Seja bem-vinde a mais uma edição do Boletim! Antes de começar a 55ª edição do Boletim, gostaríamos de te fazer algumas perguntas: você gosta de ficar atualizado das principais movimentações […]
Seja bem-vinde a mais uma edição do Boletim!
Antes de começar a 55ª edição do Boletim, gostaríamos de te fazer algumas perguntas: você gosta de ficar atualizado das principais movimentações das autoridades de proteção de dados no mundo, no legislativo brasileiro e na academia? Acha que poderíamos melhorar em algum ponto? Então, avalie nosso trabalho e contribua que o Boletim da Privacidade continue evoluindo! Não leva mais de 2 minutos 🙂
Sobre as novidades desta quinzena, destacamos que a Autoridade Espanhola e o Ministério do Consumidor Espanhol lançaram uma campanha nas redes sociais para auxiliar as vítimas de roubo de identidade no ambiente digital. Entre outras coisas, a campanha detalha quais os passos que devem ser seguidos para eliminar o perfil falso o mais rápido possível, além de disponibilizar links para diretrizes específicas e contato com as redes sociais mais populares.
Outro ponto de destaque foi o lançamento pela Associação Data Privacy Brasil de Pesquisa, em conjunto com o TEDIC -Tecnología y Comunidade do relatório “A Integração Invisível: um estudo sobre Centro Integrado de Operações Fronteiriças”. O estudo, por meio de análises documentais, pedidos de acesso à informação e entrevistas, buscou compreender como funciona o Centro Integrado de Operações na Fronteira (CIOF). Além disso, a pesquisa analisou como se estrutura a rede de guarda de informações do CIOF, bem como as relações entre instituições brasileiras e paraguaias no desenho do Centro.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Bélgica
Foi iniciada a primeira ação coordenada de fiscalização do Conselho Europeu de Proteção de Dados (EDPB), o órgão europeu independente composto por representantes das autoridades nacionais de proteção de dados de países que compõem a União Europeia. Nos próximos meses, 22 (vinte e duas) autoridades supervisoras nacionais do Espaço Econômico Europeu (EEE) iniciarão investigações sobre o uso de serviços “baseados em nuvem” pelo setor público, projeto no qual a Autoridade Belga estará incluída. A pandemia do COVID-19 desencadeou uma transformação digital das organizações, inclusive no setor público, que levaram à adoção de tecnologias de nuvem, no entanto, muitas entidades podem ter dificuldades em obter produtos e serviços de tecnologia da informação que cumpram as normas europeias de proteção de dados. Devido a isso, foi organizada pelo EDPB essa ação coordenada em conjuntos com as autoridades, que abrangerá mais de 80 (oitenta) organizações públicas do EEE de diversos setores (como saúde, finanças, fiscalidade, educação, centrais de compras ou computadores prestadores de serviços), para que sejam promovidas boas práticas e a promoção de uma proteção adequada dos dados pessoais.
Dinamarca
De acordo com a Lei de Proteção de Dados da Dinamarca, a licença da Autoridade Dinamarquesa de Proteção de Dados não precisa mais ser obtida para dar início a projetos de pesquisas, criação de “biobancos” para, por exemplo, pesquisas futuras, ou qualquer outras formas de tratamento de dados pessoais relacionadas com pesquisas científicas. Segundo a Autoridade, a referida licença só é relevante se a pesquisa envolver o tratamento de dados pessoais com base na seção 10 da Lei de Proteção de Dados Dinamarquesa e deverá ser notificada em três hipóteses: (i) Quando a transferência ocorrer para tratamento fora do âmbito territorial do Regulamento de Proteção de Dados – por exemplo, para os EUA; (ii) Quando a transferência for relativa a material biológico – por exemplo, sangue ou amostras de tecido; (iii) Quando a divulgação for feita para fins de publicação de informações em revistas científicas reconhecidas ou similares. Diante disso, a Autoridade preparou um formulário de inscrição para os casos que se enquadram nas situações mencionadas.
Espanha
A Autoridade Espanhola de Proteção de Dados (AEPD) e o Ministério do Consumidor Espanhol lançaram uma campanha nas redes sociais para divulgar quais os passos que os usuários devem seguir caso sejam vítimas de roubo de identidade. Na Espanha, mais de 27 milhões de pessoas têm perfil nas redes sociais, no qual incluem dados como nome, idade, fotografias e outros tipos de informações pessoais. Isso permite que as informações fornecidas voluntariamente nos diferentes serviços da Internet possam ser usadas por terceiros para a criação de perfis falsos. Assim, a campanha detalha quais os passos que devem ser seguidos para eliminar o perfil falso o mais rápido possível, incluindo a disponibilização dos links para diretrizes específicas e contato com as redes sociais mais utilizadas.
European Data Protection Board
EDPB abriu chamada de especialistas para compor o time de suporte do Conselho
O Conselho Europeu de Proteção de Dados (EDPB) está à procura de especialistas para cooperar com as Autoridades de Supervisão em todo o Espaço Económico Europeu (EEE), em diferentes fases das suas atividades de investigação e aplicação das normas de proteção de dados pessoais. O EDPB tem como objetivo criar um time de suporte com especialistas qualificados em áreas como: auditoria de TI, segurança de sites, sistemas operacionais e aplicativos móveis, IoT, computação em nuvem, publicidade comportamental, técnicas de anonimização, IA, design UX, fintechs, ciência de dados, direito digital, entre outros. A criação desse time é uma iniciativa estratégica fundamental do EDPB, que pretende auxiliar as Autoridades de Proteção de Dados Supervisoras a aumentar sua capacidade de fiscalização e fazer de cumprir a proteção de dados pessoais.
Autoridade Sueca multou Região Uppsala por violações de segurança
A Autoridade de Proteção de Dados Sueca (IMY) recebeu duas notificações sobre violação de dados pessoais da Região Uppsala, que se referem ao envio de dados pessoais confidenciais sem criptografia para destinatários dentro e fora da Suécia, o que culminou na abertura de investigações. Uma delas envolve dois casos diferentes: (i) o primeiro diz respeito a dados pessoais sensíveis e números de previdência social enviados por e-mail, automaticamente, para administrações de saúde relevantes na região; (ii) o segundo envolve o envio de e-mails com dados de pacientes que foram enviados manualmente para pesquisadores e médicos da região. Por sua vez, a outra investigação diz respeito a como o Hospital Universitário de Uppsala enviou e-mails com dados sensíveis de pacientes para outros países, inclusive fora da UE. Segundo a Autoridade, a região não tomou medidas técnicas e organizacionais suficientes para garantir um nível de segurança adequado em relação aos riscos envolvidos no tratamento de dados pessoais. Diante disso, a DPA sueca emitiu uma multa administrativa de SEK 1,9 milhão contra a região de Uppsala.
França
Radio France e CNIL unem forças para sensibilizar o público para a proteção de dados pessoais
A Radio France, o principal grupo de rádio francês, e a Autoridade de Proteção de Dados Francesa (CNIL) anunciaram a assinatura de uma parceria destinada a explicar melhor as questões relacionadas à proteção de dados para a população. Por meio dessa parceria, ambas têm como objetivo unir forças para dar aos cidadãos o conhecimento necessário para exercer seus direitos e manter o controle de sua privacidade e proteção dos seus dados pessoais no atual mundo digitalizado. Dessa maneira, fiel à sua missão de serviço público, a Radio France fortalecerá sua abordagem desenvolvendo ainda mais o tratamento editorial em torno das questões envolvendo proteção de dados nos seus canais e nos seus formatos digitais, com base em conteúdos disponibilizados pela CNIL;
Autoridade Francesa publicou o seu planejamento estratégico para 2022-2024
A Autoridade Francesa (CNIL) articulou seu novo planejamento estratégico para os anos de 2022-2024 em torno de três áreas prioritárias para uma sociedade digital confiável: (i) Promover o controle e o respeito aos direitos das pessoas no campo; (ii) Promover o GDPR como um ativo de confiança para as organizações; e (iii) Priorizar ações regulatórias direcionadas em assuntos com alto risco de proteção de dados. Quase quatro anos após a entrada em vigor do GDPR, a maioria das empresas e serviços públicos se mobilizou para enfrentar os desafios da proteção de dados diante de um público cada vez mais familiarizado com o novo marco regulatório e, sobretudo, com seus direitos. Nesse contexto, segundo a Autoridade, os dados pessoais são, mais do que nunca, o fio condutor do nosso quotidiano digital e o novo planejamento estratégico foi pensado de forma a trabalhar os desafios centrais envolvidos.
Peru
A Autoridade Proteção de Dados Peruana (ANPD) do Ministério da Justiça e Direitos Humanos (MINJUSDH) sancionou a Superintendência Nacional de Migração do país com uma multa no valor de 171.644 sóis, devido a ocorrência de um incidente de vazamento de dados pessoais. Na decisão, a Autoridade destacou que o órgão não garantiu a confidencialidade dos dados das pessoas que entram e saem do país, especialmente de pessoas públicas (como autoridades, ex-autoridades ou atletas), considerando que os mesmos foram compartilhados através de grupos de WhatsApp de trabalhadores do controle de imigração do Aeroporto Internacional Jorge Chávez. Da mesma forma, asseverou que a referida entidade não implementou as medidas de segurança necessárias no módulo de controle de migração do Sistema Integrado de Migração “SIM” do Aeroporto, por não ter restringindo a geração de cópias ou reprodução dos dados pessoais de cidadãos peruanos (incluindo dados sensíveis) e estrangeiros, o que facilitou o vazamento de informações. Ressalte-se que na referida decisão, além da sanção, foram estabelecidas medidas corretivas para evitar novos vazamentos.
República Tcheca
A Autoridade de Proteção de Dados da República Tcheca publicou seu novo plano de fiscalização para 2022, que terá como foco as alterações legislativas mais importantes da sua agenda relacionadas com as necessidades atuais da sociedade, como a questão dos cookies e o exercício dos direitos dos titulares. O cumprimento do novo regulamento legal sobre cookies é uma grande discussão no país e uma das principais prioridades de fiscalização da Autoridade para este ano. As diretrizes atuais, oficialmente em vigor desde 1 de janeiro de 2022, exigem que os administradores usem o princípio do “opt-in”, por meio do qual podem apenas coletar dados pessoais de visitantes de sites que forneçam o consentimento expresso. De igual maneira, a Autoridade também irá direcionar esforços para a fiscalização do cumprimento dos direitos dos titulares dos dados, principalmente com a verificação do direito de acesso aos dados e do direito à retificação/ apagamento dos dados pessoais.
Reino Unido
O mundo digital é um espaço para crianças e jovens conviverem com seus amigos, se conectarem com parentes distantes e aprenderem e explorarem. É crucial que as crianças se sintam tão confortáveis e confiantes no mundo online quanto no mundo real. Dessa forma, segundo a Autoridade, reguladores, empresas de tecnologia e pais têm um papel a desempenhar para manter as crianças seguras online, pois garantem coletivamente o respeito pela privacidade online dos jovens e impulsionam ações para tornar o mundo digital mais seguro para eles. Com isso, a Autoridade do Reino Unido (ICO) elaborou um blog post com diretrizes para os pais, mães e famílias adotarem quando a criança estiver insatisfeita com o comportamento de alguém online, tais como: (i) Observar a comunidade e os padrões de comportamento das plataformas; (ii)Conversar com seus filhos sobre respeito e relacionamentos online; (iii) Levantar as suas preocupações; entre outros pontos.
Itália
Autoridade Italiana lançou guia para o uso de aplicativos de relacionamento online
“Você usa sites ou aplicativos de namoro para encontrar sua “alma gêmea” online? Você está ciente de que, por mais úteis que sejam, esses serviços podem coletar, tratar e possivelmente divulgar muitas informações sobre você, mesmo de natureza muito sensível, como seus hábitos sociais e sua orientação sexual?” Se sim, a Autoridade Italiana elaborou uma lista de precauções a serem adotadas para evitar problemas ao transitar por esses tipos de sites/aplicativos, tais como: (i) Ler sempre com atenção as informações sobre o tratamento de dados pessoais; (ii) No momento do cadastro, fornecer apenas os dados necessários para a utilização do serviço; (iii) Considerar a possibilidade de interagir inicialmente com outros usuários usando um apelido ou pseudônimo e de se inscrever sem utilizar seu endereço de e-mail habitual, mas criar um ad hoc, que não pode conter referências ao seu nome e sobrenome; (iv) Sempre pensar com cuidado antes de enviar fotos ou vídeos pessoais para o aplicativo ou site de namoro, ou antes de compartilhá-los em particular: uma vez publicados ou divulgados, a consequência é a perda do controle sobre eles; entre outros pontos.
Proteção de Dados nas Universidades
A integração invisível: Um estudo sobre o Centro Integrado de Operações na Fronteira
SECAF, Helena; MEIRA, Marina; ZANATTA, Rafael e outros
O emprego de tecnologias para a garantia da ordem social vem se tornando cada vez mais comum no Brasil e na América Latina. Uso de drones, reconhecimento facial, inteligência artificial e bancos de dados fazem parte da realidade de várias esferas da segurança pública regional. Dessa forma, torna-se imprescindível a compreensão pública a respeito do uso de tais tecnologias, de como dados pessoais são por elas tratados e com qual propósito. É nesse contexto que a Associação Data Privacy Brasil de Pesquisa, em conjunto com a TEDIC – Tecnología y Comunidade, organização paraguaia que se dedica à defesa de direitos digitais, lança hoje (23/02) o relatório “A Integração Invisível: um estudo sobre Centro Integrado de Operações Fronteiriças”. O estudo, por meio de análises documentais, pedidos de acesso à informação e entrevistas, buscou compreender como funciona o Centro Integrado de Operações na Fronteira (CIOF). Além disso, a pesquisa analisou como se estrutura a rede de guarda de informações do CIOF, bem como as relações entre instituições brasileiras e paraguaias no desenho do Centro.
KYZA, Eleni; AGESILAOU, Andria
A proliferação da tecnologia da informação permitiu o surgimento de diferentes tipos de tecnologias inteligentes, como brinquedos aprimorados digitalmente e dispositivos portáteis de rastreamento automático. Embora a rápida disseminação global de tais dispositivos tenha levantado preocupações sobre privacidade, pouco se sabe sobre como as crianças percebem esses riscos, considerando que as vozes das crianças sobre o assunto raramente são ouvidas. O objetivo mais amplo do trabalho é entender como as crianças podem ser capacitadas por meio de experiências de investigação para refletir sobre seu próprio uso de dispositivos inteligentes de auto-rastreamento e obter uma compreensão mais profunda da infraestrutura digital e da economia política dos dados digitais. Dessa forma, o estudo examinou a consciência das crianças sobre seus dados digitais e questões de privacidade online, através de uma experiência realizada com 63 crianças entre a 5º e 6º série do colegial.
Proteção de Dados no Legislativo
O Projeto de Lei 248/2022, proposto pela Deputada Tábata Amaral (PSB/SP), tem como objetivo dispor sobre a coleta e o compartilhamento de dados sobre beneficiário final de pessoas jurídicas brasileiras e estrangeiras com atividades no País. Entre outros pontos, o PL apresenta as seguintes diretrizes sobre o tema: a) notificação do beneficiário final e da entidade a fim de que possam tempestivamente confrontar a sua identificação; b) inclusão de dispositivos que aprimoram o acesso aos dados sobre o beneficiário final e as entidades correlatas, tais como, acesso às informações atualizadas e estruturadas em formato aberto e legível por máquina; c) não aplicação da LGPD com relação aos dados públicos dos beneficiários finais, posto que informações sobre formação de pessoas jurídicas são informações públicas; entre outros pontos. Atualmente, o PL encontra-se aguardando despacho do presidente da câmara dos deputados.
