Seja bem-vinde a mais uma edição do Boletim! Nesta 45ª edição, destacamos a publicação do decreto de designação dos membros para compor o Conselho Nacional de Proteção de Dados Pessoais […]
Seja bem-vinde a mais uma edição do Boletim!
Nesta 45ª edição, destacamos a publicação do decreto de designação dos membros para compor o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), ressaltando, ainda, que Bruno Bioni, diretor-fundador da Associação Data Privacy de Pesquisa, foi um dos nomeados para ocupar uma das cadeiras destinadas às organizações da sociedade civil. O CNPD é um órgão consultivo criado como mecanismo de participação institucionalizada da sociedade e possui como principais competências propor diretrizes estratégicas, fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e sugerir ações a serem realizadas pela Autoridade Nacional de Proteção de Dados.
No contexto internacional, destacamos que a Comissão Nacional de Luxemburgo para Proteção de Dados (CNPD) multou a empresa Amazon Europe Core no valor de 746 milhões de euros. Considerando que se trata da hipótese de aplicação dos procedimentos de cooperação entre autoridades estabelecidos pelo GDPR, pelo fato da empresa Amazon Europe Core estar instalada no seu território, o CNPD que foi a entidade competente para tratar do caso, assim, após a realização de uma reclamação coletiva dirigida à Autoridade Francesa (CNIL), o caso foi remetido à CNPD. No entanto, ressalte-se, que essa não é a primeira sanção aplicada à Amazon, tendo em vista que a CNIL sancionou a empresa em dezembro do ano passado, junto com o Google, por descumprimento da legislação sobre cookies, com multas no valor de 35 milhões de euros e 100 milhões de euros, respectivamente.
Por fim, ainda destacando a movimentação das Autoridades internacionais, ressaltamos que a Autoridade Italiana vem trabalhando para simplificar as informações de privacidade, por meio do método “Creative Commons” (CC). Para tanto, foi assinado um Memorando de Entendimento com o objetivo de avaliar a viabilidade da criação de um sistema, no modelo que a CC possui para os direitos autorais, que permita aos controladores de dados gerar automaticamente informações padronizadas, que permitam aos titulares mais conhecimento sobre o tratamento dos seus dados pessoais. Embora o estudo parta da análise do contexto italiano, o objetivo final é criar um sistema a ser disponibilizado em todos os Estados-Membros europeus para construir um ambiente digital no qual as questões de proteção de dados sejam geridas de forma coordenada e harmônica.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
Foi publicado Decreto Presidencial que nomeou o CNPD – Bruno Bioni foi um dos escolhidos
A publicação do decreto de designação dos membros para compor o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade representa a consolidação do processo de formação do CNPD, o órgão consultivo multissetorial da Autoridade Nacional de Proteção de Dados (ANPD). Nesse sentido, destacamos que Bruno Bioni, diretor-fundador da Associação Data Privacy Brasil de Pesquisa, foi um dos nomeados para ocupar uma das cadeiras destinadas às organizações da sociedade civil. A constituição dos assentos iniciou-se com a convocação pela ANPD da sociedade por meio da publicação dos Editais para formação das listas tríplices. Foram recebidas 122 indicações para os 5 editais publicados (veja aqui a relação dos indicados). O Conselho Diretor da ANPD elaborou listas tríplices de titulares e suplentes para constituição do CNPD e submeteu ao Ministro de Estado Chefe da Casa Civil da Presidência da República para nomeação pelo Presidente da República. O CNPD é um órgão consultivo criado como mecanismo de participação institucionalizada da sociedade e integra a estrutura da ANPD. Sua composição está prevista no Art. 58 – A da Lei Geral de Proteção de Dados Pessoais (Lei n° 13.709), sendo 23 membros titulares e suplentes com representantes governamentais e da sociedade civil e possui como principais competências propor diretrizes estratégicas, fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e sugerir ações a serem realizadas pela ANPD.
ANPD divulgou relatório semestral de acompanhamento da Agenda Regulatória
A Autoridade Nacional de Proteção de Dados (ANPD) aprovou, por meio da Portaria nº 11, de 27 de janeiro de 2021, a sua Agenda Regulatória para o biênio 2021-2022. O documento contém 10 (dez) temas prioritários, com o respectivo instrumento a ser utilizado para materializar sua regulamentação ou interpretação pela Autoridade. Em atendimento ao art. 4º da mencionada Portaria, e com objetivo de dar ampla transparência e prestar informações atualizadas à sociedade quanto ao andamento das iniciativas regulamentares, a Coordenação-Geral de Normatização elaborou o Relatório Semestral de Acompanhamento da Agenda Regulatória. Por fim, destaque-se que todos os projetos com previsão de início no 1º semestre de 2021 foram formalmente iniciados e estão em andamento, conforme pode ser verificado no site da entidade.
Espanha
A Autoridade Espanhola (AEPD) recentemente anunciou a criação do “2021 Data Protection Awards”. O prêmio será concedido em seis diferentes categorias: (i) Empreendedorismo “Ángela Ruiz Robles”; (ii) Boas práticas para maior proteção da privacidade de mulheres sobreviventes de violência de gênero; (iii) Proatividade e boas práticas para cumprimento do GDPR; (iv) Comunicação; (v) Boas práticas educacionais para o uso seguro da internet por crianças e adolescentes e (vi) Pesquisa “Emilio Aced”. As categorias englobam diversas modalidades que reconhecem o esforço e o comprometimento de pessoas e projetos, tanto do setor público, quanto do setor privado. O prazo para apresentação de candidaturas em todas as modalidades termina no dia 21 de novembro.
European Data Protection Board
Na sua última sessão plenária, o EDPB proferiu uma decisão de resolução de litígios com base no art. 65 do GDPR. A decisão teve como objetivo resolver a falta de consenso sobre certos aspectos de um posicionamento emitido pela Autoridade irlandesa, como autoridade supervisora principal (LSA), em relação à WhatsApp Ireland Ltd, bem como sobre os subsequentes questionamentos feitos por outras autoridades de supervisão competentes (CSAs). Diante das divergências identificadas, o caso foi remetido ao EDPB para deliberação nos termos do art. 65 (1) (a) do GDPR, iniciando-se assim o procedimento de resolução de litígios. Nesse sentido, o EDPB emitiu um posicionamento que abordou o mérito das objeções consideradas “pertinentes e fundamentadas”, em consonância com os requisitos do art. 4 (24) GDPR, bem como apontou que notificará formalmente a sua decisão às autoridades de supervisão envolvidas. O (IE) SA deverá adotar a sua decisão final, dirigida ao responsável pelo tratamento, com base na decisão do EDPB, no prazo máximo de um mês após a notificação formal.
Estados Unidos
Na sua última sessão plenária, o EDPB proferiu uma decisão de resolução de litígios com base no art. 65 do GDPR. A decisão teve como objetivo resolver a falta de consenso sobre certos aspectos de um posicionamento emitido pela Autoridade irlandesa, como autoridade supervisora principal (LSA), em relação à WhatsApp Ireland Ltd, bem como sobre os subsequentes questionamentos feitos por outras autoridades de supervisão competentes (CSAs). Diante das divergências identificadas, o caso foi remetido ao EDPB para deliberação nos termos do art. 65 (1) (a) do GDPR, iniciando-se assim o procedimento de resolução de litígios. Nesse sentido, o EDPB emitiu um posicionamento que abordou o mérito das objeções consideradas “pertinentes e fundamentadas”, em consonância com os requisitos do art. 4 (24) GDPR, bem como apontou que notificará formalmente a sua decisão às autoridades de supervisão envolvidas. O (IE) SA deverá adotar a sua decisão final, dirigida ao responsável pelo tratamento, com base na decisão do EDPB, no prazo máximo de um mês após a notificação formal.
França
Recentemente, a Comissão Nacional de Luxemburgo para Proteção de Dados (CNPD) multou a empresa Amazon Europe Core no valor de 746 milhões de euros. Considerando que se trata da hipótese de aplicação dos procedimentos de cooperação entre autoridades estabelecidos pelo GDPR, pelo fato da empresa Amazon Europe Core estar instalada no seu território, o CNPD que foi a entidade competente para tratar do caso, assim, após a realização de uma reclamação coletiva dirigida à Autoridade Francesa (CNIL) por meio da associação La Quadrature du Net (LQDN), ele foi remetido à CNPD. A CNIL trabalhou em estreita colaboração com a CNPD ao longo de todo o procedimento, no âmbito da verificação e análise das provas obtidas, bem como durante a apreciação final do caso. A decisão não é pública nessa fase, por conta da aplicação da lei de Luxemburgo, a qual prevê que a publicidade apenas ocorre após o esgotamento dos recursos. Ressalte-se que essa não é a primeira sanção aplicada à Amazon, considerando que a CNIL sancionou a empresa em dezembro do ano passado, junto com o Google, por descumprimento da legislação sobre cookies, com multas no valor de 35 milhões de euros e 100 milhões de euros, respectivamente.
CNIL aplicou sanção de 50.000 euros contra SOCIÉTÉ DU FIGARO por violações no uso de cookies
A CNIL sancionou a empresa SOCIÉTÉ DU FIGARO com uma multa de 50.000 euros pela utilização de cookies publicitários do site lefigaro.fr sem obtenção do consentimento prévio dos usuários. A CNIL, a partir de uma reclamação, realizou várias verificações entre 2020 e 2021 no referido site de notícias, as quais mostraram que quando um usuário o acessava, cookies eram automaticamente inseridas em seu computador por parceiros da empresa, sem qualquer anuência. Vários desses cookies tinham fins publicitários e deveriam estar sujeitos ao consentimento do usuário. Com base nesses elementos, o órgão da CNIL encarregado de aplicar as sanções considerou que a empresa descumpriu as suas obrigações de privacidade e proteção de dados, impondo uma multa de 50.000 euros.
Holanda
Autoridade Holandesa publicou recomendações sobre Smart Cities
A Autoridade Holandesa de Proteção de Dados (AP) publicou recomendações para o desenvolvimento dos chamados Smart Cities Apps. As recomendações são destinadas aos municípios que coletam ou planejam coletar dados em espaços públicos usando sensores inteligentes e equipamentos de medição. As diretrizes da AP são necessárias porque as cidades nem sempre prestam atenção suficiente à legislação de privacidade, embora isso seja essencial para o desenvolvimento dos aplicativos, visto que eles, via de regra, realizam várias operações de tratamentos de dados pessoais dos cidadãos. Ressalte-se que aplicativos mal desenvolvidos podem prejudicar a liberdade e os direitos dos titulares residentes e visitantes dos municípios envolvidos, o que destaca a importância de seguir as recomendações publicadas pela Autoridade.
Itália
O processamento das políticas de privacidade pode ser simplificado por meio do método Creative Commons, sistema pelo qual o conteúdo e o significado das licenças de uso de conteúdo protegido por direitos autorais são traduzidos em símbolos universais padronizados. Diante disso, dando continuidade à sua ação para simplificar as obrigações previstas no Regulamento da UE, a Autoridade Italiana assinou um Memorando de Entendimento que dá início à colaboração com a “Creative Commons” (CC), uma entidade internacional não governamental. O objetivo do Memorando é avaliar a viabilidade da criação de um sistema, no modelo que a CC possui para os direitos autorais, que permita aos controladores gerar automaticamente informações simples e padronizadas, permitindo que os titulares tenham mais conhecimento sobre o tratamento dos seus dados pessoais. Embora o estudo parta da análise do contexto italiano, o objetivo final é criar um sistema a ser disponibilizado em todos os Estados-Membros europeus para construir um ambiente digital no qual as questões de proteção de dados sejam geridas de forma coordenada e harmônica.
México
O Comitê Técnico do Prêmio de Inovação e Boas Práticas em Proteção de Dados Pessoais 2021 abriu prazo para a apresentação de novos trabalhos sobre o tema. O objetivo do concurso é divulgar nacional e internacionalmente melhores práticas e elementos inovadores no campo da proteção de dados pessoais desenvolvidas no México, tanto no setor privado, quanto no setor público, nos níveis federal, estadual e municipal, bem como a criação de incentivos para elevar os padrões de proteção de dados pessoais no país. O Prêmio é organizado pelas seguintes entidades: Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI), Instituto de Pesquisas Jurídicas (IIJ) da Universidade Nacional Autônomo do México (UNAM), Ministério da Economia (SE), Secretaria de Função Pública (SFP), Organização para Cooperação e Desenvolvimento Econômico (OCDE), Associação de Internet MX (AIMX), Câmara Nacional da Indústria Eletrônica de Telecomunicações e Tecnologias de Informação (CANIETI) e pela Associação Internacional de Profissionais de Privacidade (IAPP, por suas siglas em inglês). Conta, ainda, com a colaboração do Sistema Nacional de Transparência, Acesso à Informação Pública e proteção de Dados Pessoais (SNT), por meio das Agências Garantidoras de Proteção de Dados Pessoais das Entidades Federais, para promover e divulgar o concurso em nível estadual e municipal.
O INAI emitiu recomendações para proteção dados pessoais durante as compras online
O Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI) emitiu recomendações para proteger dados pessoais ao fazer compras através de dispositivos eletrônicos e para reduzir o risco de ser vítima de crimes cibernéticos, como nos casos de roubo de identidade e fraude. A Comissão Nacional de Proteção e Defesa dos Usuários de Serviços Financeiros (Conducef) divulgou dados que indicam que nos primeiros quatro meses de 2021, o número de ações contra possíveis “roubos de identidade” cresceu muito. Nesse contexto, o INAI enfatiza que os consumidores e os titulares de dados pessoais têm o direito de exercer, em todos os momentos, seus direitos de acesso, retificação, cancelamento e oposição, além de fazer as seguintes recomendações específicas: (i) Leia atentamente o Aviso de Privacidade antes de fornecer dados pessoais; (ii) Forneça apenas os dados pessoais estritamente necessários para a aquisição do bem ou serviço de seu interesse; (iii) Evite fazer compras por meio de conexões a redes Wi-Fi públicas; (iv) Certifique-se de que o site da Internet onde você navega ou compra é confiável; (v) Seja cauteloso com as ofertas que condicionam o fornecimento de seus dados pessoais, entre outras.
Reino Unido
O ICO publicou novas orientações sobre marketing direto e setor público
O Information Commissioner’s Office (ICO) publicou um novo recurso para ajudar as organizações do setor público a entender quando a regulamentação sobre marketing direto será aplicada aos seus procedimentos. A orientação é dirigida aos responsáveis pela proteção de dados em organizações do setor público. O marketing direto é amplo e abarca todos os tipos de publicidade ou marketing direcionados a indivíduos, envolvendo qualquer tipo de comunicação, incluindo e-mails, mensagens de texto, mensagens diretas nas redes sociais e métodos mais tradicionais, como telefonemas e correio. Segundo Anthony Luhman, Diretor do ICO, se você trabalha no setor público, “a lei não o impede de enviar mensagens promocionais quando são necessárias para sua tarefa ou funções, no entanto, há momentos em que as regras de marketing direto se aplicam e queremos ajudar o setor público a acertar”.
Proteção de Dados nas Universidades
Proteção de Dados e o Acordo de Livre Comércio Mercosul-União Europeia: Notas sobre a Adequação da Autoridade Nacional de Proteção de Dados no Brasil
RUARU, Regina Linden; SILVA, Cecília Alberton
O avanço das novas tecnologias, impulsionado pelos influxos disruptivos da Revolução 4.0, proporcionou a criação e o aperfeiçoamento das legislações de proteção de dados pessoais ao redor do mundo. Neste contexto, as autoridades de proteção de dados passaram a assumir papel de grande relevância para orquestrar as trocas comerciais internacionais e o fluxo transnacional de dados. Dito isso, o trabalho busca responder à seguinte hipótese: De que forma as legislações na União Europeia (“UE”) e na América Latina vêm regulamentando a proteção de dados pessoais, especialmente no que toca à independência e à autonomia das autoridades de proteção de dados? O objetivo geral da pesquisa consiste em evidenciar tal contexto internacional na matéria de proteção de dados pessoais na UE e na América Latina. Partindo do cenário delimitado, os objetivos específicos são (i) identificar as principais características das legislações de proteção de dados, notadamente do Regulamento Europeu de Proteção de Dados (“RGPD”) e das leis locais de proteção de dados na América Latina; (ii) verificar a forma com a qual as autoridades de proteção de dados foram estruturadas nesses locais; e (iii) a partir da apresentação do Acordo de Livre Comércio entre a União Europeia e o Mercosul, analisar o caso da Autoridade Nacional de Proteção de Dados brasileira (“ANPD”).
A violação de dados pessoais na telemedicina: reparação do paciente à luz da LGPD
SCHULMAN, Gabriel; CAVET, Caroline
A intensificação da circulação de dados, consequência das inovações tecnológicas, desafia o sistema jurídico e coloca sub judice as respostas tradicionalmente oferecidas. No campo da saúde, destacam-se a utilização de novos sistemas que permitem, de diversas maneiras, a realização de atendimentos, exames e até procedimentos à longa distância. O presente artigo, em vistas de tais transformações, tem como objetivo problematizar os reflexos jurídicos da telemedicina na seara do direito de danos (responsabilidade civil), em especial, associados à proteção de dados pessoais do paciente; expor as modalidades de telemedicina; e explorar desafios e novas questões de direito de danos em relação a proteção de dados pessoais na medicina a distância. Sobre essa intersecção entre saúde e proteção de dados pessoais, recentemente a Associação Data Privacy de Pesquisa lançou a plataforma Dados Virais, a qual se originou a partir de uma pesquisa que investigou as tecnologias utilizadas para mitigar riscos e danos relacionados à COVID-19, com o mapeamento que abrange os mecanismos adotados por governos municipais, estaduais e federal.
Interactive Storytelling for Children: A case-study of design and development considerations for ethical conversational AI
CHUBB, Jennifer; MISSAOUI, Sondess; CONCANNON, Shauna; MALONEY, Liam; WALKER, James Alfred.
Os Sistemas de Inteligência Artificial Conversacional (CAI) e os Assistentes Pessoais Inteligentes (IPA), como, por exemplo, a Alexa, Cortana, Google Home e Siri estão se tornando onipresentes na vidas de grande parte das pessoas, incluindo crianças, cujas implicações estão recebendo maior atenção, especificamente no que diz respeito aos efeitos no desenvolvimento cognitivo, social e linguístico. Avanços recentes abordaram as implicações das tecnologias de CAI no tocante à privacidade e proteção de dados. No entanto, segundo os autores, há uma necessidade de conectar e incorporar nas discussões os aspectos éticos e técnicos no design. Por meio de um estudo de caso focado no uso de CAI para contação de histórias para crianças, o artigo reflete sobre o contexto social envolvendo os mais jovens e esse tipo de tecnologia. Além disso, os autores descrevem o processo de tomada de decisão por trás das recomendações direcionadas às crianças, especialmente envolvendo a indústria criativa.
Proteção de Dados no Judiciário
TJ/SP negou recurso que pediu danos morais por manutenção de nome negativado utilizando fundamentação pela LGPD
Trata-se de apelação em que o autor busca a reforma da sentença, sustentando que a inclusão do seu nome em uma das plataformas da ré (LIMPA NOME) desabona sua imagem como consumidor, visto que sugere a existência de dívidas não pagas, como também impacta seu score de crédito, podendo prejudicá-lo no mercado. Por conta disso, requereu o reconhecimento da ilicitude decorrente do abuso de direito praticado pelas rés, o arbitramento de indenização por danos morais e a atribuição de sucumbência exclusivamente às rés. Por sua vez, citando o artigo 7º, inciso X, da LGPD, o acórdão destacou que a hipótese que autoriza o tratamento de dados, em casos envolvendo análise para concessão de crédito, independe do consentimento do titular. Nesse sentido, frisou que a inclusão do nome do devedor em cadastro de inadimplentes independe de autorização, exigindo-se apenas sua notificação prévia (artigo 43, §3o, do CDC). Assim, o consentimento prévio do consumidor deixou de ser imprescindível para inclusão em cadastro positivo, exigindo-se autorização apenas para o compartilhamento do histórico de crédito. Nestes casos, a dispensa da autorização leva em consideração justamente o interesse que se pretende tutelar, já que, “a própria LGPD reconheceu a existência de legítimo interesse no tratamento de dados pessoais com o intuito de análise de risco para concessão de crédito”. Entretanto, o acordão concluiu que “não se vislumbra tal interesse no caso de inserção manutenção de dados relativos a dívidas prescritas, porquanto a própria SERASA S/A afirma que tais dados não são compartilhados com terceiros e não são utilizados para definição do score de crédito”.
