Aqui você vai encontrar a discussão da 34ª Plenária do EDPB, o informativo sobre a transferência internacional de dados para o Brexit pós invalidação do Privacy Shield, o relatório do EDPB sobre criptografia e as referências publicadas pela CNIL sobre tratamento de dados no setor da saúde…
Proteção de Dados e Autoridades
Croatian Personal Data Protection Agency – Croácia
Na reunião em questão, os membros do Conselho Europeu de Proteção de Dados salientou que, de acordo com o julgamento, a UE e os EUA devem adotar uma estrutura completa e eficaz que garanta que o nível de proteção de dados nos EUA seja igual ao garantido na União Europeia. O Conselho apontou que pretende dar contribuição construtiva e ajudar na constituição de um quadro novo que esteja totalmente em conformidade com a GDPR. Além disso, registrou a obrigação das autoridades de supervisão competentes de suspender ou proibir a transferência de dados para um país terceiro em conformidade com as cláusulas padrão, caso a autoridade descubra que as cláusulas contratuais não são respeitadas pelo país terceiro.
Durante a reunião, representantes da autoridade analisaram ativamente os elementos de funcionalidade técnica, a fim de avaliar a conformidade do aplicativo com a GDPR, bem como com as diretrizes e opiniões do Conselho Europeu de Proteção de Dados para o contact tracing. Além disso, foi acordada uma cooperação adicional, ou seja, a continuação das atividades entre o Ministério da Saúde e as autoridades relacionadas ao desenvolvimento do aplicativo e monitoramento/verificação de conformidade com a GDPR.
No Brasil, acaba de ser lançado o App Coronavírus SUS, do Ministério da Saúde. O app utiliza a tecnologia de Bluetooth e tem um modelo descentralizado de processamento de dados.
Office for Personal Data Protection – República Tcheca
A autoridade lembrou que, segundo o artigo 5º e o artigo 24 do GDPR, o controlador é sempre responsável pelo tratamento de dados pessoais. Nesse sentido, ele tem o dever de garantir e ser capaz de demonstrar que o tratamento é realizado de acordo com o GDPR. A autoridade afirmou que, do ponto de vista da proteção de dados pessoais, é inaceitável argumentar que o controlador usa o sistema de informações de um fornecedor externo e que por isso não tem responsabilidade quanto ao tratamento dos dados.
Datatilsynet – Dinamarca
A Comissão publicou o informativo a fim de definir a situação legal posterior ao período de transição de saída do Reino Unido da União Europeia. O documento delimitou padrões de cláusulas de proteção de dados e apontou que, nos termos do artigo 46 do Regulamento 679/2016, os dados pessoais podem ser transferidos com base em regras de cooperação vinculativas que, por sua vez, requerem a aprovação da autoridade supervisora competente. Ainda de acordo com o Regulamento, o informativo relembrou que a transferência de dados pessoais deve se basear nos códigos de conduta aprovados mediante o artigo 40 do Regulamento, em conjunto com o comprometimento dos controladores e operadores do país terceiro.
A autoridade realizou auditoria sobre vários sistemas com o objetivo de verificar se a empresa tinha procedimentos suficientes para garantir que os dados pessoais não fossem armazenados por mais tempo do que o necessário para os fins para os quais foram coletados. Durante o processo, a Autoridade constatou que um sistema em particular continha muitos dados pessoais que deveriam ter sido excluídos de acordo com os prazos estabelecidos. O sistema continha aproximadamente 500 mil perfis de clientes. Com isso, a empresa foi multada em 1,1 milhão de coroas dinamarquesas.
Nova decisão da autoridade dinamarquesa sobre divulgação de respostas de tarefas escolares
A autoridade dinamarquesa tomou decisão em um caso em que três escolas secundárias relataram uma violação da segurança de dados pessoais referente ao sistema MaCom S/A, que como operador repassou parte das respostas dos estudantes e pesquisadores do Departamento de Ciência da Computação da Universidade de Copenhague para o desenvolvimento de programas anti-plágio. Na decisão, a autoridade estabeleceu que a MaCom agiu violando as regras da lei de proteção de dados, transmitindo extratos das respostas atribuídas aos pesquisadores sem ter recebido instruções para tal. Por fim, a autoridade constatou que as respostas às tarefas podem ser consideradas informações pessoais, pois são uma expressão do pensamento, do julgamento e do senso crítico do entrevistado.
Nova decisão sobre violação da segurança de dados pessoais na região sul da Dinamarca
A autoridade tomou decisão em um caso em que a região do sul da Dinamarca relatou uma violação da segurança dos dados pessoais. A violação dizia respeito ao acesso não autorizado ao nome de 365 pessoas, número de segurança social e informações relativas a gravidez. Na decisão, a autoridade expressou sérias críticas sobre a ausência de avaliação e testes de risco necessários durante o desenvolvimento de um sistema de T.I., além da falta de documentação sobre as violações e deficiências na notificação dos titulares dos dados pessoais sobre a brecha. A decisão também esclareceu como a falta de detecção e documentação de uma violação de segurança pode afetar a capacidade do controlador cumprir as regras da GDPR.
European Data Protection Supervisor – EDPS
A autoridade destacou a importância de novos mecanismos de governança estabelecerem uma base legal clara para o tratamento de dados pessoais, bem como regras específicas para o acesso e compartilhamento das informações, principalmente quando os dados pessoais que estão sendo tratados forem sensíveis. Além disso, recomendou que existam salvaguardas adequadas para garantir a conformidade com os princípios da minimização, finalidade, bem como o direito dos titulares de serem informados quando os dados são coletados e para quais objetivos serão utilizados. A autoridade declarou que apoia a ideia de estruturar, através de parcerias, esforços conjuntos entre autoridade policiais e setor privado em relação ao debate da lavagem de dinheiro e financiamento ao terrorismo, desde que essas trocas tenham uma base legal sólida e cumpram os requisitos da proteção de dados pessoais.
O relatório trata do workshop realizado pela Internet Privacy Engineering Network (IPEN) sobre “o estado da arte da criptografia e seu papel na proteção da privacidade e dos dados pessoais”. O evento foi projetado para entender melhor por que a criptografia deve ser utilizada e o que é necessário saber para utilizá-la corretamente. A professora Carmela Troncoso, pesquisadora principal do projeto DP3T (uma abordagem ao rastreamento de contatos descentralizada) compartilhou sua experiência sobre o uso da criptografia para além do sigilo de dados transmitidos ou armazenados. Os participantes destacaram o uso diversificado da tecnologia, como para permitir a comparação de conjuntos de dados sem obter acesso ao seu conteúdo e garantir a impossibilidade de vinculação dos titulares a ações ou mensagens, apontando que há uma clara necessidade de investir mais na compreensão e análise de tecnologias criptográficas.
CNIL – França
Autoridade francesa publica três referências para o setor de saúde
A CNIL criou um repositório para o gerenciamento de tratamentos de rotina nas práticas médicas e dois repositórios para gerenciar períodos de retenção de dados, a fim de facilitar a conformidade dos profissionais liberais de saúde. O repositório é um quadro de referência que permite aos profissionais liberais da área da saúde colocar o tratamento de dados pessoais utilizados para o gerenciamento das práticas médicas em conformidade com a GDPR. O repositório, no entanto, não é obrigatório. O controlador pode não seguir as recomendações se, por exemplo, identificar outra base legal para o tratamento, desde que a escolha seja justificada e esteja sob sua responsabilidade. Algumas regras básicas foram esclarecidas, como a identificação de bases legais, e novas obrigações relacionadas ao processo de conformidade também foram incorporadas, em particular no que se refere à manutenção de um registro do tratamento. Quanto aos repositórios relacionados ao período de retenção dos dados, o objetivo é apoiar, de maneira operacional, os atores na identificação e determinação do período relevante para o tratamento. Um dos repositórios tem como objetivo o tratamento de dados no campo da saúde e outro o tratamento de dados para fins de pesquisa, estudo e avaliação no campo da saúde.
A autoridade lembra que os códigos de conduta fazem parte das ferramentas de conformidade fornecidas pela GDPR e permitem que um setor de atividade apoie a conformidade dos profissionais envolvidos por meio de recomendações práticas e operacionais. A associação que representa os profissionais deve organizar o monitoramento do código após sua aprovação. Para tanto, a GDPR prevê a intervenção de um organismo terceiro, previamente aprovado pela autoridade de proteção de dados, para cumprir a tarefa de monitoramento. Para que o órgão de supervisão cumpra essa função, a autoridade francesa criou os seguintes requisitos: (i) independência do órgão, bem como ausência de conflito de interesses; (ii) nível adequado de conhecimento dos auditores; (iii) medidas de segurança específicas; (iv) tratamento transparente de reclamações; (v) procedimentos regulares de controle e (vi) procedimentos para a adoção de sanções e outras medidas corretivas.
Garante per la Protezione dei Dati Personali – Itália
Novo presidente da autoridade italiana, Pasquale Stanzione, dá entrevista
Stanzione apontou que “o advento das novas tecnologias marcou uma verdadeira revolução antropológica, mas também social, cultural, política e econômica. Como em qualquer fenômeno ‘perturbador’, o risco a ser evitado é o de eterna busca, por lei, de uma técnica quase inatingível em termos de velocidade e profundidade da evolução. A chave para o governo da inovação, no entanto, é precisamente a garantia do princípio da neutralidade tecnológica em que a GDPR se baseia, o que permite sua contínua adaptação ao material a ser regulado.”
State Data Protection Inspectorate – Lituânia
Autoridade lituana informa sobre incidente de segurança no Centro de Registros do Estado
A autoridade informou que houve um incidente de alto impacto da segurança dos dados pessoais da empresa estatal. O incidente expôs dados de cadastro imobiliário, CNPJ, registros de testamento, contratos de casamento, registro de hipoteca, sistemas de informação de oficiais de justiça, sistemas de informação de registro e declaração de residência e serviços eletrônicos de saúde. A autoridade afirmou que está atualmente analisando as notificações recebidas, avaliando as ações e o escopo da investigação.
ICO – Reino Unido
ICO lança orientações sobre Inteligência Artificial e proteção de dados
A orientação contém recomendações sobre as melhores práticas e medidas técnicas que as organizações podem utilizar para mitigar os riscos causados ou exacerbados pelo uso de IA. Simon McDougall, que é o vice-presidente de inovação e tecnologia regulatória do ICO, afirmou que “A tecnologia que utiliza IA é caracterizada por inovação e evolução em movimento rápido e continuaremos evoluindo com as orientações para acompanhá-la.”. A orientação irá ajudar as organizações a reduzir riscos decorrentes de uma perspectiva da proteção de dados, explicando como os princípios estabelecidos pela GDPR se aplicam a projetos de IA, sem perder de vista os benefícios que as tecnologias podem oferecer.
A autoridade recomendou, em concordância com as diretrizes publicadas pelo European Data Protection Board (EDPB), que todos que realizam transferência internacional devem fazer um balanço das transferências que realizam e reagir prontamente às medidas e orientações que foram disponibilizadas. Também é importante que seja realizada uma avaliação de risco, para saber se há proteção suficiente dentro da estrutura legal local e se a transferência é para os Estados Unidos ou para outra localidade. Tanto ICO, quanto EDPB estão trabalhando para formular diretrizes específicas para transferência internacional de dados, em observância à decisão do Tribunal de Justiça da União Europeia pela invalidação do Privacy Shield.
European Data Protection Board – EDPB
EDPB publica documento de perguntas frequentes sobre o caso Schrems II
O documento contém informações sobre o conteúdo da decisão, as suas implicações para ferramentas de transferência que não estão encobertas pelo Privacy Shield, questões relacionadas as outras ferramentas de transferência dispostas pelo artigo 46 do GDPR, a possibilidade de transferência de dados da UE para os EUA com base nas derrogações previstas no artigo 49 do GDPR (tais como a necessidade de transferência para execução de contrato entre o titular dos dados e controlador e por importantes razões de interesse público, entre outras questões).
Autoridade alemã multou a empresa AOK Baden-Wuerttemberg em 1,24 milhão de euros
De 2015 a 2019, a empresa realizou sorteios e, para tanto, coletou dados pessoais dos participantes, incluindo detalhes de contato a afiliação do seguro de saúde. A AOK utilizou os dados para fins de marketing e coletou o consentimento de parte dos participantes, mas aproximadamente 500 participantes do sorteio tiveram seus dados utilizados para outro fim sem que tivesse fornecido consentimento. Além da aplicação da multa, foram tomadas medidas técnicas e organizacionais para que a empresa entrasse em conformidade com a GDPR.
Proteção de Dados nas Universidades
MORLEY, Jessica. MACHADO, Caio. BURR, Christopher. COWLS, Josh. TADDEO, Mariarosaria. FLORIDI, Luciano.
O artigo apresenta um mapeamento a literatura sobre ética na inteligência artificial na atenção à saúde e resume os debates atuais, identificando questões em aberto para pesquisas futuras. O artigo conclui que as questões éticas podem ser (a) epistêmicas, relacionadas a evidências equivocadas, inconclusivas ou inescrutáveis; (b) normativas, relacionadas a um resultado injusto e (c) relacionados à rastreabilidade. O artigo também aponta que as questões éticas se dividem em seis níveis de abstração: individual, interpessoal, grupal, institucional e social ou setorial.
SANTANA, Ana Cláudia. LEMOS, Amanda. SIMÕES, Juliana.
O artigo pretende discutir de que forma o conceito de privacidade se aplica ao ambiente virtual e como as tecnologias possibilitaram o desenvolvimento de novas formas de intimidade e de práticas como a pornografia de vingança. O artigo faz um estudo comparado entre legislação e casos emblemáticos do Brasil e dos Estados Unidos, a fim de avaliar a efetividade dos instrumentos existentes nos dois países para a proteção das vítimas e reparação de danos da prática da exposição íntima na Internet.
Proteção de Dados no Legislativo
No dia 29 de julho foi apresentado, pela Deputada Federal Rejane Dias do PT, o Projeto de Lei nº 3988/2020, que altera a Lei Maria da Penha e a Lei de Acesso à Informação para suprimir as informações obrigatórias constantes nos sites de transparência ou no sites oficiais referentes ao nome e à lotação de servidoras públicas que estejam sob o alcance de medidas protetivas determinadas pelo Poder Judiciário em função da Lei Maria da Penha.
Apresentado Projeto de Lei que dispõe sobre plataforma virtual de aprendizagem de ensino à distância
No 20 de julho foi apresentado, pelos deputados federais Perpétua Almeida do PCdoB/AC, Professora Marcivania do PCdoB/AP, Renildo Calheiros do PCdoB/PE, Jandira Feghali do PCdoB/RJ, Daniel Almeida do PCdoB/Ba, Alice Portugal do PCdoB/BA, Orlando Silva do PCdoB/SP, Márcio Jerry do PCdoB/MA e outros, PL que dispõe sobre a criação de uma plataforma virtual pública de aprendizagem à distância, com código aberto, a ser utilizada pelas redes públicas e privadas da educação básica, para o desenvolvimento de educação à distância para alunos e professores.
No dia 29 de julho foi apresentado, pelo Deputado Federal Dagoberto Nogueira do PDT-MS, que altera o Marco Civil da Internet, em seu artigo 10º, para determinar que o provedor de aplicações da internet exigirá do usuário que solicitar cadastro em qualquer um de seus serviços comprovação de maioridade. O documento apresentado poderá ser carteira de identidade, carteira de trabalho, carteira profissional, passaporte, carteira de identificação funcional, documentos de identificação militares ou outro documento público que permita a identificação.
Proteção de Dados no Judiciário
O Desembargador Carlos Alberto Martins Filho decidiu no processo nº 0422384-32.2019.8.07.0016, pela condenação da Facebook Serviços Online do Brasil LTDA em processo da qual a empresa é acusada de violar a privacidade do consumidor por acesso desautorizado dos dados pessoais extraídos da sua rede social e posteriores solicitações fraudulentas via Whatsapp. O juiz decidiu que caberia o ressarcimento por prejuízos decorrentes da violação, pois haveria uma falha de segurança no processo de ativação de conta na plataforma Whatsapp. A ativação pode ser ou não feita com a “verificação em duas etapas” a partir do uso do PIN. A verificação pelo PIN só ocorre se o usuário ativar na sua própria conta, caso contrário e – em caso de o usuário não possuir conhecimento da ferramenta – está sujeito a maior insegurança de suas informações. Nesse sentido, o desembargador entendeu que a plataforma seria responsável pela violação de informações pessoais contidas na conta pessoal do usuário, condenando a empresa a ressarcir prejuízos decorrentes.
