ryan, Nina Anchugina, Linda Selvey, Tim Dare, Anna Brown.
O artigo destina-se a formuladores de políticas e fornece uma introdução sobre como funciona o rastreamento de contato digital, incluindo um modelo simplificado de seus fundamentos epidemiológicos, e explora como obter uma maior aceitação para o uso da tecnologia no contexto de uma saúde pública de emergência, bem como meios para a realização de uma avaliação robusta e transparente para que o usuário possa julgar por si mesmo se o download e uso do aplicativo “valem o esforço”.
Bárbara Krumai, Jennifer Klar.
As políticas de privacidade tornaram-se uma ferramenta importante para se comunicar com os usuários nos sites das empresas e informá-los sobre como e para que finalidade dados privados são coletados. Nessas políticas de privacidade, os aspectos sociais, jurídicos e técnicos devem ser explicados de forma clara e compreensível. No entanto, como as questões jurídicas e técnicas muitas vezes exigem uma linguagem especializada específica, as organizações precisam encontrar uma solução para transferir as informações de uma maneira que os usuários possam compreendê-las. O artigo investiga sete abordagens quantitativas para medir a legibilidade, aplicando-as às políticas de privacidade de diferentes empresas. Com base nos resultados, o artigo descreve uma abordagem para medir a legibilidade das declarações de privacidade.
Proteção de Dados no Legislativo
Senado exclui da MP 859/2020 o adiamento da vigência da LGPD
Foi decidido que a Medida Provisória continua em vigor até a sanção do projeto de lei de conversão pelo Presidente da República. Nesse sentido, a Lei Geral de Proteção de Dados só poderá entrar em vigor após a sanção do projeto, que tem o prazo de quinze dias úteis para ocorrer.
No dia 27 de agosto, foi proposto, pelo Dep. Fed. Wolney Queiroz do PDT, projeto de lei que altera a Lei Geral de Proteção de Dados e o Marco Civil da Internet para restringir o acesso, tratamento e compartilhamento de dados de consumidores por empresas de proteção ao crédito. Atualmente o projeto encontra-se em Mesa Diretora.
Proteção de Dados no Judiciário
O relator Alexandre Coelho deu provimento ao Agravo de Instrumento nº 2192571-14.2020.8.26.0000 interposto pela Google alegando o cumprimento parcial de obrigação de fornecimento de dados de IP. Segundo a empresa, parte dos dados, especificamente aqueles provenientes da França, não poderiam ser fornecidos segundo o Regulamento europeu. O desembargador acatou o recurso, alegando que não houve ingerência da empresa e que, de fato, a obrigação era impossível de ser cumprida, sob pena de ferir a jurisdição, soberania e intimidade de residentes da Europa.
