Seja bem-vinde a mais uma edição do Boletim! Nesta 58ª edição do Boletim, inicialmente, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) iniciou a realização das reuniões técnicas […]
Seja bem-vinde a mais uma edição do Boletim!
Nesta 58ª edição do Boletim, inicialmente, destacamos que a Autoridade Nacional de Proteção de Dados (ANPD) iniciou a realização das reuniões técnicas relativas à tomada de subsídio para elaboração de minuta da norma sobre o encarregado pelo tratamento de dados pessoais. A elaboração da norma encontra previsão na Agenda Regulatória para o biênio 2021-2022, e em breve, a sua minuta deverá ser disponibilizada para debate por meio de consulta e audiências públicas.
No contexto internacional, a Autoridade Holandesa (SA) multou as empresas Sanoma Media Netherlands BV e DPG Media no valor de € 525.000, por exigir que para exercer seus direitos de acesso e exclusão de dados pessoais, os titulares fornecessem uma cópia do documento de identidade. Nesse sentido, a autoridade reconheceu que essa prática seria excessiva e desproporcional, culminando na aplicação da referida multa.
Por fim, na academia, destacamos o texto “Inteligência artificial e publicidade dirigida a crianças e adolescentes”, escrito por Isabella Henriques, o qual aborda a ilegalidade da publicidade dirigida a crianças com menos de 12 anos em todos os formatos de comunicação. Nesse sentido, segundo a autora, isso inclui os casos de emprego das novas tecnologias da informação e comunicação, da utilização de dados derivados do uso de Inteligência Artificial e coleta de dados massificada, bem como a ilegalidade da publicidade quando for originada a partir de técnicas de perfilamento.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
Presidente da ANPD participou de mesa redonda sobre a importância da independência da Autoridade
O Diretor-Presidente da ANPD, Waldemar Gonçalves, participou da mesa redonda internacional organizada pelo Fórum Empresarial da LGPD. O evento tratou sobre a importância da independência total da ANPD e os convidados apresentaram pontos relevantes sobre a transformação da natureza jurídica da Autoridade e seus impactos positivos para o país. Bojana Bellamy, presidente do Centre for Information Policy Leadership (CIPL), por exemplo, destacou sobre a importância de o Brasil ter um órgão regulatório e fiscalizatório totalmente independente. “Até agora todos estão impressionados com a atuação da ANPD mesmo com seus poucos recursos, mas é preciso garantir sua independência”. Por sua vez, durante a conversa, o Diretor-Presidente da ANPD deu ênfase à promulgação da Emenda Constitucional nº 115, que incluiu na Constituição Federal o direito à proteção de dados pessoais como uma garantia fundamental. E, ao final, a Diretora do Conexis Brasil Digital e membro do CNPD, Natasha Nunes frisou que a ANPD tem mostrado maturidade e apresenta resultados positivos em sua trajetória. Mais detalhes sobre o evento podem ser encontrados no site da Autoridade.
ANPD iniciou as reuniões técnicas para elaboração da norma sobre o encarregado
A ANPD realizará as reuniões técnicas relativas à tomada de subsídio para elaboração de minuta da norma sobre o encarregado pelo tratamento de dados pessoais. A elaboração da norma encontra previsão na Agenda Regulatória para o biênio 2021-2022, a qual prevê como meta, em seu item nº 8, o início do processo de regulamentação sobre o assunto ainda no primeiro semestre de 2022. Espera-se que, em breve, a minuta da norma seja disponibilizada para amplo debate mediante a sua submissão à consulta pública e à audiência pública. As reuniões técnicas acontecerão nos dias 05 a 08 de abril de 2022 e os vídeos das reuniões ficarão disponíveis posteriormente no canal da Autoridade no Youtube. Foram criados 5 blocos com perguntas elaboradas pela equipe técnica da ANPD e, em cada bloco, vão participar 4 debatedores selecionados por bloco, totalizando 20 pessoas das 991 inscritas. Os debatedores foram selecionados de acordo com os critérios disponibilizados previamente que podem ser acessados aqui.
Bélgica
Anteprojeto de lei ameaça a independência e o funcionamento da Autoridade Belga
A Autoridade Belga (APD) apresentou um parecer sobre a proposição que altera a lei que institui a Autoridade, o qual conclui que o anteprojeto compromete seriamente o funcionamento efetivo e a sua independência. Nesse sentido, o parecer indica que o referido anteprojeto cria novas inseguranças e riscos, tais como: a) um risco de paralisação, considerando que a maioria dos órgãos de APD funciona adequadamente atualmente, mas uma falta de recursos pode mudar essa realidade; b) um enfraquecimento dos procedimentos legais, o que implica particularmente riscos para a aplicação da lei; c) um controle ainda maior por parte do Parlamento. Além disso, a proposição também condiciona a renovação do mandato de seus diretores a uma avaliação da Câmara dos Deputados, sem que os critérios objetivos desta última estejam previstos no anteprojeto. Segundo a Autoridade, o Tribunal de Justiça Europeu já decidiu que “o mero risco” de influência política é suficiente para impedir o exercício independente das funções das autoridades nacionais de supervisão. A APD pede, assim, que sejam corrigidas as deficiências essenciais que identifica no seu parecer.
Dinamarca
A Autoridade Dinamarquesa verificou que a empresa FysioDanmark Hillerød ApS estaria utilizando um sistema de reconhecimento facial com o objetivo de realizar o controle de acesso com clientes e funcionários. Com base nas circunstâncias do caso e nas informações fornecidas pela empresa, a Autoridade avaliou que o referido sistema – que foi baseado no consentimento do titular dos dados – não estaria em desacordo com as normas de proteção de dados pessoais do país. No entanto, ainda assim, a Autoridade identificou motivos para alertar a empresa que, caso ela utilizasse o sistema sem o consentimento dos clientes, ela poderia cometer infrações sérias. Nesse sentido, foi emitida uma notificação para a FysioDanmark Hillerød ApS.
A Autoridade Dinamarquesa de Proteção de Dados denunciou o Danske Bank à polícia e multou o banco em 10 milhões de DKK. Isso ocorreu porque, em novembro de 2020, a Autoridade abriu um processo de ofício, após o próprio banco ter declarado que havia identificado um problema com o procedimento de exclusão de dados pessoais. Em conexão com a investigação da Autoridade, foi verificado que o banco em mais de 400 operações não conseguiu documentar que foram estabelecidas regras para a exclusão e armazenamento de dados pessoais, ou que a exclusão manual de dados pessoais foi efetivamente realizada. Esses sistemas processam dados pessoais de milhões de pessoas, nessa toada, Kenni Elm Olsen, consultor especialista da Autoridade Dinamarquesa asseverou: “Um dos princípios básicos do GDPR é que você só pode processar as informações de que precisa – e quando não precisar mais, elas devem ser excluídas. Quando se trata de uma organização do tamanho do Danske Bank, que possui diversos e complexos sistemas, é particularmente crucial que você também possa documentar e comprovar que a exclusão realmente ocorreu”.
European Data Protection Board
A Autoridade Holandesa (SA) recebeu várias reclamações sobre como a empresa Sanoma Media Netherlands BV lidou com solicitações de titulares para visualizar seus dados ou excluí-los. As reclamações foram apresentadas por pessoas que, por exemplo, tinham assinatura da revista ou tinham recebido anúncios da Sanoma. Nesse sentido, qualquer pessoa que quisesse saber quais os dados pessoais que a Sanoma e a DPG Media mantinham ou que desejasse que seus dados fossem excluídos era obrigado a primeiro fazer o upload ou enviar uma cópia de seu documento de identidade. Os documentos de identidade incluem inúmeros dados pessoais e muitas vezes será desproporcional exigir uma cópia do mesmo para confirmar que uma pessoa realmente é quem afirma ser. Ao exigir que as pessoas fornecessem uma cópia do referido documento, as empresas tornaram excessivamente complicado para os clientes acessarem seus dados ou terem seus dados excluídos. Após comprar a Sanoma, a DPG Media mudou suas práticas e agora confirma a identidade das pessoas por meio do envio de um e-mail de verificação, dessa forma, a violação não está mais sendo cometida. Diante do caso, a Autoridade Holandesa (SA) impôs uma multa de € 525.000 à DPG Media.
Itália
“25 anos de privacidade na Itália. Da distância de cortesia ao algoritmo” é o título do livro com o qual a Autoridade Italiana de Proteção de Dados Pessoais pretende comemorar o longo período de atividade da Autoridade e da entrada em vigor da legislação sobre proteção de dados pessoais. Por meio das imagens da Agência ANSA, o livro relata os primeiros 25 anos do compromisso da Autoridade na defesa dos direitos das pessoas e no apoio ao desenvolvimento do país, mas também aborda os novos desafios que já envolvem a proteção de dados: inteligência artificial, algoritmos, reconhecimento facial, IoT, entre outros. Desde 1997, ano de criação da Autoridade e da entrada em vigor da legislação de proteção de dados, até hoje muita coisa mudou: passamos do papel para a identidade digital, dos arquivos no balcão para o homebanking, dos álbuns de fotos para as galerias dos smartphones e nas redes sociais. Nesse sentido, a Autoridade ditou à administração pública, empresas, plataformas digitais, operadoras de telefonia e redes sociais, as medidas necessárias para proteger os dados pessoais na vida real e na dimensão digital.
Reino Unido
ICO multou empresa por enviar milhares de mensagens de texto de spam durante a pandemia
O Information Commissioner’s Office (ICO) multou a H&L Business Consulting Ltd em £80.000 por enviar milhares de mensagens de texto para pessoas que não consentiram em recebê-las. A empresa H&L Business Consulting Ltd enviou cerca de 378.538 mensagens de texto de marketing direto não solicitadas entre janeiro de 2020 e julho de 2020. Isso resultou em mais de 300 reclamações. O conteúdo das mensagens de texto eram: “Obtenha quitação de dívidas GRÁTIS durante o Lockdown! Baixe 95% de TODAS AS DÍVIDAS com TODOS os encargos e taxas CONGELADOS. Apoio do governo. Clique em http://outofdebtuk.co.uk. Pare 2optout” (sic). As mensagens de spam promoveram um esquema de gerenciamento de dívida “apoiado pelo governo”, apesar de a empresa não ter sido autorizada pela Autoridade de Conduta Financeira a fornecer produtos ou serviços financeiros regulamentados. Diante disso, a empresa, além da multa, também recebeu um aviso de execução do ICO, ordenando que pare de enviar mensagens de marketing direto ilegais.
Proteção de Dados nas Universidades
Inteligência artificial e publicidade dirigida a crianças e adolescentes
HENRIQUES, Isabella.
O artigo aborda a ilegalidade da publicidade dirigida a crianças com menos de 12 anos em todos os formatos de comunicação, inclusive quando se vale do uso das novas tecnologias da informação e comunicação e for originada de dados derivados do uso de Inteligência Artificial e coleta de dados massificada, bem como a ilegalidade da publicidade dirigida a crianças e adolescentes de 0 a 18 anos, quando for originada do perfilamento realizado por meio de massiva coleta de dados pessoais destes indivíduos por meio de sistemas de Inteligência Artificial. O texto tem fundamento na interpretação do ordenamento jurídico brasileiro, na imprescindibilidade da centralidade do ser humano e no uso ético da Inteligência Artificial, bem como na própria autopoiese do sistema do Direito.
Algoritmos de reconhecimento facial e as discriminações contra pessoas transexuais
SILVA, Heloisa Helena
O reconhecimento facial baseado em algoritmos é uma realidade tanto no setor privado quanto no setor público. A despeito da ideia disseminada no senso comum sobre a neutralidade algorítmica, os algoritmos são dotados de viés, seja pelas escolhas que orientam seu funcionamento, seja pelos conjuntos de dados em que operam. A complexidade dos bancos de dados operados e a inescrutabilidade de alguns algoritmos têm tornado inauditáveis os processos decisórios realizados por essa tecnologia. Nesse contexto, determinadas populações tornam-se mais vulneráveis a discriminações. O artigo aborda a vulnerabilidade específica das pessoas transexuais, segmento populacional especialmente marcado pela tendência a modificações corporais, na busca pela construção da identidade social e do reconhecimento público do seu gênero – ou da ruptura com o conceito de gênero, no caso das pessoas não binárias. Essas complexidades tendem a não ser contempladas pela leitura simplista de realidade feita pelos algoritmos em suas atividades de classificação, levando a que as pessoas transgênero sejam identificadas como pertencentes a um gênero com o qual não se identificam, com base em supostas “médias” faciais atribuídas a cada gênero, ou mesmo a que não sejam reconhecidas como elas mesmas pelas comparações de imagem pré e pós transição de gênero. Além de perpetuar violação aos direitos de personalidade desse segmento populacional, a partir de suas falhas de classificação, em termos práticos, esses erros podem também conduzir à dificuldade de acesso à informação direcionada a um gênero específico, impedir a entrada em espaços como banheiros e vestiários e perpetuar discriminação e exclusão.
Proteção de Dados no Legislativo
Proposto projeto de lei para dispor sobre a necessidade de os provedores de redes sociais e de serviços de mensageria terem sede e representante legal radicado no país
O Projeto de Lei 630/2022, proposto pelo Deputado Luciano Bivar (União Brasil), tem como objetivo alterar o Marco Civil da Internet, para dispor sobre a necessidade de os provedores de redes sociais e de serviços de mensageria terem sede e representante legal radicado no país. Entre outros pontos, o PL estabelece que os provedores de redes sociais e de serviços de mensageria devem ter sede ou nomear representante legal no Brasil, bem como manter acesso remoto aos seus bancos de dados, os quais deverão conter informações referentes aos usuários brasileiros e servirão para a guarda de conteúdos. Atualmente, a proposição está sujeita à apreciação conclusiva pelas comissões.
