Nesta edição você vai ver os comentários da autoridade tcheca sobre o fim do Privacy Shield, a decisão da autoridade dinamarquesa sobre o uso de impressões digitais para controle de acesso, as diretrizes da autoridade dinamarquesa sobre inventários e muito mais!
Proteção de Dados nas Autoridades
The Office for Personal Data Protection – República Tcheca
Autoridade tcheca comentou os efeitos do fim do Privacy Shield para os controladores
A autoridade apontou que a GDPR exige que o monitoramento e a análise dos riscos aos direitos e liberdades dos titulares dos dados ocorram de forma contínua, revisando as ameaças consideradas, aplicando correções e medindo a eficácia das medidas aplicadas, incluindo por meio de revisão contratual. Afirma, ainda, que, se os operadores, como importadores de dados, estiverem sujeitos à lei dos EUA, os riscos decorrentes não apenas da decisão do TJUE, mas também do CLOUD Act (legislação adotada pelo Congresso Nacional dos EUA, que esclarece o uso legal de dados no exterior), precisam ser avaliados. Por fim, a autoridade aponta que o responsável pelo tratamento só pode usar um operador que forneça garantias suficientes de implementação das medidas técnicas e organizacionais adequadas, que estão previstas no art. 28 da GDPR.
Datatilsynet – Dinamarca
A autoridade multou a empresa em 150 mil coroas dinamarquesas após ter apurado denúncias de repasse de informações confidenciais dos locatários. Em 2018, a empresa PrivatBo apoiou um fundo habitacional com uma venda de três propriedades. Nessa ocasião, a empresa cedeu material que foi distribuído aos ocupantes dos imóveis. No entanto, a PrivatBo não tinha conhecimento de que, em alguns dos contratos de locação, foram anexados documentos que continham dados pessoais de natureza confidencial e que não deviam ser divulgados. A Agência de Proteção de Dados Dinamarquesa avaliou assim que a PrivatBo não cumpriu os requisitos do Artigo 32 do Regulamento de Proteção de Dados para implementar medidas de segurança técnicas e organizacionais adequadas.
Decisão da autoridade dinamarquesa sobre uso de impressões digitais para controle de acesso
A Agência Dinamarquesa de Proteção de Dados tomou uma decisão em um caso em que um sindicato, em nome de um dos membros da associação, reclamou que uma empresa trata informações sobre impressões digitais com o objetivo de identificar inequivocamente qual funcionário está chegando no local de trabalho e indo embora. A empresa justificou a medida de controle com o fundamento de que é fundamental para a segurança alimentar, incluindo as oportunidades de exportação da empresa, que pessoas não autorizadas não tenham acesso à produção e que possa ser identificado a qualquer momento quem participou da produção de um determinado produto. As chaves que os funcionários utilizam para verificação de identidade não fornecem garantia suficiente de que possa ser identificado sem ambiguidade quem esteve presente na produção, pois pode haver roubo ou substituição das chaves. Após uma revisão geral, a Agência de Proteção de Dados Dinamarquesa concluiu que não havia base para ignorar a avaliação da empresa. O tratamento poderia, portanto, ser realizado no âmbito das regras de proteção de dados.
Autoridade dinamarquesa atualiza diretrizes sobre inventários
O requisito de manter um registo deve ser visto como uma extensão do maior enfoque do Regulamento de Proteção de Dados no aspecto da responsabilização. A ideia de responsabilização implica, em primeiro lugar, que o controlador – e em alguns casos o operador – seja responsável por garantir o cumprimento das regras do regulamento. Em segundo lugar, o controlador também deve ser capaz de demonstrar que os tratamentos estão de acordo com suas regras. A autoridade avaliou, nas novas diretrizes, que uma lista de atividades de tratamento deve conter uma ligação clara entre as categorias de dados pessoais que são tratadas e as categorias individuais de titulares de dados. Se os dados pessoais são ou serão divulgados em conexão com uma atividade de tratamento, a lista também deve conter informações sobre quais categorias de dados pessoais são ou serão divulgados ao destinatário em questão. Também deve ser indicado a que categorias de titulares de dados as informações em questão se referem.
Autoridade dinamarquesa concluiu três auditorias com foco em registro de atividades de tratamento
As inspeções incidiram sobre o cumprimento, por parte de três municípios, da obrigação de manter registros das atividades de tratamento, incluindo, em particular, se os registros dos municípios poderiam ser usados para os fins em que se baseia a própria exigência de manter registros. Em um dos casos, a autoridade concluiu que a maioria das listas do município foram preparadas de maneira apropriada, pois as listas geralmente forneceram uma boa visão geral das atividades de tratamento do município. Em dois dos casos, a autoridade concluiu que certas seções das listas dos municípios levantaram alguns desafios em relação aos objetivos subjacentes ao tratamento.
European Data Protection Supervisor – EDPS
EDPS publica TechDispatch #2/2020 sobre computadores quânticos e criptografia
Computadores quânticos são aqueles em que as leis físicas da mecânica quântica permitem um método alternativo ao que os computadores atuais usam para processar as informações. Enquanto os computadores tradicionais usam bits (0 ou 1) como um bloco de construção, os computadores quânticos empregam bits quânticos, ou qubits. Um dos motivos do risco à proteção de dados pessoais ao utilizar-se computadores quânticos é a capacidade de quebrar a criptografia. A computação quântica pode quebrar muitas das criptografias clássicas de hoje e, como tal, prejudicar gravemente a segurança de TI. O documento explica o risco imposto aos diferentes tipos de criptografia, como a criptografia de chave pública, a criptografia simétrica e a descriptografia retrospectiva. De acordo com o EDPS, para executar algoritmos úteis de relevância prática, é necessário construir um computador quântico com mais qubits e taxas de erro menores do que é possível hoje. A criação de um computador quântico grande e utilizável nos próximos dez anos é altamente improvável, mas difícil de prever.
Garante per la Protezione dei Dati Personali – Itália
Diretor da autoridade italiana se posiciona sobre a proliferação de aplicativos de contact tracing
O diretor apontou que a emergência da COVID-19 não representa, automaticamente, e por si só, uma base jurídica suficiente para afetar direitos e liberdades constitucionalmente protegidos, legitimando o tratamento de dados particularmente invasivo, como aquele que visa permitir o rastreamento de contatos por qualquer ente público ou privado. A Autoridade especificou que os únicos tratamentos de dados pessoais que, presentemente, podem gozar de uma base jurídica adequada, são aqueles que têm por base uma legislação nacional. Qualquer outro tratamento que vise o rastreamento de contato é, portanto, desprovido de uma fonte legal adequada e, assim, executado em violação da legislação europeia e nacional sobre a proteção de dados pessoais.
Autoriteit Persoonsgegevens – Holanda
Autoridade holandesa publica resultados iniciais de pesquisa sobre cidades inteligentes
A pesquisa se concentra no tratamento de dados pessoais em espaço público com sensores e outras tecnologias. A autoridade mapeia como os municípios lidam com a privacidade de residentes e visitantes. Nesse ínterim, um grupo diversificado de municípios, espalhados em tamanho e localização, forneceu informações para o estudo. Durante a investigação, a autoridade solicitou os Relatórios de Impacto à Proteção de Dados Pessoais (DPIA) de aplicativos de cidades inteligentes, entre outras coisas. A Autoridade tem as seguintes dicas para municípios: (i) preste atenção na qualidade do seu DPIA. Indique claramente quais dados você processa na prática com, por exemplo, sensores e câmeras. (ii) mantenha seu DPIA atualizado. Verificar de vez em quando se o processamento ainda é o mesmo. Pode ser necessário revisar o DPIA em caso de alterações; (iii) leve em consideração um prazo de 14 semanas para uma possível consulta prévia, portanto, comece a tempo, identificando os riscos, se, por exemplo, quiser usar um aplicativo de cidade inteligente para um evento específico; (iv) envolva os cidadãos no desenvolvimento de aplicativos de cidades inteligentes e peça sua opinião antes do início do projeto.
Aleid Wolfsen, presidente da autoridade, apontou: “é claramente projetado com privacidade como ponto de partida. Com todos os tipos de salvaguardas técnicas para a privacidade dos usuários, como criptografia do tráfego de dados e o envio de códigos falsos para impedir que você seja capaz de ler qualquer coisa do tráfego de dados.”. A autoridade afirmou que o aplicativo depende de outros componentes técnicos e normativos, e aí residem as preocupações. Para o presidente, “esse aplicativo não é apenas o que você vê na tela, mas também a tecnologia do Google e da Apple, e também os servidores para os quais você envia seus dados. Esse aplicativo faz parte de um sistema. A privacidade também deve estar em ordem nessas outras partes do sistema, assim como no próprio aplicativo.”.
Datatilsynet – Noruega
Autoridade norueguesa afirma que a digitalização do setor escolar viola a privacidade dos alunos
Segundo o artigo, na Noruega, a escolaridade obrigatória para crianças é de 10 anos. Durante esse período, são coletadas quantidades significativas de informações pessoais sobre os alunos, como nome, número de nascimento, realizações e habilidades acadêmicas, relações familiares, eventos de vida e informações de saúde. A informação é processada em diversos sistemas administrativos e ferramentas digitais que a escola e o município utilizam. Eles são usados no treinamento e na comunicação com a casa dos estudantes e são compartilhados com outros órgãos públicos como fundos de saúde e a polícia, quando necessário. Há também uma grande probabilidade de que as informações coletadas sobre alguém que inicie a escola em 2020 sejam usadas para finalidades completamente novas quando o aluno terminar a escola primária em 2030. A autoridade percebeu que sistema escolar não acompanha o ritmo do uso das ferramentas tecnológicas. O risco de vazamento de informações pessoais e confidenciais sobre alunos é alto. O grande número de violações da segurança dos dados pessoais confirmou como a falta de competência leva ao vazamento das informações. Durante 2019, a autoridade recebeu quase 2 mil notificações de desvios de finalidade do tratamento, sendo que cerca de um em cada dez desvios afetou crianças e jovens.
European Data Protection Board – EDPB
Autoridade espanhola impõe multa a empresa por não conformidade com a exclusão de publicidade
A autoridade aplicou uma multa de 1.200 euros a uma empresa por ligar para titulares dos dados, oferecendo-lhes uma oferta de hotéis, embora eles estivessem em um sistema de exclusão de publicidade. Ao aderir a esse sistema, o titular dos dados exerceu o seu direito de se opor ao processamento para fins de marketing, ao abrigo do artigo 21 do GDPR. No entanto, a empresa não cumpriu a sua obrigação de consultar o sistema de exclusão de publicidade antes de efetuar uma chamada telefônica com fins de marketing.
A autoridade aplicou uma multa de 75 mil euros à VODAFONE pelo tratamento do número de telefone do requerente para fins de marketing, após ter exercido o seu direito de apagamento em 2015, apesar do envio de SMS publicitário ao titular dos dados. O controlador afirmou que o número do reclamante, por ser fácil de lembrar, havia sido utilizado como “número fictício” pelos seus funcionários.
Proteção de Dados nas Universidades
TATAR, Unal. GOKCE, Yasir. NUSSBAUM, Brian.
O artigo estuda a contradição da tecnologia blockchain e os requisitos da GDPR. As três contradições que são examinadas são (i) direito ao esquecimento versus irreversibilidade/imutabilidade de registros; (ii) proteção de dados por design versus inviolabilidade e transparência de blockchain e (iii) controlador de dados versus nós descentralizados. O artigo destaca que os conflitos podem ser tratados focalizando os pontos comuns da GDPR e do blockchain, desenvolvendo novas abordagens e interpretações e adaptando a tecnologia do blockchain de acordo com as necessidades da lei de proteção de dados.
RUIZ, Francisco Javier Durán.
O artigo realiza revisão bibliográfica a fim de definir o conceito de smart cities. Posteriormente, analisa as implicações legais das smart cities, confrontando a legislação europeia existente sobre proteção de dados pessoais, a fim de depreender sua efetividade em relação à regulação do uso de Big Data, necessário para a operação de smart cities. O artigo conclui que as implicações da implementação das smart cities na Europa são muitos, dentre eles a regulação do governo digital, transparência e o direito ao acesso à informação pública. Com uma combinação entre regulação moderna e protetiva dos direitos fundamentais o desenvolvimento de tecnologias para cidades inteligentes, o autor acredita que seja possível criar um modelo ideal de cidade.
Proteção de Dados no Legislativo
Proposto Projeto de Lei que dispõe sobre a divulgação de informações de interesse coletivo
Apresentado pelo Dep. Fed. Ricardo Guidi, do PSD, o Projeto de Lei 4189/2020 altera a Lei nº 12.527/2011 (Lei de Acesso à Informação) para determinar a criação de uma ferramenta de pesquisa de conteúdo, especialmente por meio do nome de órgãos, entidades, empresas, obras ou de endereços, que permita o acesso à informação de forma objetiva, transparente, clara e em linguagem de fácil compreensão. O Projeto de Lei está em Mesa Diretora.
Apresentado pela Deputada Federal Rejane Dias, do PT, o Projeto de Lei 4137/2020 disciplina a telessaúde em todo o território nacional. Define-se por telessaúde a prestação de serviços na área de saúde, por meio de ferramentas e tecnologias da informação e comunicação, compreendendo a teleconsultoria, telediagnóstico, segunda opinião formativa, tele-educação, dentre outras. Atualmente o Projeto de Lei está em Plenário.
Apresentado pelo Dep. Fed. Henrique Fontana, do PT, o Projeto de Lei 4172/2020 determina, entre outras coisas, que os códigos e algoritmos utilizados pelas plataformas digitais devem obrigatoriamente ser submetidos regularmente a auditoria, realizada pela inspeção do trabalho e outros órgãos especializados de controle do Poder Público, obedecendo, no que couber, ao disposto na Lei Geral de Proteção de Dados. Atualmente o Projeto de Lei está em Mesa Diretora.
Apresentado Projeto de Lei que disciplina o uso de algoritmos pelas plataformas digitais
Apresentado pelo Dep. Fed. Bosco Costa, do PL, o Projeto de Lei 4120/2020 disciplina o uso de algoritmos pelas plataformas digitais, assegurando transparência no uso das ferramentas computacionais que possam induzir a tomada de decisão ou atuar sobre as preferências dos usuários. Para tanto, define conceitos como decisão automatizada de elevado risco, determina a formulação de relatórios de impacto, com descrição detalhada dos sistemas, entre outras medidas. Atualmente o Projeto de Lei está em Mesa Diretora.
