Car@ leitor@, Na 28ª edição do Boletim, destacamos as nove publicações recentes das autoridades de proteção de dados europeias, os dois artigos científicos selecionados pela curadoria da equipe, sobre a […]
Car@ leitor@,
Na 28ª edição do Boletim, destacamos as nove publicações recentes das autoridades de proteção de dados europeias, os dois artigos científicos selecionados pela curadoria da equipe, sobre a governança de dados e sobre a base legal do consentimento, o Projeto de Lei que imuniza isentar organizações religiosas da LGPD e a decisão contra a empresa Serasa.
Nesta edição, damos ênfase ao posicionamento do European Data Protection Board quanto à anulação temporária de alguns trechos da Diretiva Privacidade Eletrônica 2002/58/CE para fins de combate à violência contra crianças e adolescentes online. O órgão se posicionou contra à anulação, alegando que os princípios da proporcionalidade e razoabilidade haviam sido feridos, na medida em que o risco à privacidade dos usuários das plataformas digitais não seria razoável para a finalidade especificada pela justificativa da anulação.
Salientamos, ainda, que o Projeto de Lei proposto pelo Deputado Federal Alex Santana do PDT e que busca acrescentar as entidade religiosas ao rol de imunidade proposto pelo art. 4º da LGPD quebra com o racional da LGPD, que é justamente ser uma lei geral que alcança o uso de dados nas mais diferentes atividades do cotidiano. Não fica claro, ainda, o que o legislador quis determinar por “dados religiosos”, não sendo compreensível se tais dados são apenas aqueles que dizem respeito à orientação religiosa das pessoas ou se são todos os dados que um indivíduo possa fornecer a uma entidade religiosa para diferentes finalidades. Esse não é o primeiro e nem será o último projeto de lei que buscará isentar algum setor econômico da LGPD.
Quanto à decisão que determinou a suspensão de venda de dados pessoais pela Serasa, é mais um indicativo de que o processo de fiscalização da LGPD pode se fragmentar com a atuação de várias entidades do Sistema Nacional de Defesa do Consumidor. Na decisão, o magistrado afirma que apenas o consentimento pode ser utilizado como base legal para a atividade realizada pela empresa, no entanto, há de se observar que a LGPD propõe um rol mais extenso de bases legais que podem ser adotadas.
Desejamos à todas e a todos uma ótima leitura!
Bruno Bioni, Iasmine Favaro & Mariana Rielli
Proteção de Dados nas Autoridades
República Tcheca
Autoridade tcheca repudia uso de mecanismos de contato com o cliente para fins publicitários
O governo tcheco adotou, a fim de remediar os efeitos da quarentena, iniciativa que visa apoiar a solução eletrônica de faturas, avisos, contratos, certificados ou encomendas de forma a substituir integralmente a habitual correspondência escrita entre cidadãos, empresários ou empresas. No entanto, a Autoridade alerta sobre o uso abusivo da ferramenta, para enviar mensagens comerciais não solicitadas aos titulares dos dados. O Ministério do Interior tcheco (equivalente ao Ministério da Justiça no Brasil) impôs uma multa de 4,5 milhões de coroas a 20 empresas pela prática abusiva. O diretor da Autoridade apontou que “as mensagens enviadas por meios eletrônicos devem ser usadas para correspondência padrão. Qualquer uso indevido desses meios é, portanto, ruim, mas especialmente em tempos de emergência, abusar do serviço excepcional gratuito desse serviço é inaceitável”.
Após apuração, a Autoridade concluiu que, no âmbito da implementação de programas de consulta e legislação, em 2018 e 2019 verificou-se que os agentes de tratamento não utilizavam de forma adequada e correta os novos instrumentos de proteção de dados pessoais introduzidos pelo GDPR. Segundo a Autoridade, os agentes estão principalmente interessados na abordagem básica para definir agendas mais complexas com dados pessoais, especialmente no processamento de avaliações de impacto da proteção de dados pessoais (DPIA).
A pesquisa mostrou que, em muitos casos, os peticionários não são muito claros sobre a estrutura do DPIA. Muitas vezes, as entidades apenas realizaram uma avaliação verbal sem informações específicas sobre a descrição de ameaças, implicações para a privacidade e medidas técnicas e organizacionais propostas.
O material é uma metodologia e a Autoridade recomendou sua aderência. No entanto, se a entidade escolher uma metodologia diferente, mas o DPIA resultante cobrir os requisitos obrigatórios do GDPR, é permitido o uso da metodologia alternativa. A Metodologia completa do Relatório de Impacto à Proteção de Dados pessoais criado pela Autoridade tcheca pode ser encontrada aqui.Essa é uma questão que ainda está em aberto na Lei Geral de Proteção de Dados, na medida em que a Autoridade Nacional de Proteção de Dados, recentemente consolidada, ainda não expressou quais seriam as diretrizes para a produção de um DPIA. Ao observar essa lacuna, nós, da Associação Data Privacy Brasil de Pesquisa, elaboramos uma contribuição para a consulta pública sobre inteligência artificial em que destacam-se diretrizes para a elaboração de um DPIA e sua importância para garantir a proteção de dados pessoais.
Dinamarca
Autoridade dinamarquesa critica município por não relatar vazamento de dados
Com base em uma reclamação, a Autoridade dinamarquesa criticou o Randers Municipality por enviar uma carta de demissão a um funcionário errado, e, nesse sentido, não cumpriu com o requisito de medidas de segurança adequadas. A rescisão proposta continha informações sobre as condições de saúde do reclamante e a filiação sindical. Além disso, com base na queixa, a Autoridade dinamarquesa teceu críticas ao município de Randers não ter comunicado a violação de segurança à algum órgão de fiscalização e o município não notificou queixas sobre a violação no tempo devido.
Como razão para a não comunicação da violação, Randers Municipality afirmou que a violação – na opinião do município – deve ser considerada como uma questão interna ao município. As diretrizes da Autoridade dinamarquesa sobre como lidar com violações de segurança de dados pessoais mencionam um exemplo de violação em que um funcionário de RH inadvertidamente envia recibos de pagamento e contratos de trabalho para um funcionário incorreto da empresa. Parece, neste contexto, a partir do exemplo que, em tal caso, a violação não tem necessariamente de ser relatada à Autoridade, e que a empresa pode avaliar se a violação não envolve um risco para o titular dos dados, uma vez que é um violação interna, e que a empresa tenha grande confiança no funcionário em questão. A este respeito, a Autoridade enfatizou que – tendo em vista a natureza confidencial do documento e que o documento continha informações sobre a saúde dos reclamantes e filiação sindical – havia um risco especial de perda de reputação e confidencialidade para os reclamantes em relação ao pretendido a demissão que foi encaminhada para outro funcionário no local de trabalho.
EDPS
Parecer Preliminar 8/2020 sobre o European Health Data Space
Em 19 de fevereiro de 2020, a Comissão Europeia apresentou a sua Comunicação sobre “Uma estratégia europeia para os dados”. Esta comunicação visa a criação de um repositório de dados na área da saúde, nomeado como European Health Data Space (EHDS), apresentado como uma ferramenta essencial para a prevenção, detecção e cura de doenças, a fim de aumentar a eficácia, acessibilidade e sustentabilidade dos sistemas de saúde. Embora a EDPS apoie fortemente os objetivos de promoção do intercâmbio de dados de saúde e de fomento da investigação médica, destaca a necessidade de definir salvaguardas de proteção de dados desde o início da criação do EHDS. Assim, com o parecer preliminar, a Autoridade destaca os elementos essenciais que devem ser considerados no desenvolvimento da EHDS do ponto de vista da proteção de dados.
A Autoridade reforça a importância do estabelecimento de uma base legal bem pensada para as operações de tratamento do EHDS, em consonância com o artigo 6.º, n.º 1, do GDPR e recorda também que esse tratamento deve cumprir o artigo 9.º do Regulamento para o tratamento de categorias especiais de dados. Além disso, a Autoridade salienta que, devido à sensibilidade dos dados a tratar no EHDS, os limites do que constitui um tratamento legal e um tratamento posterior compatível dos dados devem ser claros para todas as partes interessadas envolvidas. Portanto, a transparência e a disponibilidade pública das informações relacionadas ao processamento no EHDS serão fundamentais para aumentar a confiança do público no sistema.
A Autoridade instou, também, a Comissão a esclarecer as funções e responsabilidades das partes envolvidas e a identificar claramente as categorias precisas de dados a disponibilizar ao EHDS. Além disso, propôs que os Estados membros estabeleçam mecanismos para avaliar a validade e a qualidade das fontes de dados. Reforçou, ainda, a importância de dotar o EHDS de uma infraestrutura de segurança abrangente, incluindo medidas de segurança organizacionais e técnicas de última geração para proteger os dados inseridos no EHDS. Neste contexto, lembra que as Avaliações de Impacto da Proteção de Dados podem ser uma ferramenta muito útil para determinar os riscos das operações de processamento e as medidas de mitigação que devem ser adotadas.
A EDPS está convicta de que o sucesso do EHDS dependerá do estabelecimento de um mecanismo de governança de dados forte que ofereça garantias suficientes de uma gestão lícita, responsável e ética alicerçada nos valores da UE, incluindo o respeito pelos direitos fundamentais. O mecanismo de governança deve regular, pelo menos, as entidades que serão autorizadas a disponibilizar dados para o EHDS, os usuários do EHDS, os pontos de contato nacionais/autoridades autorizadoras dos Estados-Membros e o papel das DPAs neste contexto.
Por fim, a Autoridade afirmou que está interessada em políticas públicas que visem alcançar a “soberania digital” e prefere que os dados sejam processados por entidades que partilham valores europeus, incluindo privacidade e proteção de dados. Para tanto, exorta a Comissão a assegurar que as partes interessadas que participam no EHDS, e em particular os responsáveis pelo tratamento, não transfiram dados pessoais, a menos que os titulares dos dados cujos dados pessoais sejam transferidos para um país terceiro beneficiem de um nível de proteção essencialmente equivalente ao garantido na União Europeia.
Opinião sobre a diretiva 2002/58/EC para o combate de abuso sexual infantil online
Em 10 de setembro de 2020, a Comissão publicou uma Proposta de Regulamento sobre uma anulação temporária de certas disposições da Diretiva Privacidade Eletrônica 2002/58/CE no que diz respeito à utilização de tecnologias por prestadores de serviços de comunicações interpessoais para o tratamento de dados pessoais e outros dados com o objetivo de combater o abuso sexual infantil online.
Em particular, a Autoridade observa que as medidas previstas na Proposta constituirão uma interferência nos direitos fundamentais ao respeito pela vida privada e à proteção de dados de todos os utilizadores de serviços de comunicações eletrônicas muito populares, como plataformas e aplicações de mensagens instantâneas. Segundo a EDPS, a confidencialidade das comunicações é o cerne dos direitos fundamentais ao respeito pela vida privada e familiar. Mesmo medidas voluntárias de empresas privadas constituem uma interferência nesses direitos quando as medidas envolvem o monitoramento e a análise do conteúdo das comunicações e o tratamento de dados pessoais.
A Autoridade sublinhou, ainda, que as questões em jogo não são específicas da luta contra o abuso de crianças, mas sim de qualquer iniciativa que vise a colaboração do setor privado para fins de aplicação da lei. A ser aprovada, a proposta servirá inevitavelmente de precedente para futura legislação neste campo e, por conseguinte, a EDPS considera essencial que a Proposta não seja adotada, mesmo sob a forma de uma derrogação temporária.
Em particular, no interesse da segurança jurídica, a EDPS considera que é necessário esclarecer se a própria Proposta se destina a fornecer uma base legal para o tratamento na acepção do GDPR, ou não. Caso contrário, a Autoridade recomenda um esclarecimento explícito na proposta cuja base legal do GDPR seria aplicável neste caso específico. A este respeito, salienta que as orientações das autoridades de proteção de dados não podem substituir o cumprimento do requisito de legalidade.
A fim de cumprir o requisito da proporcionalidade, aponta a EDPS, a legislação deve estabelecer regras claras e precisas sobre o âmbito e a aplicação das medidas em causa e impor salvaguardas mínimas, para que as pessoas cujos dados pessoais sejam afetados tenham garantias suficientes de que os dados serão efetivamente protegidos contra o risco de abuso.
Por fim, a EDPS afirmou que considera que o período de cinco anos proposto não parece proporcional, dada a ausência de (a) uma demonstração prévia da proporcionalidade da medida prevista e (b) da inclusão de salvaguardas suficientes no texto do a legislação e considera que a validade de qualquer medida transitória não deve exceder 2 anos.
França
A autoridade define teletrabalho como a forma de organização do trabalho que se realiza à distância das instalações da entidade patronal, por oposição ao trabalho realizado “in loco”, recorrendo às tecnologias de informação e comunicação. Enquadrado por vários textos, é particularmente no setor privado por um acordo interprofissional nacional (ANI) e pelo Código do Trabalho. Também respondeu perguntas sobre o tratamento de dados nesse contexto, apontando que o tratamento de dados pessoais suscetíveis de gerar um risco elevado para os direitos e liberdades dos titulares dos dados deve ser objeto de uma avaliação de impacto. Relembrou, ainda, que o empregador não pode monitorar constantemente seus funcionários e, tal como acontece com qualquer tratamento de dados pessoais, um sistema de monitoramento do tempo de trabalho ou das atividades, efetuadas à distância ou “in loco”, deve, nomeadamente: ter uma finalidade claramente definida e não sejam usados para outros fins; ser proporcional e adequada para este objetivo; exigir informação prévia às pessoas interessadas. Entre outras coisas, afirmou que o empregador, via de regra, não deve exigir o ativamento da câmera dos funcionários em videoconferências.
Reino Unido
A Autoridade definiu como sete partidos políticos do Reino Unido precisam melhorar a maneira como lidam com os dados pessoais das pessoas, após avaliar como gerenciam a proteção de dados. Para tanto, auditou a conformidade de proteção de dados das partes após preocupações significativas sobre transparência e o uso de dados de pessoas em campanhas políticas que foram destacadas em seu relatório de 2018, “Democracy Disrupted?“.
Segundo a Autoridade, os partidos políticos podem reter legitimamente dados pessoais pertencentes a milhões de pessoas para ajudá-los a fazer uma campanha eficaz. Mas os avanços no uso de análise de dados e mídia social por partidos políticos significam que muitos eleitores não sabem como seus dados estão sendo usados.
As principais recomendações para as partes incluem: (i) fornecer ao público informações claras desde o início sobre como seus dados serão usados; (ii) dizer aos indivíduos quando eles usam perfis intrusivos, como combinar informações sobre esses indivíduos de várias fontes diferentes para descobrir mais sobre suas características de voto e interesses; (iii) ser transparente ao usar dados pessoais para traçar um perfil e, em seguida, direcionar as pessoas com marketing por meio de plataformas de mídia social; (iv) ser capaz de demonstrar que é responsável, mostrando como as partes cumprem suas obrigações e protegem os direitos das pessoas; (v) realização de verificações minuciosas em todos os processadores contratados e potenciais e fornecedores terceirizados para obter garantias de que cumprem os principais requisitos de transparência, segurança e responsabilidade da lei de proteção de dados e; (vi) revisar suas bases legais para os diferentes tipos de tratamento de dados pessoais usados para garantir que a base mais adequada seja usada.
Itália
A Garante per la protezione dei dati personali condenou a Vodafone a pagar uma multa superior a 12 milhões euros por ter processado ilegalmente os dados pessoais de milhões de utilizadores para fins de telemarketing. Para além do pagamento da multa, a empresa é obrigada a implementar várias medidas previstas pelo Garante para cumprir a legislação nacional e comunitária em matéria de protecção de dados. As investigações realizadas pelo Garante trouxeram à luz importantes pontos críticos de natureza estrutural relacionados com a violação não apenas dos requisitos de consentimento, mas também de princípios fundamentais, como responsabilidade e proteção de dados desde a conceção.
Mais especificamente, uma das descobertas mais preocupantes das investigações foi o uso de números de telefone falsos ou números que não foram registrados no ROC (ou seja, o Registro Nacional Consolidado de Operadores de Comunicação) para fazer as chamadas de marketing. Esta prática está sob os holofotes da própria Vodafone e aparentemente está relacionada a um conjunto obscuro de call centers não autorizados que realizam atividades de telemarketing em total desrespeito à legislação de proteção de dados pessoais. Além disso, a Garante determinou que a Vodafone implemente sistemas para demonstrar que o processamento para fins de telemarketing está em conformidade com os requisitos de consentimento.
Proteção de Dados nas Universidades
VILJOEN, Salome.
“A lei de governança de dados – a lei que regula como os dados sobre pessoas são coletados, processados e usados - é o assunto de teorias vivas. As preocupações com a datafication (a transformação da informação ou do conhecimento sobre as pessoas em uma mercadoria) e seus efeitos pessoais e sociais prejudiciais produziram uma abundância de propostas de reforma. Diferentes teorias defendem diferentes interesses jurídicos em informações, resultando em várias reivindicações e remédios individualistas. Alguns buscam reafirmar o controle individual dos titulares dos dados sobre os termos de sua datafication, enquanto outros visam maximizar o ganho financeiro dos titulares dos dados. Mas essas propostas compartilham uma falha conceitual comum: elas perdem a importância central das relações no nível da população entre os indivíduos para como a coleta de dados produz valor e dano social. As práticas de coleta de dados das empresas de tecnologia mais poderosas têm como objetivo principal derivar percepções no nível da população dos titulares dos dados para aplicabilidade no nível da população, e não percepções no nível individual específicas do titular dos dados em questão.
Tratar os efeitos no nível da ‘população de dados’ como centrais para a tarefa de governança de dados abre um novo terreno. O objetivo adequado da governança de dados não é reafirmar o controle individual sobre os termos de seu próprio datafication ou maximizar o ganho pessoal, mas, em vez disso, desenvolver as respostas institucionais necessárias para representar os interesses de nível populacional relevantes em jogo na produção de dados. Isso muda a tarefa da reforma de conceder aos indivíduos direitos de saída ou pagamento para garantir o reconhecimento e a legitimidade para moldar os propósitos e as condições da produção de dados para aqueles com interesses em jogo em tais escolhas. A partir dessa reorientação, a lei de governança de dados pode desenvolver reformas jurídicas capazes de responder aos danos da datafication sem excluir as formas socialmente benéficas de produção de dados.” (tradução nossa, introdução do autor)
A primeira parte do artigo descreve os riscos e o status quo da governança de dados a partir da documentação da importância do processamento de dados para a economia digital. Em seguida, avalia como os regimes jurídicos predominantes que governam a coleta e o uso de dados – lei de contrato e privacidade – codificam os dados como um meio individual. A parte três avalia duas proeminentes propostas de reforma legal que surgiram em resposta a preocupações com a datafication e conclui que, embora as propostas de propriedade e dignidade difiram nas teorias de injustiça subjacentes à datafication e, portanto, forneçam soluções diferentes, ambas resolvem reivindicações e remédios individualistas que não representam, muito menos abordam, a natureza relacional da coleta e uso de dados.
A parte quatro do artigo propõe uma abordagem alternativa: dados como um meio democrático (DDM). Esta abordagem conceitual alternativa apreende a capacidade dos dados de causar danos sociais como uma característica fundamentalmente relevante da datafication; daí decorre um compromisso com formas institucionais coletivas de governança.
TEFFÉ, Chiara. TEPEDINO, Gustavo.
O artigo visa analisar o consentimento do titular dos dados e, para tanto, realizou o estudo das normas gerais para a expressão do consentimento válido e eficaz, sua caracterização e relação com os direitos do titular. Em seguida, passa para a estrutura protetiva desenvolvida em termos de dados sensíveis e, por fim, para a norma relativa ao tratamento de dados pessoais de crianças e adolescentes, havendo ênfase nas disposições relativas ao consentimento para o tratamento dessas informações. O artigo tem como finalidade levantar indagações e avaliar possibilidades de aplicação da LGPD, sempre em favor da pessoa humana e de suas situações existenciais.
Proteção de Dados no Legislativo
Projeto de Lei propõe incluir as entidades religiosas no rol do art. 4º da LGPD
O Projeto de Lei 5141/2020, de autoria do Deputado Alex Santana, acrescenta o termo “religiosos” no art. 4º da LGPD, que trata do rol de imunidade à Lei. Na justificativa, o autor afirmou que, em que pesem as conquistas advindas da vigência da LGPD, para a proteção da intimidade como exercício pleno da cidadania, diante da garantia constitucional prevista no art. 5º, VI, que assegura o livre exercício dos cultos religiosos, incluindo as suas liturgias e seus procedimentos internos, como uma extensão da separação entre Estado e Igreja, há uma necessidade de se estender as hipóteses exclusivas de aplicabilidade da citada norma para os procedimentos adotados pelas organizações religiosas ao campo religioso.
Proteção de Dados no Judiciário
Justiça determina que Serasa cesse o processo de venda de dados pessoais para empresas privadas
No dia 20 de novembro, através de uma decisão monocrática, o Desembargador César Loyola, do Tribunal de Justiça do Distrito Federal, após denúncia realizada pelo Ministério Público, decidiu que a empresa Serasa não poderia mais fornecer informações como nome, CPF, endereço e idade de mais de 150 milhões de brasileiros. Os dados eram vendidos dentro dos serviços de lista online e prospecção de clientes e cada “pacote” de informações sobre uma pessoa custava noventa e oito centavos. Na decisão, o magistrado afirma que a base legal adotada deveria, necessariamente, ser o consentimento e que, portanto, a atividade era ilegal. Na ação do Ministério Público, o órgão citou outras bases legais mas que não foram levadas em consideração no julgamento. O número do processo é 0749765-29.2020.8.07.0000 e a petição inicial pode ser acessada aqui.
