Seja bem-vinde a mais uma edição do Boletim! Nesta 56ª edição do Boletim, inicialmente, destacamos a publicação do Decreto nº 10.975/2022, o qual trata da estrutura organizacional da Autoridade Nacional […]
Seja bem-vinde a mais uma edição do Boletim!
Nesta 56ª edição do Boletim, inicialmente, destacamos a publicação do Decreto nº 10.975/2022, o qual trata da estrutura organizacional da Autoridade Nacional de Proteção de Dados (ANPD), acrescentando novos cargos, remanejando e transformando cargos em comissão e funções de confiança. Esse é um passo importante para o fortalecimento da estrutura organizacional da ANPD.
No contexto internacional, ressaltamos que a Autoridade Espanhola publicou uma lista de verificação para ajudar os controladores de dados a identificar se o procedimento que estão seguindo para realizar um Relatório de Impacto à Proteção de Dados Pessoais contém todos os elementos necessários. A AEPD, que já dispõe do guia “Gestão de risco e avaliação de impacto no tratamento de dados pessoais”, lançou a referida lista de maneira complementar, o que possibilita uma verificação final para assegurar que todos os aspectos dispostos nas normas de proteção de dados foram levados em consideração.
Por fim, no legislativo brasileiro, destacamos que foi proposto o Projeto de Lei nº 454/2022, que tem como objetivo autorizar o compartilhamento dos dados e microdados brutos do Censo Escolar e do ENEM. Entre outros pontos, o PL modifica a LGPD para adicionar o §8º ao artigo 14 e constar que “O compartilhamento dos dados pessoais coletados por meio do Exame Nacional do Ensino Médio, mesmo que de crianças e adolescentes, independe da observância das exigências do §§1º a 6º.”
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
Publicado novo decreto que fortalece a estrutura organizacional da ANPD
A Autoridade Nacional de Proteção de Dados (ANPD) tem trabalhado para construir uma estrutura organizacional sólida e robusta para que possa exercer sua função primordial na proteção de dados pessoais. Com base nisso, foi publicado o Decreto nº 10.975/2022, que altera o Decreto nº 10.474/2020, o qual trata da estrutura organizacional da Autoridade. O novo decreto modifica a estrutura da ANPD acrescentando novos cargos, remanejando e transformando cargos em comissão e funções de confiança. O processo de fortalecimento institucional da Autoridade iniciou-se em março de 2021 e conta com a colaboração do Ministério da Economia. Com o novo texto, fica criada a Coordenação-Geral de Tecnologia da Informação, além do reforço de estrutura das demais unidades da ANPD. Para a Secretária-Geral, Nubia Rocha, a publicação do referido decreto representa o fortalecimento institucional da Autoridade, contribuindo para o alcance dos objetivos previstos no Planejamento Estratégico, na medida em que aprimora as condições para o cumprimento das competências legais da Autoridade. A Secretária ressalta ainda que tal acréscimo de cargos à estrutura da Autoridade ocorreu sem aumento de despesas para o Poder Público, caracterizando-se apenas como um remanejamento e realocação de cargos da própria Autoridade e do Poder Executivo. Cada novo passo na estruturação da ANPD representa um reforço em sua autonomia técnica e decisória e os novos cargos retratam o enriquecimento da força de trabalho que compõe a Autoridade, a qual contava com 36 cargos e, atualmente, com pouco mais de 50.
ANPD participou do maior encontro de telecomunicações móveis do mundo
O Diretor-Presidente da Autoridade Nacional de Proteção de Dados, Waldemar Gonçalves, e o Gerente de Projeto, Jeferson Barbosa, participaram recentemente do Mobile World Congress (MWC), em Barcelona. Durante o evento, aconteceu reunião setorial com representantes do Brasil, na qual foi abordada a atuação da ANPD na implementação, regulamentação e fiscalização do setor, bem como os desafios para adequação da LGPD pelas empresas e instituições do setor de telecomunicações. Na reunião setorial estavam presentes, além da ANPD, o Ministério da Ciência, Tecnologia e Inovações, Ministério da Educação, Ministério das Comunicações, Anatel, representantes do Senado Federal e da Câmara dos Deputados, empresas de telecomunicações e a Associação Brasileira das Empresas Prestadoras de Serviços de Telecomunicações – TelComp. O MWC acontece desde 1987 e reúne as maiores empresas de tecnologia anualmente. O evento é considerado o maior encontro relacionado a comunicações móveis do mundo. Nesta edição (2022), o tema principal é o metaverso, que é uma nova forma de interação dos usuários na internet. A participação da ANPD no evento leva o Brasil para conhecer de perto e se inteirar sobre as novas tecnologias em telecomunicações e como os dados pessoais estão sendo usados por essas plataformas.
Dinamarca
A Autoridade Dinamarquesa de Proteção de Dados tomou uma decisão em um caso referente ao tratamento de dados pessoais pela empresa Rito ApS, bem como com relação ao preenchimento automático de dados pessoais sobre clientes ao comprar no site da empresa. A Rito Aps utiliza uma função em seu site por meio da qual, ao introduzir um endereço de e-mail já conhecido, são preenchidos automaticamente vários campos com informações pessoais, tais como, nome, endereço e número de telefone, que foram previamente utilizados em outra oportunidade junto com o endereço de e-mail. O uso do preenchimento automático não pressupõe que você tenha feito login antes ou se identificado de outra forma. Dessa maneira, ao inserir endereços de e-mail de clientes anteriores, outros usuários não autorizados podem acessar informações sobre eles. Após o caso ter sido submetido ao Conselho de Dados, a Autoridade declarou que, ao usar uma funcionalidade em que informações sobre clientes anteriores poderiam ser acessadas por outros usuários não autorizados, a Rito ApS não atendeu aos requisitos para um nível adequado de segurança, conforme dispõe Artigo 32.º do Regulamento de Proteção de Dados do país.
A Autoridade Dinamarquesa de Proteção de Dados tomou uma decisão no caso em que membros do conselho da Sociedade Dinamarquesa de Medicina trataram indevidamente informações pessoais em computadores particulares e contas de e-mail. Após o caso ter sido submetido ao Conselho de Dados, a Autoridade declarou que a Sociedade Dinamarquesa de Medicina não havia tomado medidas organizacionais e técnicas apropriadas. A auditoria salientou ainda que as associações ou organizações que permitem que os membros do conselho tratem dados pessoais pelos quais a associação/organização é responsável, devem implementar medidas de segurança adequadas em relação a esses pontos. Nesse contexto, a Autoridade encontrou motivos para expressar sérias críticas de que o tratamento de dados pessoais pela Sociedade Dinamarquesa de Medicina não ocorreu de acordo com as normas de proteção de dados do país.
Espanha
A Autoridade Espanhola de Proteção de Dados (AEPD), o Instituto Nacional de Cibersegurança (INCIBE) e o Instituto Nacional de Tecnologias Educativas e Formação de Professores (INTEF) lançaram a 3ª edição do curso online gratuito “Menores e Segurança na Internet”, que ocorrerá de 16 a 25 de março. A iniciativa, que exige cerca de três horas de dedicação, visa divulgar orientações, ferramentas e estratégias para evitar os riscos do uso inadequado ou inseguro da Internet, orientar e acompanhar os mais jovens no ambiente digital e ajudar a salvaguardar a sua privacidade e bem-estar pessoal. Durante o curso, serão abordadas questões como qual a idade mais adequada para usar o primeiro celular, como configurá-lo, quais os riscos que crianças e adolescentes enfrentam ao navegar na internet, como se prevenir, quais são as redes sociais e ferramentas utilizam com mais frequência no lazer, como agir em caso de uma prática arriscada ou como ensinar os mais novos a fazer um uso responsável e seguro dos dispositivos móveis. O curso é destinado à sociedade como um todo, em especial pais, famílias e professores, tutores e equipes de gestão de centros educativos. Também é muito útil para um amplo perfil de pessoas envolvidas e interessadas em preservar a privacidade e a segurança de crianças e adolescentes na Internet.
A Autoridade Espanhola de Proteção de Dados (AEPD) publicou uma lista de verificação para ajudar os controladores de dados a identificar e determinar rapidamente se o processo e a documentação que estão seguindo para realizar um Relatório de Impacto à Proteção de Dados Pessoais contém todos os elementos necessários. A AEPD dispõe do guia “Gestão de risco e avaliação de impacto no tratamento de dados pessoais’”, dessa forma, a citada lista complementa esse guia e permite que seja realizada uma verificação final para assegurar que todos os aspectos dispostos nas normas de proteção de dados foram levados em consideração. O objetivo deste novo recurso da AEPD é ajudar os responsáveis a cumprir as obrigações de elaboração e documentação de um Relatório de Impacto e para que, no caso de ter de efetuar esta consulta prévia à Autoridade, seja mais fácil verificar se a organização em questão cumpre os requisitos para a sua apresentação, ou seja, os decorrentes da Instrução 1/2021, que estabelece orientações quanto à função consultiva da Autoridade.
A Autoridade Espanhola de Proteção de Dados (AEPD) aprovou o “Código de Conduta Regulamentar para o Tratamento de Dados Pessoais no Campo de Ensaios Clínicos e Outras Pesquisas Clínicas e Farmacovigilância”, que se torna o primeiro código de conduta setorial aprovado desde a entrada em vigor do Regulamento Geral de Proteção de Dados (GDPR). Esse código regula como os patrocinadores de estudos clínicos com medicamentos e as Contract Research Organizations (CRO) que decidem aderir a ele devem aplicar as normas de proteção de dados. O âmbito de aplicação do código é constituído pelas atividades de tratamento de dados pessoais no âmbito da investigação clínica e dos ensaios clínicos em geral, bem como as relacionadas com o cumprimento das obrigações impostas pela normativa vigente em matéria de proteção de dados, para detecção e prevenção de efeitos adversos de medicamentos já comercializados. Além disso, apesar da aplicação do citado código ser nacional, a Autoridade tem como objetivo que ele se torne referência a nível europeu, pois é o primeiro código sobre o tema aprovado na Europa.
European Data Protection Board
Um dos funcionários do banco Santander Bank Polska SA, após a rescisão do seu contrato de trabalho, manteve seus acessos e fez login na Plataforma de Serviços Eletrónicos da Instituição de Seguro Social (plataforma PUE ZUS) e, como resultado, ele teve acesso aos dados dos bancários dos clientes contidos na referida plataforma. A Autoridade Polaca concluiu que ocorreu uma violação da confidencialidade dos dados, o que gerou um elevado risco para os direitos e liberdades individuais dos titulares dos dados. Para a Autoridade, o que é relevante não é se a pessoa não autorizada realmente utilizou os dados pessoais armazenados, mas que, independentemente disso, havia um alto risco de que isso ocorresse. Consequentemente, considerando a espécie dos dados (que incluíam dados de saúde), a Autoridade Polaca impôs uma multa administrativa de 120.000 EUR ao Santander Bank Polska SA, além de ordenar que o responsável pelo tratamento comunicasse a violação de dados pessoais aos titulares dos dados.
Noruega
Conforme destacado pela Autoridade Norueguesa, o Conselho Europeu de Proteção de Dados (EDPB) adotou a versão final das diretrizes sobre códigos de conduta para a realização de transferências internacionais de dados. Tais diretrizes estabelecem as condições acerca da transferência de dados pessoais para países fora da União Europeia (UE), com base em um código de conduta recém lançado. O EDPB publicou uma versão anterior dessas diretrizes em julho de 2021, momento em que as partes interessadas tiveram a oportunidade de comentar e fazer sugestões sobre o texto. Em seguida, esses comentários foram incorporados nas Diretrizes definitivas sobre códigos de conduta como ferramentas para transferências, agora recentemente publicada.
Reino Unido
A Autoridade de Proteção de Dados do Reino Unido (ICO), por meio de John Edwards, o Comissário de Informação do Reino Unido, opinou sobre os planos da Califórnia de apresentar um novo projeto de lei para proteger os dados de crianças online. Nesse sentido, o comissário asseverou que “os movimentos que estão sendo feitos na Califórnia para seguir os passos do código infantil da ICO citam a influência e liderança que o Reino Unido tem na economia digital”, dessa maneira, ele continuou “uma lei californiana aumentaria ainda mais as proteções que as crianças têm online e continuaria uma tendência global em direção a uma regulamentação sensata e prática que mantenha as crianças seguras para aproveitar os benefícios do mundo digital.”
A Autoridade de Proteção de Dados do Reino Unido (ICO) emitiu uma nota repreensão ao governo escocês e ao NHS National Services Scotland por ambas as organizações não fornecerem à população informações claras sobre como suas informações pessoais – incluindo dados de saúde – estão sendo usadas pelo NHS Scotland COVID Status aplicativo. O aplicativo NHS Scotland COVID Status é um método que as pessoas podem usar para demonstrar seu status de vacinação para satisfazer as verificações obrigatórias de status COVID que ainda estão em vigor para determinados locais, incluindo boates, na Escócia. Dessa forma, para o ICO, faltou transparência na atuação do governo ao implementar o uso do aplicativo.
México
Durante a celebração da Primeira Sessão Ordinária do Comitê Editorial da Revista Digital Transparente do México, seus membros endossaram seu compromisso de continuar a promover o canal de divulgação do Sistema Nacional de Transparência (SNT) e, assim, mostrar para a sociedade mexicana o trabalho dos seus órgãos, o que inclui a Autoridade de Proteção de Dados Mexicana (INAI), além de promover o conhecimento do direitos de acesso à informação e proteção de dados pessoais. O Comissário do Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI), Rosendoevgeny Monterrey Chepov, salientou que a Revista foi desenvolvida com o propósito tornar visível a relevância dos órgãos garantidores que compõem o Sistema Transparência Nacional (SNT), comunicando à sociedade a funções e o importante trabalho que é realizado dentro do órgão colegial, além de promover a difusão dos direitos à informação e proteção de dados pessoais, através de uma plataforma editorial acessível a toda a população.
Proteção de Dados nas Universidades
Legal Protection Arrangements in Indonesia for Privacy Rights in Cases of Personal Data Leakage
BINARDY, Yudo Arhuma Binardy; SETIYONO, Joko.
O estudo teve como objetivo analisar os arranjos legais de proteção da privacidade na Indonésia em casos de vazamento de dados e examinar a urgência do estabelecimento da Lei de Proteção de Dados Pessoais como um esforço para evitar vazamento de informações. Este estudo utilizou uma abordagem normativa de pesquisa jurídica, além de estudos e documentação. Segundo os autores, os resultados foram que o direito à privacidade passou a ter proteção legal na Indonésia através da Lei nº 19 de 2016, que dispõe sobre Informações e Transações Eletrônicas, além de ser um direito também regulamentado pelo Regulamento do Governo n.º 71 de 2019 e o Regulamento do Ministro das Comunicações e Tecnologia da Informação nº 20 de 2016. No entanto, o que foi destacado é que o regulamento não conseguiu superar os casos desenfreados de violações de direitos e não foi capaz de proteger os titulares dos dados pessoais. Nesse sentido, a criação de uma lei de proteção de dados pessoais como esforço para combater o vazamento de dados pessoais é uma questão urgente para atender às demandas de divulgação de informações pelo governo e instituições, bem como para proteger os direitos individuais relativos à coleta, tratamento, manutenção e divulgação de dados pessoais.
Privacy between Regulation and Technology: GDPR and the Blockchain
JUSIC, Asim.
Segundo o autor, a conformidade com o GDPR ao usar a tecnologia blockchain para tratamento de dados resulta em problemas de conformidade, devido ao fato de que o blockchain e o GDPR empregam métodos diferentes para garantir privacidade por design e privacidade por padrão. O blockchain é construído sobre desintermediação e descentralização relativa, enquanto o GDPR visa reintermediação e centralização relativa do processo de proteção de dados. Nesse sentido, o texto fornece uma visão geral e sugestões sobre como garantir a conformidade com o GDPR durante o tratamento de dados usando o blockchain. O foco é colocado na avaliação do impacto da proteção de dados na rede blockchain, identificação de problemas na determinação das funções de controladores de dados únicos, entre outros pontos.
Proteção de Dados no Legislativo
O Projeto de Lei 454/2022, proposto pelos Deputados Tiago Mitraud (NOVO/MG) e Adriana Ventura (NOVO/SP), tem como objetivo modificar Lei Geral de Proteção de Dados (LGPD) e a Lei de Diretrizes e Bases da Educação para autorizar o compartilhamento dos dados e microdados brutos do Censo Escolar e do ENEM. Entre outros pontos, o PL modifica a LGPD para adicionar o §8º ao artigo 14, para constar que “O compartilhamento dos dados pessoais coletados por meio do Exame Nacional do Ensino Médio, mesmo que de crianças e adolescentes, independe da observância das exigências do §§1º a 6º.” Atualmente, o PL encontra-se aguardando despacho do presidente da câmara dos deputados.
O Projeto de Lei 69/2022, proposto pelos Deputados Denis Bezerra (PSB/CE), tem como objetivo dispor sobre a garantia de acesso do cidadão aos espaços de divulgação de informações e opiniões de agente público nas redes sociais. Entre outros pontos, o PL modifica o Marco Civil da Internet (Lei nº 12.965/14) para adicionar o inciso XIV ao artigo 7º para assegurar o direito ao “acesso irrestrito a informações veiculadas em ambientes de interação em redes sociais, cujos titulares sejam detentores de mandato eletivo, autoridades da administração pública, pessoas jurídicas de direito público ou seus representantes.”
