Nesta edição destacamos as orientações de autoridades do mundo todo sobre o uso de aplicativos de saúde e sobre o uso seguro de aplicativos de videoconferência, a declaração conjunta sobre o direito à proteção de dados no contexto da pandemia de COVID-19 do Conselho da Europa e o guia de boas práticas para a Lei Geral de Proteção de Dados publicado pelo Comitê Central de Governança de Dados do Brasil
Proteção de Dados e Autoridades
Autorité de la protection des données – Bélgica
Segundo a autoridade, se o uso do aplicativo não exigir o tratamento de dados pessoais, nenhum dado de identificação direta (sobrenome, nome, endereço de e-mail, etc) ou indireta pode ser solicitado ao usuários. Se o uso do aplicativo fizer parte de uma relação médica existente entre um paciente e um profissional da saúde, isso deve ser expressamente mencionado e deverá ser garantido que os dados pessoais sejam tratados apenas com a finalidade de melhorar a qualidade do tratamento e dar continuidade a essa relação. Quando nenhum dos casos assinalados for aplicável, o aplicativo deverá indicar em primeira tela as informações solicitadas pela GDPR (controlador, finalidade, uso de cookies, etc.) e nenhum dado de identificação direta poderá ser solicitado para começar a usar o aplicativo. Ao usar o aplicativo, os dados pessoais serão empregados apenas para o bom funcionamento do aplicativo e para a finalidade declarada e sob a responsabilidade do responsável pelo tratamento mencionado. No final do uso do aplicativo, pode-se perguntar ao paciente se deseja que seus dados pessoais sejam transferidos no âmbito de uma relação de cuidados existente (por exemplo, transferir o resultado de sua autoavaliação a um clínico geral) ou para estabelecer uma nova relação de cuidados. Se o paciente consentir, dados pessoais adicionais úteis podem ser solicitados e transferidos. Caso contrário, todos os dados pessoais serão excluídos e não poderão mais ser usados.
#dadosdesaude #app
Agencija za zastitu osobnih podataka – Croácia
A declaração conjunta vai no sentido de respeitar os princípios propostos pela GDPR, garantindo o respeito aos direitos e liberdades fundamentais, ainda que a publicidade dos órgãos de saúde e do governo devam continuar a ser uma prioridade. Os relatórios publicados pelos entes públicos devem evitar a publicação de informações pessoais. O uso de Big Data e inteligência artificial deve respeitar a dignidade humana e a proteção de dados, com foco na transparência e explicabilidade das análises. O tratamento de dados no âmbito do trabalho não deve configurar monitoramento de funcionários, as medidas tomadas devem ser discretas e o tratamento desses dados deve respeitar à GDPR. Além disso, as empresas de telecomunicação e provedores de serviços de internet devem realizar o tratamento em larga escala de dados pessoais somente se, com base em evidências científicas, os possíveis benefícios à saúde pública superarem as vantagens de outras soluções alternativas, respeitando, sempre os princípios da precaução e da proporcionalidade. No âmbito dos sistemas educacionais, a declaração aponta para priorização de uso de aplicativos e softwares que não violem direitos dos usuários. Se necessária a coleta de dados dos alunos, é primordial que uma base legal seja selecionada, além de fornecer aos pais máxima transparência (em caso de crianças e adolescentes).
#declaracao #coronavirus
The Office for Personal Data Protection – República Tcheca
No comentário, a autoridade aponta para o pressuposto de que as medidas de emergência devem basear-se no tratamento de dados com uma finalidade estritamente definida de combate à pandemia, eficaz e com tempo limitado. Além disso, a autoridade afirma que as autoridades estaduais podem, dentro dos limites de uma medida de emergência e em conformidade com os princípios de proteção dos dados pessoais, impor procedimentos e obrigações que contenham tratamento de dados que outras entidades e pessoas afetadas pelo processamento devem suportar. Além disso, o tratamento de dados por um estado, operador ou banco para realizar a tarefa imposta pelo poder público deve incluir apenas as operações necessárias a serem executadas, dentro de um objetivo estritamente definido, relacionado ao combate à pandemia. Por fim, a autoridade aponta que em caso de processamento de dados não anonimizados, a retenção de dados pessoais não deverá passar de seis horas, no mais tardar. Depois disso, devem ser prontamente eliminados ou anonimizados.
#geolocalizacao #coronavirus
Datatilsynet – Dinamarca
A autoridade aponta para a necessidade de analisar quem está por trás da coleta, se uma autoridade pública de saúde, empresa, organização ou pessoa privada, etc. Além disso, é importante entender qual é a finalidade da coleta e se ela é restrita ao mapeamento de propagação do vírus. Além disso, é necessário entender onde e por quanto tempo as informações serão armazenadas, quais as opções de arrependimento (exclusão) e de que informações se está tratando, sempre com o cuidado de não informar dados que não tenham imediatamente a ver com coronavírus (como informações bancárias, etc.).
#dadosdesaude #coronavirus
Andmekaitse Inspektsioon – Estônia
Autoridade estoniana publica artigo sobre os riscos do e-learning
A autoridade aponta para o dever das escolas e instituições de ensino de garantir que os canais de comunicação funcionem para o aprendizado, mas protegendo a privacidade de seus alunos na medida do possível. Cabe ao aluno (ou pais de alunos mais novos), por sua vez, verificar diariamente seus dispositivos para garantir que os aplicativos apenas solicitem acesso aos dados necessários. A autoridade recomenda que as escolas reservem um momento para garantir que o tratamento de dados de toda a organização garanta a proteção de dados pessoais e que o tratamento de dados também se baseie nos princípios de intencionalidade e minimização.
#elearning #sistemaseducacionais
European Data Protection Supervisor
Wojciech Wiewiórowsk discursa sobre a solidariedade digital na União Europeia
O discurso vai no sentido de união das forças de cada membro do EDPS para o combate da pandemia, através de compartilhamento de informações, mas com responsabilidade. É importante agir quando necessário, mas com a devida cautela e o uso de Big Data, por exemplo, deve ser feito de forma consciente e responsável. O discurso ainda reforçou a ideia de que a GDPR não é um obstáculo ao tratamento de dados pessoais em benefício do enfrentamento da crise, mas, pelo contrário, a lei estabelece parâmetros e princípios que permitem que o poder público combata a pandemia utilizando dados, mas respeitando os direitos fundamentais da proteção de dados e privacidade dos cidadãos.
#edps #coronavirus #bigdata
CNIL – França
Os principais pontos abordados na entrevista, focada na relação entre a proteção de dados e o combate à COVID-19, foram: (i) o quadro jurídico europeu e francês contém, por si só, as soluções para a crise; (ii) se o monitoramento de indivíduos fosse implementado, deveria se basear em um serviço voluntário, com consentimento livre e informado e (iii) se um sistema de monitoramento compulsório fosse implementado, este deveria ser baseado em disposição legislativa e ser baseado, em qualquer hipótese, na proporcionalidade e finalidade, levando em consideração todos os princípios da GPDR.
#gdpr #emergencia #coronavirus
Autoridade francesa publica artigo sobre o uso de ferramentas de videoconferência
O artigo propõe atenção redobrada aos aplicativos gratuitos de videoconferência, uma vez que geralmente a gratuidade é apenas aparente e o serviço pode ser lucrativo por meio do tratamento de informações sobre o usuário. Aponta, ainda, para a necessidade dos aplicativos de informar os usuários sobre o uso dos dados, em particular quais informações são salvas e para quais finalidades serão utilizadas. Por fim, aconselha os usuários a favorecer soluções que protejam a privacidade, evitar baixar aplicativos de fonte desconhecida, usar aplicativos para os quais o editor indica claramente como os dados serão reutilizados, ler comentários de usuários em fóruns de discussões sobre os aplicativos, proteger a Wi-Fi com uma senha forte, ativando a criptografia e verificar se o antivírus e firewall estão atualizados.
#videoconferencia #seguranca #app
Data Protection Commission – Irlanda
Autoridade irlandesa publica dicas para proteção de dados em videoconferências
Para os indivíduos, a autoridade indica: (i) verificar se o dispositivo possui as atualizações necessárias; (ii) usar serviços confiáveis; (iii) ler a política de privacidade ou proteção de dados do serviço; (iv) pensar sobre quais permissões de dados ou sensores estão sendo solicitadas; (v) utilizar o dispositivo em um local seguro e (vi) considerar a proteção de dados e os direitos de privacidade de terceiros antes de publicar ou compartilhar uma foto ou vídeo de uma videochamada. Para as organizações, a autoridade indica: (i) os funcionários devem utilizar serviços contratados para comunicações relacionadas ao trabalho; (ii) garantir que os funcionários utilizem contas comerciais para videoconferências relacionadas ao trabalho; (iii) fornecer políticas e diretrizes organizacionais claras, compreensíveis e atualizadas; (iv) implementar ou aconselhar os funcionários a implementar controles de segurança apropriados; (v) evite compartilhar dados da empresa, locais de documentos ou hiperlinks em qualquer instalação compartilhada de “bate-papo”.
#videoconferencia #seguranca #app
Garante per la protezione dei dati personali – Itália
A autoridade afirma que, mesmo em uma situação de emergência, em que as informações se mostram indispensáveis à comunidade, algumas garantias não podem ser desconsideradas, a fim de proteger a confidencialidade e a dignidade das pessoas afetadas pela doença. Considera necessário chamar a atenção para o cumprimento do requisito da “essencialidade” das informações fornecidas, de modo que os detentores de informações não devem publicar dados pessoais de pacientes que não desempenham papéis públicos.
#dadosdesaude #coronavirus #redessociais
Presidente fala sobre a importância da proteção de dados no contexto de emergência pública e destaca que o rastreamento ou utilização de quaisquer dados pessoais devem ser adotadas em vista da eficácia do combate à crise, respeitando a proporcionalidade e a finalidade de seu uso. Em nenhuma circunstância, os dados pessoais poderão ser utilizados para outra finalidade que não à de combate à pandemia e, principalmente, com um critério temporal definido. Por fim, o presidente aponta para o cuidado com o deslize do modelo coreano para o chinês, renunciando à liberdade em favor da eficiência e da confiança cega em algoritmos.
#coronavirus #emergencia
ICO – Reino Unido
Na nota, a autoridade aponta que é possível utilizar dados pessoais de forma responsável para fins de marketing, mas que há um número crescente de organizações que usam a emergência de saúde pública de forma oportuna para entrar em contato com pessoas vulneráveis. O ICO afirma que está preparado para investigar qualquer negócio que se aproveite do contexto da pandemia, sendo capaz de emitir multas altíssimas, de até 500 mil libras.
#marketingabusivo #emergencia
Comitê Central de Governança de Dados – Brasil
O Governo Federal publicou um guia de boas práticas para proteção de dados pessoais para implementação na administração pública federal. O documento passa por todos os principais pontos da Lei Geral de Proteção de Dados, falando sobre as bases legais, direitos do titular, formas de realização de tratamento de dados pessoais, hipóteses, relatórios de impacto à proteção de dados pessoais, segurança da informação, entre outros importantes pontos para implementação de boas práticas de proteção de dados pessoais. Além disso, o documento traz as previsões normativas que autorizam o tratamento de dados, modelos de relatório de impacto à proteção de dados pessoais e diretrizes da ABNT para segurança da informação.
#boaspraticas #protecaodedados
Secretária Nacional do Consumidor – Brasil
A carta, enviada à empresa Zoom, tem como finalidade questionar a empresa sobre as recentes notícias sobre compartilhamento de dados de usuário do Zoom com o Facebook. A carta questiona desde quando a empresa realiza o compartilhamento de dados, quais os motivos do compartilhamento, se há consentimento, qual a finalidade da coleta de dados, por quanto tempo os dados coletados são armazenados, entre outros. A empresa tem dez dias, a contar do recebimento, para responder a todos os questionamentos propostos pela SENACON.
#senacon #zoom #compartilhamento
Proteção de Dados nas Universidades
FLORIDI, Luciano. COWLS, Josh. KING, Thomas C. TADDEO, Mariarosaria.
O artigo busca trazer à prática a ideia de que a inteligência artificial tem potencial de enfrentar problemas sociais por meio do desenvolvimento de soluções. Para tal, o artigo aborda lacunas teóricas, identificando sete fatores éticos essenciais para futuras iniciativas práticas de uso de inteligência artificial para “o bem social”. A identificação dos fatores éticos é baseada em vinte e sete exemplos de casos de projetos de inteligência artificial para o bem social, que os autores chamam de “AI4SG” (Artificial Intelligence for Social Good). De cada um dos fatores apontados pelos autores, são formuladas as melhores práticas correspondentes, sempre sujeitas ao contexto e ao equilíbrio do uso, mas que funcionam como diretrizes preliminares para garantir uma boa aplicação de AI4SG.
#inteligenciaartificial #etica
BURDON, Mark.
Mark Burdon examina o desenvolvimento de modelos de negócios, com base na coleta de dados de sensores (como casas e carros inteligentes) e demonstra os desafios que surgem para o modelo de controle da privacidade e sua aplicação de proteções baseadas em princípios relacionado à troca de informações pessoais. Ao repensar o papel principal da proteção de dados (ou privacidade de dados), Burdon fornece uma base para futuras reformas na lei e exige medidas protetivas mais efetivas.
#privacylaw #privacidade #coleta
Proteção de Dados no Legislativo
O Deputado Federal Roberto Lucena, propôs, no dia 06 de abril, que o PL 619/2020, que estabelece gratuidade do acesso aos conteúdos digitais fosse apensado ao PL 3443/2019 que trata da prestação digital de serviços públicos sob a justificativa de que esta se tornou mais importante com a pandemia do coronavírus e o isolamento social e, tendo em vista que a maioria da população acessa a internet pelo celular pré-pago, há urgência em garantir que tais serviços possam ser acessados de forma gratuita.
#egov #governodigital
As Deputadas Federais Rejane Dias (PT) e Flávia Arruda (PL) propuseram, respectivamente, o PL 1637/2020 e o PL 1651/2020 para proibir qualquer tipo de registro em banco de dados de adimplentes durante a pandemia do coronavírus, alterando a Lei do Cadastro Positivo em seu artigo 3º, com a seguinte redação “§4º A partir do primeiro dia útil, da publicação do Diário Oficial da União, do Decreto do estado de calamidade pública, de importância internacional, até o dia 31 de dezembro do respectivo exercício financeiro, ficam proibidas novas anotações no banco de dados.“.
#leidocadastropositivo #coronavirus
No dia 12 de março, o PL 4925/2019, do Dep. Moses Rodrigues do MDB do Ceará, que altera o Marco Civil da internet para estabelecer mecanismos de verificação de identidade, por meio do CPF ou CNPJ, dos perfis ativos em aplicações de internet que atuem como redes sociais, foi apensado ao PL 437/2020 do Dep. Alexandre Frota, que altera o Marco Civil da Internet para condicionar a postagem de conteúdos nas redes sociais ao fornecimento prévio, pelo usuário, de número telefônico ou endereço de correio eletrônico.
#redes_sociais #mci #identificação
Proteção de Dados no Judiciário
No dia 25 de março, foi publicada decisão monocrática do Ministro Nefi Cordeiro que julgou improcedente o recurso especial interposto que argumentava no sentido de que o mandado de busca e apreensão de um celular não autorizava a violação do sigilo e da privacidade pela polícia. O relator decidiu, demonstrando através da jurisprudência consolidada do STJ, que não há necessidade de ordem judicial específica para quebra de sigilo. Decide que o próprio mandado de busca e apreensão compreenderia a autorização para quebra de sigilo pela perícia, não cabendo, portanto, alegação de ilegalidade e violação de proteção de dados ou informações pessoais.
#quebradesigilo #privacidade #stj
